ACRESIA

Okolnosti

Subjekt údajů má belgickou i americkou státní příslušnost. Podle amerických daňových předpisů podléhal z důvodu své státní příslušnosti americkému daňovému systému. Za účelem shromažďování informací a daní od Američanů žijících v zahraničí podepsaly USA dohody s dalšími zeměmi v rámci zákona o dodržování daňových předpisů v oblasti zahraničních účtů (Foreign Account Tax Compliance Act, FATCA). V Belgii to znamenalo, že banky byly povinny informovat daňové úřady, pokud měl občan USA účet v Belgii.

V květnu 2020 banka, v níž měl subjekt údajů účet, informovala, že je ze zákona povinna informovat daňové orgány o tom, že subjekt údajů má účet, a také o jeho jménu, adrese, jurisdikci bydliště, daňovém identifikačním čísle, datu narození, zůstatku na účtu, čísle účtu a dalších informacích týkajících se jeho bankovních aktiv.

Dne 22. prosince 2022 podal subjekt údajů a sdružení Accidental Americans of Belgium stížnost belgickému orgánu pro ochranu údajů. Úřad na ochranu osobních údajů se k případům připojil. Podle čl. 17 odst. 1 písm. d) nařízení GDPR subjekt údajů požadoval, aby daňový orgán vymazal jeho údaje získané na základě dohody FATCA, a podle čl. 18 odst. 1 písm. b) nařízení GDPR, aby omezil jejich zpracování.

Stěžovatelé rovněž požádali o zastavení výměny informací mezi belgickou a americkou správou na základě dohody FATCA. Měli za to, že toto zpracování na základě dohody FATCA porušuje články 45, 46 a 49 GDPR, zásadu účelového omezení (čl. 5 odst. 1 písm. b) GDPR), proporcionality a omezení údajů (čl. 5 odst. 1 písm. c) GDPR), omezení uchovávání (čl. 5 odst. 1 písm. e) GDPR), transparentnosti (články 12 až 14 GDPR) a že mělo být provedeno posouzení dopadů (článek 35 GDPR).

Belgická správa tvrdila, že podle článku 96 GDPR byla dohoda FATCA (a tedy i předání) platná. Tento článek uvádí, že mezinárodní dohody existující před GDPR zůstávají v platnosti za předpokladu, že jsou v souladu s platnými právními předpisy v době jejich uzavření.

Na základě stížnosti provedlo vyšetřovací oddělení úřadu na ochranu údajů šetření a dospělo k závěru, že k žádnému zjevnému porušení GDPR nedošlo.

Stanovisko

Úřad pro ochranu údajů začal tím, že belgický daňový orgán klasifikovala jako správce bez ohledu na to, že nemá přístup k obsahu předávaných údajů. Za správce byly považovány také finanční instituce (banky).

Úřad pro ochranu údajů poté analyzoval jednotlivé body vznesené stranami.

Pokud jde o článek 96 nařízení GDPR, z hlediska věcné působnosti měl úřad pro ochranu údajů za to, že se tento článek vztahuje pouze na obsah dohody, a nebrání tedy použití článků nařízení GDPR. Například dohoda FATCA neobsahuje žádnou informační povinnost, což neznamená, že správce nemá žádnou informační povinnost. Z časového hlediska se orgán pro ochranu osobních údajů domníval, že článek 96 GDPR umožňuje zachovat práva třetích zemí vyplývající z mezinárodních dohod, což však neznamená, že tato práva nabývají bez časového omezení. Orgán pro ochranu údajů se proto domníval, že členské státy by měly (znovu) sjednat dohody, aby byly v souladu s nařízením GDPR. Závěrem se orgán pro ochranu údajů domníval, že článek 96 by měl být vykládán restriktivně a že jeho "odkladný účinek" je omezený. Mohl by proto článek 96 "nezohlednit", pokud by jeho uplatňování mělo nepřiměřené účinky na práva stěžovatelů.

Pokud jde o zásadu omezení účelu, úřad pro ochranu údajů se domníval, že účely dohody FATCA nejsou dostatečně určeny. Není proto možné posoudit, do jaké míry jsou zpracovávané údaje nezbytné k dosažení těchto účelů.

Pokud jde o nezbytnost a minimalizaci, úřad pro ochranu údajů rozhodl, že pouhá státní příslušnost subjektů údajů není dostatečným kritériem s ohledem na sledovaný účel. V tomto případě není dohoda FATCA v souladu se zásadou nezbytnosti, přiměřenosti a minimalizace. V důsledku toho se belgický orgán nemohl při předávání údajů odvolávat ani na čl. 6 odst. 1 písm. c), ani na čl. 6 odst. 1 písm. e) nařízení GDPR.

Pokud jde o rámec pro předávání údajů do USA, nebylo vydáno rozhodnutí o odpovídající ochraně. Bylo proto nutné, aby mezinárodní dohoda jako právní základ pro předávání zahrnovala odpovídající záruky ochrany údajů podle čl. 46 odst. 2 písm. a) GDPR. V tomto případě úřad pro ochranu údajů zjistil, že dohoda neobsahovala žádnou definici ochrany údajů, žádnou dobu uchovávání údajů, žádnou zmínku o právech subjektů údajů a žádnou zmínku o odvolacích mechanismech.

Úřad pro ochranu údajů proto dospěl k závěru, že belgický daňový úřad se nemůže odvolávat na článek 96 GDPR, aby mohl pokračovat v předávání údajů do USA na základě dohody FATCA, když tato dohoda není v souladu s GDPR.

Pokud jde o povinnost poskytovat informace, belgický daňový úřad jako správce podléhal článkům 13 a 14 GDPR. Daňový úřad na svých internetových stránkách odkázal na dohodu FATCA s obecným vysvětlením, které nebylo snadno dostupné a srozumitelné. Úřad pro ochranu údajů rozhodl, že správce proto porušil čl. 14 odst. 1 a 2 a čl. 12 odst. 1 GDPR.

Pokud jde o povinnost provést posouzení dopadů, úřad pro ochranu údajů se domníval, že předání údajů do USA představuje vysoké riziko pro práva a svobody fyzických osob ve smyslu čl. 35 odst. 1 obecného nařízení o ochraně osobních údajů. Přestože bylo vyžádáno odborné poradenství, mělo být provedeno posouzení dopadů, což správce v rozporu s čl. 35 odst. 1 GDPR neučinil.

Pokud jde o zásadu odpovědnosti, dospěl úřad pro ochranu údajů k závěru, že správce neprokázal, že zavedl vhodná opatření k zajištění souladu s GDPR. Tím porušil čl. 5 odst. 2 a článek 24 GDPR.

Následně na základě čl. 58 odst. 2 písm. f) GDPR a v souladu s judikaturou Soudního dvora EU ve věci Schrems II nařídil úřad pro ochranu údajů zákaz zpracování údajů subjektů údajů podle dohody FACTA. Úřad pro ochranu údajů se domníval, že se jedná o jediné opatření, které může ukončit protiprávnost zpracování.

Úřad pro ochranu údajů rovněž rozhodl, že správce porušil čl. 5 odst. 2, čl. 12 odst. 1, čl. 14 odst. 1 a 2, článek 24 a čl. 35 odst. 1 obecného nařízení o ochraně osobních údajů, a udělil správci výtku. Úřad pro ochranu údajů rovněž nařídil dodržování předpisů, které spočívalo v upozornění příslušného zákonodárce.

Zdroj