Njemačka - sud je presudio u zahtjevu za nematerijalnom štetom da voditelj obrade koji upravlja platformom društvenih medija može zakonito prenijeti podatke u SAD oslanjajući se na odluku o primjerenosti i, prethodno, na SCC-ove.
Ispitanik je pokrenuo tužbu pred regionalnim sudom u Traunsteinu (Landesgericht Traunstein – LG Traunstein) sa zahtjevom da voditelju obrade naloži naknadu nematerijalne štete protiv platforme društvene mreže koja također pruža uslugu slanja poruka. Ovom platformom upravlja tvrtka sa sjedištem u SAD-u.
Prvo, ispitanik stavlja voditelju obrade na teret da stalno nadzire privatne poruke te da politika privatnosti nije transparentna i previše složena.
Drugo, ispitanik tvrdi da putem kolačića voditelj obrade prikuplja podatke koji se odnose na aktivnosti koje se događaju izvan društvene mreže bez pristanka ispitanika.
Treće, tvrdi da je voditelj obrade proslijedio sve osobne podatke u vezi s ispitanikovim računom u SAD te je da je ovaj prijenos nezakonit jer SAD nije zajamčio razinu zaštite ekvivalentnu GDPR-u.
Što je o svemu rekao voditelj obrade?
Što se tiče prvog argumenta, voditelj obrade je istaknuo da provodi skeniranje privatnih poruka samo kada želi otkriti činjenice seksualnog zlostavljanja djece (CSAM) ili drugih dijela, a što je u skladu s e-Privacy Direktivom 2002/58/EC (vidi članak 3. Uredbe (EU) 2021/ 1232).
Štoviše, voditelj obrade tvrdio je da poštuje svoje obveze transparentnosti i da je prijenos podataka u SAD zakonit budući da postoji odluka o primjerenosti, a prije toga su postojali SCC-ovi.
Odluka nadležnog suda
Sud je presudio da ispitanik nije dokazao da voditelj sustavno i automatski prati sadržaj koji se razmjenjuje putem usluge slanja poruka. Utvrđeno je da je voditelj obrade dokazao da provodi samo dopušteno CSAM skeniranje. Prema sudu, ova obrada pokrivena je pravnom osnovom predviđenom člankom 6. stavkom 1. točkom (f) GDPR-a.
Drugo, smatrao je da, zbog opsežnih zahtjeva za zaštitu podataka koji se nameću voditelju obrade, politika privatnosti ne može biti sažetija ili jednostavnija. Stoga nije utvrdio kršenje članaka 13. i 14. GDPR-a.
Treće, nije podržao argument ispitanika o kolačićima. Ustanovio je da se voditelj obrade može osloniti na privolu prema članku 6. stavku 1. točki (a) i članku 9. stavku 2. točki (a) GDPR-a za prikupljanje podataka.
Četvrto, sud je primijetio da je platforma društvenih medija dizajnirana kao globalna platforma čiji je cilj omogućiti korisnicima da imaju pristup svjetskoj mreži i omogućiti korisnicima da imaju "prijatelje" iz cijelog svijeta. Stoga je, prema sudu, očito – a ispitanik bi to trebao znati – da se podaci također prenose u SAD, pogotovo jer potraga za korisnicima u drugim jurisdikcijama može funkcionirati samo ako postoji prekogranična razmjena podataka.
Sud smatra da ispitanik treba prihvatiti poslovnu odluku voditelja obrade o prijenosu podataka u SAD jer nitko nije prisiljen koristiti platformu.
Na kraju, nadležni sud je presudio da je prijenos podataka koji je u pitanju neophodan za izvršenje ugovora i stoga je zakonit prema članku 6. stavku 1. točki (b) GDPR-a.
Konačno, što se tiče poglavlja V. GDPR-a, sud je istaknuo da se trenutno voditelj obrade može osloniti na Provedbenu odluku Komisije EU 2023/1795 koja dopušta prijenose podataka u SAD prema članku 45. stavku 3. GDPR-a.
Što se tiče prethodnog razdoblja, utvrdio je da standardne ugovorne klauzule koje je Europska komisija usvojila 2010. i 2021. u skladu s člankom 46. stavkom 2. točkom (c) GDPR-a pružaju dovoljnu pravnu osnovu. Prema sudu, činjenica da vladina tijela SAD-a mogu pristupiti podacima koje prenosi voditelj obrade ne sprječava jamstvo istovjetne razine zaštite budući da je također moguće da tijela EU-a imaju takav pristup podacima prema članku 6. stavku 1. (c) GDPR.
Sud je presudio da je prijenos podataka ipak zakonit jer je neophodan za izvršenje ugovora prema članku 49. stavku 1. točki (b) GDPR-a.
Čini se da ova presuda nije u skladu s ustaljenom sudskom praksom Suda Europske unije. U predmetu C-311/18, Schrems II, Sud Europske unije presudio je da kada se osobni podaci prenose u treću zemlju u skladu sa standardnim klauzulama o zaštiti podataka, mora se omogućiti istovjetna razine zaštite. Da bi se provela ova procjena, mora se uzeti u obzir ne samo sadržaj SCC-ova, već i relevantni aspekti pravnog sustava te treće zemlje, u pogledu bilo kakvog pristupa javnih tijela te treće zemlje prenesenim osobnim podacima.
U istom predmetu CJEU je utvrdio da pravni sustav SAD-a ne jamči ekvivalentnu razinu zaštite (stavci 198.-199.).
Rekli bi mnogi, napokon jedna odluka koja olakšava mnogima koji vrše prijenos u SAD.