Soudní dvůr EU zveřejnil rozsudek ve věci T-354/22 | Bindl v. Komise, v němž uložil Komisi povinnost zaplatit náhradu újmy návštěvníkovi její internetové stránky Konference o budoucnosti Evropy z důvodu předání osobních údajů do Spojených států.
Komise prostřednictvím hypertextového odkazu „Sign in with Facebook“ zobrazeného na internetové stránce EU Login vytvořila podmínky umožňující předání IP adresy dotčené osoby americkému podniku Meta Platforms.
Občan, který bydlí v Německu, vytýká Komisi, že porušila jeho právo na ochranu osobních údajů při jeho návštěvách internetových stránek Konference o budoucnosti Evropy (na adrese https://futureu.europa.eu), které spravuje Komise, v letech 2021 a 2022. Konkrétně se prostřednictvím těchto stránek přihlásil na událost „GoGreen“ s využitím ověřovací služby Komise, EU Login, přičemž zvolil nabízenou možnost připojit se prostřednictvím svého účtu na Facebooku.
Dotčený má za to, že při návštěvě těchto internetových stránek byly jeho osobní údaje, zejména jeho IP adresa, jakož i informace o jeho prohlížeči a terminálu, předány příjemcům usazeným ve Spojených státech.
Tyto údaje byly zaprvé údajně předány americkému podniku Amazon Web Services jakožto provozovateli sítě pro šíření obsahu, nazvané Amazon CloudFront, která je užívána dotčenými internetovými stránkami. Kromě toho při přihlášení se na událost „GoGreen“ pomocí jeho účtu na Facebooku byly tyto údaje údajně předány americkému podniku Meta Platforms, Inc.
Podle dotyčného přitom Spojené státy nemají odpovídající úroveň ochrany. Tato předání údajně vedla k riziku přístupu amerických bezpečnostních a zpravodajských služeb k jeho údajům. Komise neuvedla žádnou z vhodných záruk, které by mohly toto předávání (stanovené v kapitole V nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů) odůvodnit.
Z tohoto důvodu požaduje zaplacení 400 eur jako náhrady morální újmy, kterou údajně utrpěl v důsledku sporných předání.
Domáhá se rovněž zrušení předání jeho osobních údajů, konstatování, že Komise v rozporu s právem nezaujala stanovisko k jeho žádosti o informace, a uložení povinnosti Komisi zaplatit mu částku 800 eur jako náhradu morální újmy, která mu údajně vznikla v důsledku porušení jeho práva na přístup k informacím.
Tribunál odmítl návrh na zrušení jako nepřípustný a rozhodl, že o návrhových žádáních na určení nečinnosti již není důvodné rozhodovat. Tribunál rovněž zamítl návrh na náhradu újmy založený na porušení práva na přístup k informacím, když měl za to, že tvrzená morální újma není dána.
Pokud jde o návrh na náhradu újmy založený na sporných předáních údajů, Tribunál tuto žádost zamítl, pokud jde o předávání údajů prostřednictvím Amazon CloudFront.
Tribunál totiž dospěl k závěru, že při jednom ze sporných spojení neproběhlo předání údajů do Spojených států, ale podle zásady blízkosti k serveru nacházejícímu se v Mnichově v Německu. Podle smlouvy uzavřené mezi Komisí a provozovatelem Amazon CloudFront, lucemburským podnikem Amazon Web Services, měl posledně uvedený podnik zajistit, aby údaje zůstaly ve stavu klidu a při přenosu v Evropě.
Pokud jde o další spojení, byl to sám dotčený, kdo způsobil odeslání příslušných požadavků prostřednictvím mechanismu směrování v rámci Amazon CloudFront na servery ve Spojených státech. Z důvodu technického nastavení se totiž uváděná poloha dotčeného nacházela ve Spojených státech.
Naproti tomu, pokud jde o přihlášení se dotčeného na událost „GoGreen“, Tribunál měl za to, že Komise prostřednictvím hypertextového odkazu „Sign in with Facebook“ zobrazeného na internetových stránkách EU Login vytvořila podmínky umožňující předání IP adresy dotčeného platformě Facebook. Tato IP adresa představuje osobní údaj, který byl prostřednictvím uvedeného hypertextového odkazu předán společnosti Meta Platforms, podniku se sídlem ve Spojených státech. Toto předání musí být přičítáno Komisi.
V okamžiku tohoto předání, tedy dne 30. března 2022, přitom neexistovalo ve vztahu ke Spojeným státům žádné rozhodnutí Komise konstatující, že Spojené státy zajišťují odpovídající úroveň ochrany osobních údajů občanů Unie. Komise navíc neprokázala, dokonce ani netvrdila existenci vhodné záruky, zejména standardní doložky o ochraně údajů nebo smluvní doložky. Zobrazení hypertextového odkazu „Sign in with Facebook“ na internetových stránkách EU Login se řídilo obecnými podmínkami platformy Facebook.
Komise tedy nedodržela podmínky stanovené unijním právem pro předávání osobních údajů unijním orgánem, subjektem nebo institucí do třetí země.
Tribunál konstatoval, že se Komise dopustila dostatečně závažného porušení právní normy, jejímž účelem je přiznat práva jednotlivcům. Dotčený utrpěl morální újmu, neboť se ocitl ve stavu nejistoty, pokud jde o zpracování jeho osobních údajů, zejména jeho IP adresy. Kromě toho existuje dostatečně přímá příčinná souvislost mezi porušením ze strany Komise a morální újmou, kterou dotčený utrpěl.
Vzhledem k tomu, že podmínky vzniku mimosmluvní odpovědnosti Unie byly splněny, Tribunál uložil Komisi povinnost zaplatit dotčenému částku 400 eur, kterou požadoval.
Úplné znění rozsudku, a případně jeho shrnutí jsou zveřejněny na internetové stránce CURIA v den vyhlášení.
Zdroj: SDEU
Foto: canva.com
