Nizozemský úřad pro ochranu osobních údajů (Autoriteit Persoonsgegevens) uložil provozovateli taxi aplikace pokutu sto milionů eur za to, že přenášel osobní údaje subjektů z Finska a Norska příjemcům v Ruské federaci, aniž by prokázal zavedení odpovídajících záruk podle kapitoly V obecného nařízení o ochraně osobních údajů. Rozhodnutí publikoval GDPRhub ve čtvrtek 14. května v týdenním přehledu dozorových úřadů.

Pokuta patří mezi nejvyšší, jaké některý z evropských dozorových úřadů v posledních letech uložil, a věcně zapadá do série rozhodnutí, kterými dozorové úřady utahují praxi přenosů osobních údajů do třetích zemí. Jádrem právního problému je rozhraní článků 44–49 GDPR: každý přenos osobních údajů mimo Evropský hospodářský prostor musí mít právní základ buď v rozhodnutí Komise o odpovídající úrovni ochrany (článek 45 GDPR), nebo v odpovídajících zárukách podle článku 46 – typicky standardních smluvních doložkách, doplněných o doplňková opatření po rozsudku Schrems II – případně ve výjimkách podle článku 49. Pro Ruskou federaci žádné rozhodnutí o odpovídající úrovni ochrany neexistuje a vzhledem k tamnímu právnímu prostředí, které umožňuje rozsáhlý přístup orgánů státu k datům uchovávaným v Rusku, je doložení odpovídajících záruk extrémně náročné.

V odůvodnění rozhodnutí, jak ho referuje GDPRhub a jeho zveřejněný záznam, nizozemský úřad zdůraznil, že provozovatel taxi aplikace zavedení takových záruk neprokázal. Standardní smluvní doložky bez doplňkových opatření, technických či organizačních, nestačí, pokud právní řád příjemce neumožňuje exportujícímu správci dodržet úroveň ochrany rovnocennou té unijní. Tento přístup vychází ze závěrů Soudního dvora EU ve věci Schrems II (C-311/18) a z následných doporučení EDPB, které pro přenosy do států bez rozhodnutí o odpovídající úrovni vyžadují konkrétní case-by-case posouzení a doplňková opatření.