Ciper: Opomin za Ciprsko tiskovno agencijo
Nadzorni organ je upravljavcu izrekel opomin zaradi nezakonitega prenosa osebnih podatkov v ZDA z Google Analytics brez veljavne pravne podlage.
Odločitev je bila objavljena 18.6.2024
Posameznik, ki ga zastopa Noyb, je ciprskemu nadzornemu organu podal pritožbo zoper Cyprus News Agency, ki je upravljavec spletne strani http://www.cna.org.cy. Ob obiskovanju posameznika te spletne strani se njegovi osebni podatki, vključno z naslovom IP in podatki o piškotkih ter podatki o Google računu, če je posameznik prijavljen, posredujejo Googlu prek vgrajenih Googlovih storitev, vključno s storitvijo Google Analytics.
Odločitev nadzornega organa
Nadzorni organ je na podlagi postopka, ki se je začel 14.08.2020, izdal temeljito odločitev:
V prvi točki je nadzorni organ odločil, da je Cyprus News Agency dejansko upravljavec zaradi lastne odločitve o integraciji orodja, ki je omogočilo obdelavo osebnih podatkov posameznika. Zaradi tega je bil upravljavec dolžan sprejeti vse ukrepe, da ne bi spodkopal ravni varstva osebnih podatkov, ki jih je obdeloval, ali ko je obdelavo poveril obdelovalcu.
Google LLC je obdelovalec na podlagi splošnih pogojev Google Adds, saj je hranil in obdeloval osebne podatke posameznika v državah, kjer Google ali kateri koli njegov podobdelovalec podatke obdeluje. Logično je, da ima Google LLC pogodbeno razmerje z upravljavcem, na podlagi katerega je Google LLC zaupana obdelavi podatkov v imenu upravljavca, ki lahko poteka tudi zunaj držav EU/EGP.
Nadaljnja preiskava je pokazala, da je zadevna obdelava vključevala izmenjavo podatkov prek piškotkov, ki so shranjeni v napravi posameznika in obdelujejo edinstvene identifikacijske številke uporabnikov, ki omogočajo razlikovanje med obiskovalci spletnega mesta.
Odgovor na prvo vprašanje posameznika je torej, da je upravljavec posredoval njegove podatke Google LLC, in sicer njegove edinstvene identifikacijske številke in IP naslov. V skladu s sodno prakso Sodišča EU sledi, da naslov IP predstavlja osebni podatek v skladu s 4. členom GDPR, tega statusa pa ne izgubi zgolj zato, ker je posameznik določljiv s strani tretjih oseb. Posameznika je bilo namreč mogoče identificirati z orodjem, integriranim na spletni strani upravljavcev.
V drugi točki je nadzorni organ izpostavil, da je pomanjkanje pravne podlage za obdelavo nezakonito, saj mora temeljiti na vsaj enem od pogojev iz člena 6 GDPR.
V tretji točki je nadzorni organ odločil, da je na podlagi dejstev tega primera očitno, da:
ima upravljavec sedež na Cipru in je odgovoren za delovanje spletne strani,
je upravljavec osebne podatke posameznika razkril podjetju Google LLC, ki ima registriran sedež v ZDA.
Poleg tega je Google LLC ponudnik, za katere v skladu z zakonodajo ZDA velja, da imajo ameriške obveščevalne agencije dostop do osebnih podatkov posameznika, pri čemer pa upravljavec ni oproščen svoje odgovornosti za njihovo zaščito.
Nadzorni organ je poudaril, da upravljavec ni mogel zagotoviti nobenega od zaščitnih ukrepov za zagotovitev ustrezne ravni varstva podatkov v primeru prenosa podatkov v ZDA, potrebnih v skladu s 44. členom GDPR. Prvič, Privacy shield EU-ZDA je bil razveljavljen s primerom C-311/18, takrat torej ni obstajal ustrezni zaščitni mehanizem. Na podlagi te odločbe tudi sledi, da SCC kot orodje za prenos ne more zavezovati organov tretje države. Čeprav lahko SCC včasih zagotovi potrebno varstvo podatkov med prenosi v tretje države, obstajajo primeri, ko te klavzule ne zadostujejo. To še posebej velja, če zakoni tretjih držav dovoljujejo javnim organom poseganje v pravice posameznikov, kot je bilo v tem primeru. Tretjič, zadnja zaščitna možnost je zagotovljena v skladu s členom 49 GDPR, vendar se v obravnavanem primeru nanjo ni dovoljeno sklicevati, saj je soglasje uporabnika mogoče uporabiti le v posebnih primerih, ne pa za ponavljajoče se prenose, kot je tisti, ki se sproži vsakič, ko uporabnik obišče spletno mesto.
Posledično upravljavec ni uspel dokazati, da je raven zaščite podatkov posameznikov med prenosom med prenosom, ki jo zahteva GDPR, zagotovljena, kar je v nasprotju s členom 44 GDPR in členom 5(2) GDPR.
Poleg tega je treba ugotoviti, ali za Google LLC veljajo obveznosti iz poglavja V uredbe GDPR. V skladu s smernicami 5/2021 Evropskega odbora za varstvo podatkov pride do prenosa, ko so osebni podatki sporočeni ali dani na voljo drugemu upravljavcu ali obdelovalcu. Zato mora upravljavec kot izvoznik podatkov izpolnjevati zahteve poglavja V, vendar Google LLC, uvoznik podatkov, temu ni zavezan. Zato pri oceni tega prenosa ni mogoče ugotoviti nobene kršitve 44. člena GDPR s strani družbe Google LLC.
Na koncu se je nadzorni organ odločil upravljavcu izreči opomin zaradi kršitve člena 5(2) in 44 GDPR. Upravljavcu je tudi odredil, da naj, če bo prenos še vedno izvajal, slednjega izvaja na podlagi novega okvira za varstvo podatkov EU-ZDA, Izvedbenega sklepa (EU) 2023/1795 ali na podlagi ustreznih zagotovil po 46. členu GDPR.
Celotna odločitev je dostopna tukaj
Vir: GDPRHub
