ACRESIA

Estonský úřad pro ochranu osobních údajů vyhověl po třech letech stížnosti podané společností noyb a prohlásil, že správce údajů předal osobní údaje do USA bez právního základu podle GDPR. Správci údajů bylo nařízeno, aby zpracování zastavil.

Toto rozhodnutí vychází z jedné ze 101 stížností podaných nevládní organizací noyb v roce 2020.

Dne 12. srpna 2020 navštívil subjekt údajů webové stránky správce údajů, který využíval nástroje Google Analytics. Osobní údaje byly proto v okamžiku návštěvy předány do USA. Subjekt údajů tvrdil, že v návaznosti na rozsudek Soudního dvora EU ve věci C-311/18 ("Schrems II"), který zrušil platnost Štítu soukromí (privacy shield) evropské komise, došlo k předání osobních údajů bez platného právního základu.

Stížnost byla původně podána rakouskému úřadu pro ochranu údajů, který spis předal estonskému úřadu, protože správce údajů měl hlavní provozovnu v Estonsku.

Estonský úřad pro ochranu údajů zahájil šetření v souvislosti s článkem 60 obecného nařízení o ochraně osobních údajů.

Stanovisko

Estonský úřad zjistil, že správce údajů předal osobní údaje do třetí země protiprávně. Pro předání nebylo možné použít žádný z právních základů uvedených v kapitole V nařízení GDPR.

Společnost Google - příjemce údajů - totiž splňovala kvalifikaci poskytovatele služeb elektronických komunikací podle amerického práva, a proto se na ni v případě žádosti amerických tajných služeb vztahovala povinnost zveřejnění údajů. Jak stanovil Evropský soudní dvůr v rozsudku "Schrems II", tento postup nebyl v souladu se zárukami ochrany osobních údajů v EU. Standardní smluvní doložky ("SCC") zavedené správcem údajů a společností Google nebyly dostatečnou kompenzací tohoto nedostatku ochrany před přístupem institucí USA.

Úřad proto nařídil správci údajů, aby zpracování zastavil.

Správce údajů odstranil službu Google Analytics ze svých internetových stránek a úřad se rozhodl nepřijímat další opatření.

Zdroj