W ciągu miesiąca od wydania przez TSUE wyroku „Schrems II” (TSUE - C-311/18 - Schrems II), organizacja pozarządowa „noyb” złożyła 101 skarg, w których podniesiono przekazywanie przez strony internetowe danych poza EOG , tj. do Google LLC i Facebook Inc. w USA (zob. tutaj oraz tutaj).
Aby skoordynować prace wszystkich zaangażowanych organów nadzorczych, EROD utworzył specjalną grupę zadaniową. Decyzja austriackiego organu nadzorczego, o której mowa poniżej, została wydana w wyniku złożenia jednej ze skarg.
Przesyłanie informacji do Facebook (Meta Platforms Inc.) podczas odwiedzania stron internetowych
W dniu 12.08.2020 r. osoba, której dane dotyczą, odwiedziła stronę internetową usadowioną na serwerze austriackiej firmy medialnej. Osoba ta była jednocześnie zalogowana na swoim koncie na poratlu Facebook. Austriacka firma korzystała z narzędzia Facebook Login, które ułatwia użytkownikom dostęp do usług oferowanych bez konieczności zakładania dodatkowych kont. Austriacka firma korzystała również z narzędzia Facebook Pixel, dzięki czemu mogła śledzić aktywność użytkowników na swojej stronie internetowej.
Zdaniem osoby, o której mowa powyżej (reprezentowanej przez noyb), sam dostęp do strony internetowej austriackiej firmy, spowodował bezprawne przekazanie danych osobowych do USA, a w konsekwencji, naruszenie rozdziału V RODO. W związku, w dniu 18.08.2020 r. złożono skargę na austriacki podmiot niniejszym medialny, wskazując na stosowanie narzędzi śledzenia, których wykorzystanie narusza Artykuł 44 RODO i następne. Ponadto skarżący twierdził, że Meta naruszyła Artykuł 5 ust. 2, 28 oraz 29 RODO.
Dochodzenie prowadzone przez austriacki organ nadzorczy trwało kilka miesięcy. W trakcie postępowania zaskarżony administrator podnosił, że dezaktywował narzędzia Facebooka po złożeniu skargi. Ponadto argumentował, że bezpośrednim kontrahentem i stroną umowy zawartej przez niego z Facebook jest Meta Platforms Ireland Limited. W związku z tym kolejne transfery, w tym transfery poza UE, były poza zakresem jego kompetencji. Austriacka firma podnosiła także, że transfery poza EOG były uzasadnione w świetle szczególnych zasad odnoszących się w Austrii do firm medialnych z uwagi na działalność dziennikarską. Meta Platforms Inc. twierdziła, że jest jedynie podwykonawcą przetwarzania danych w imieniu Meta Platforms Ireland Limited, w związku z czym RODO nie ma zastosowania.
Osoba skarżąca, nie zgodziła się z powyższymi stanowiskami, twierdząc, że dezaktywacja narzędzi po złożeniu skargi nie ma znaczenia, ponieważ naruszenie miało już miejsce. Ponadto skarżąca podkreśliła, że administrator nie mógł powołać się na wyjątki odnoszące się do działalności dziennikarskiej, biorąc pod uwagę charakter i okoliczności przekazania danych. Wreszcie skarżąca, argumentowała, że rozdział V RODO ma zastosowanie do wszystkich transferów danych, niezależnie od subiektywnej kwalifikacji zaangażowanych stron.
Austriacki organ nadzorczy o działaniu Meta Platforms Inc.
Zdaniem austriackiego organu nadzorczego, Meta Platforms Inc. nie naruszyła Artykułu 44 RODO i następnych, będąc jedynie importerem danych, a z takim statusem, nie była obciążona obowiązkami wynikającymi z rozdziału V RODO. W przypadku tego transferu Meta nie ujawniała danych, a jedynie je otrzymywała. Meta nie ponosiła również odpowiedzialności na podstawie Artykułu 5 ust. 2 RODO, gdyż przepis ten nakłada obowiązek na administratora danych, którym Meta nie jest. Austriacki organ nie rozwodził się obszernie nad kwalifikacją Meta Platforms Inc. W świetle RODO, uznając jedynie, że w niniejszej sprawie nie ma wystarczających dowodów, aby zakwalifikować Meta jako administratora danych. Jeśli idzie o Artykuły 28 oraz 29 RODO, to dotyczą one relacji administratora z podmiotem przetwarzającym, wobec czego nie przyznają prawa podmiotowego osobom, których dane dotyczą (a takie umożliwiałoby złożenie skargi).
Stanowisko organu nadzorczego w sprawie austriackiej firmy
Organ nadzorczy uwzględnił jednak skargę, względem austriackiej firmy medialnej (administratora). Przede wszystkim, sam fakt, że spółka dezaktywowała narzędzia Facebooka po złożeniu skargi nie wystarczył, by wykluczyć naruszenie Artykułu 44 RODO i następnych, ponieważ naruszenie miało już miejsce.
Ponadto, organ wyjaśnił zakres stosowania wyjątku dotyczącego działalności dziennikarskiej, przewidzianego w prawie austriackim (zgodnie z Artykułem 85 RODO). W świetle wyroku TSUE C-73/07 „dane osobowe są przetwarzane do celu realizacji działalności dziennikarskiej, jeżeli przetwarzanie ma na celu wyłącznie publiczne rozpowszechnienie informacji, opinii lub myśli”. W niniejszej sprawie narzędzia Facebooka dostępne na stronie internetowej administratora zostały wdrożone w innych celach: śledzenia użytkownika oraz w ułatwienia procedury logowania. Ponadto, po przekazaniu danych do Meta Ireland, mogły zostać wykorzystane do dalszych celów. Z tego względu powyższy wyjątek w sposób oczywisty nie miał zastosowania w niniejszej sprawie.
Ponadto austriacki organ nadzorczy zbadał, czy doszło do międzynarodowego transferu danych w rozumieniu Rozdziału V RODO i czy transfer ten był zgodny z przepisami. W świetle wyroku w sprawie „Schrems II”, Artykuł 44 RODO przyznaje osobom prawo podmiotowe, które może być egzekwowane poprzez złożenie skargi na podstawie Artykułu 77 ust. 1 RODO. Dane przekazywane do USA za pośrednictwem narzędzi Facebook były danymi osobowymi, ponieważ Meta Platforms Ireland Limited - podmiot przetwarzający dane - mógł powiązać dane przesyłane ze strony internetowej, z danymi osoby dostępnymi poprzez konto Facebook. Z orzeczeń TSUE wynika, że nie było konieczne, aby przetwarzane były wszystkie informacje wymagane do identyfikacji osoby (zob. C-434/16 oraz C-582/14). Austriacki organ nadzorczy odrzucił jako nieistotny argument, że po przekazaniu danych do Meta, administrator danych nie miałby już kontroli nad dalszym przetwarzaniem. Organ uznał, że administrator zgodził się, na podstawie Artykułu 28 ust. 2, na to, aby podmiot przetwarzający (Meta Platforms Ireland Limited) mógł dalej powierzać dane podwykonawcy mającego siedzibę poza EOG (Meta Platforms Inc.). W efekcie, faktycznie doszło do międzynarodowego transferu danych.
W odniesieniu do zgodności z przepisami dotyczącymi transferu danych, austriacki organ nadzorczy nie odnalazł żadnej podstawy prawnej, która pozostawałaby w zgodzie z RODO. Decyzja Komisji UE o adekwatności w zakresie przekazywania danych z UE do USA została unieważniona przez wyrok „Schrems II”. W konsekwencji, importer i eksporter danych nie mogli powołać się na Artykuł 45 RODO. Ponadto, Meta wdrożyła standardowe klauzule umowne zgodnie z Artykułem 46 RODO dopiero po zaistnieniu spornego stanu faktycznego. Oznacza to, że administrator danych w sposób niezgodny z prawem przekazał dane osobowe do podmiotu posiadającego siedzibę do USA i w konsekwencji naruszył rozdział V RODO.
Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!
Czy korzystanie z widgetów Facebooka wiąże się z transferem danych do państw trzecich?