Dana 14.08.2020. ispitanik je posjetio web stranicu u vlasništvu austrijske tvrtke (pružatelj usluge web stranice) dok je bio prijavljen na svoj osobni Google račun. Web stranica je koristila Google Analytics - alat Google LLC za mjerenje i praćenje korištenja web-mjesta. Prema pružatelju usluge web stranice i Google LLC-u, pružatelj usluge kvalificiran je kao voditelj obrade (članak 4(7) GDPR), a Google LLC kao izvršitelj obrade (članak 4(8) GDPR) za obradu podataka u vezi s Google Analyticsom. Nadalje, prema pravilima o privatnosti navedenim na web stranici ili uključenima putem hiperveze, pružatelj usluge web stranice i Google LLC sklopili su standardne ugovorne klauzule prema članku 46. stavku 2. točki (c) GDPR-a (Odluka Komisije 2010/87 od 5. veljače 2010.; SCC-ovi) kao mehanizam za prijenos osobnih podataka s obzirom na Google Analytics.
Dana 18. 8. 2020. ispitanik (kojeg zastupa NOYB) podnio je žalbu austrijskom nadzornom tijelu DSB-u (Datenschutzbehörde) protiv pružatelja usluge web stranice (u njegovoj ulozi izvoznika podataka) i Google LLC (u njegovoj ulozi uvoznika podataka), tvrdeći da su prekršili članak 44. GDPR-a u svjetlu presude "Schrems II" prijenosom osobnih podataka Google LLC-u. Budući da se Google LLC kvalificira kao "pružatelj elektroničkih komunikacijskih usluga" prema 50 U.S. Code § 1881(b)(4), podložan je nadzoru američkih obavještajnih službi i može mu se narediti da otkrije osobne podatke europskih građana (u ovom slučaju ispitanika – posjetitelja web stranice).
Tijekom postupka, koji je trajao gotovo godinu i pol i uključivao razmjenu više podnesaka između stranaka, Google LLC i pružatelj usluge web stranice tvrdili su da čak i ako je došlo do prijenosa podataka Google LLC-u u SAD-u, preneseni podaci ne mogu se smatrati osobnim podacima prema članku 4. stavku 1. GDPR-a jer se ne mogu povezati s ispitanikom.
Nadalje, tvrdili da su poduzeli dovoljno dodatnih mjera u slučaju stvarnog prijenosa osobnih podataka.
Naposljetku, iznijeli su argument da Poglavlje V. GDPR-a i zaključeni SCC-ovi slijede "pristup temeljen na riziku" i da je postojao vrlo nizak rizik da je ispitanik stvarno bio pod nadzorom SAD-a.
Google LLC tvrdio je da se Poglavlje V. GDPR odnosi samo na izvoznika podataka (tj. pravni subjekt koji stvarno prenosi podatke u treću zemlju), ali ne i na Google LLC u njegovoj ulozi običnog uvoznika podataka.
DSB je u svojoj odluci s obzirom na Google LLC, DSB smatrao da Poglavlje V. GPPR-a nameće zakonske obveze samo izvozniku podataka, ali ne i primatelju podataka. Slijedom toga, DSB je odbacio pritužbu protiv Google LLC-a, ali je objavio da će provesti istragu po službenoj dužnosti i izdati posebnu odluku o pitanju je li Google LLC prekršio GDPR.
DSB je u potpunosti prihvatio pritužbu u odnosu na pružatelja web stranice i odlučio kako slijedi:
Web stranica je 14. 8. 2020. prenijela osobne podatke ispitanika u Google LLC, uključujući korisničke identifikatore, IP adresu i parametre preglednika; SSC-ovi sklopljeni između tuženika ne nude odgovarajuću razinu zaštite jer se Google LLC kvalificira kao "davatelj elektroničkih komunikacijskih usluga" prema 50 U.S. Code § 1881(b)(4) i podložan je nadzoru američkih obavještajnih službi i sve dodatne mjere zaštite koje su uvedene bile su nedovoljne jer ne mogu spriječiti američke obavještajne službe u pristupu osobnim podacima ispitanika.
Pružatelj web stranice nije se mogao osloniti na druge mehanizme prijenosa prema Poglavlju V. GDPR-a.
Slijedom toga, pružatelj web stranice nije osigurao odgovarajuću razinu zaštite u smislu članaka 44 GDPR-a.
Google LLC uložio je žalbu na odluku. Google LLC je naveo da su prijenosi bili zakoniti jer su se oslanjali na standardne ugovorne klauzule (SCC) u skladu s člankom 46. stavkom 2. točkom (c) GDPR-a. Također je tvrdio da je usvojio "pristup temeljen na riziku" za prijenose, provedbom tehničkih i organizacijskih mjera s ciljem ublažavanja rizika za prava europskih građanina za zaštitu podataka.
Pružatelj usluge web stranice također se žalio na odluku, tvrdeći da se Poglavlje V. GDPR-a odnosi i na uvoznike podataka.
Bundesverwaltungsgericht - BVwG (austrijski savezni upravni sud) proveo je reviziju odluke DSB-a i 12.5.2023. donio sljedeću odluku:
Rješavajući žalbu, sud je potvrdio da je prijenos podataka tvrtki Google LLC bio nezakonit.
Online identifikatori (IP adresa, kolačići i sl.) sami po sebi redovito ne identificiraju osobu, budući da ne identificiraju izravno fizičku osobu koja je vlasnik krajnjeg uređaja (računala) s kojeg se pristupilo web stranici, niti identitet druge osobe osoba koja bi mogla koristiti to računalo. Međutim, ovisno o okolnostima, ponekad je moguća identifikacija.
Prema GDPR-u, pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca
Kako bi se utvrdilo može li se fizička osoba identificirati, treba uzeti u obzir sva sredstva za koja je razumno vjerojatno da će ih upotrijebiti voditelj obrade ili bilo koja druga osoba za izravnu ili neizravnu identifikaciju fizičke osobe. Čisto hipotetska mogućnost identificiranja osobe nije dovoljna da bi se osoba smatrala prepoznatljivom. Međutim, također nije potrebno da odgovorna osoba stvarno uloži napor ili već ima odgovarajuća sredstva za identifikaciju, već je dovoljna vjerojatnost da će pokrenuti ili steći odgovarajuća sredstva. Za procjenu pitanja prepoznatljivosti stoga nije važno je li vas voditelj obrade doista pokušao identificirati.
Prilikom utvrđivanja je li vjerojatno da će se sredstva koristiti za identifikaciju fizičke osobe na temelju opće prosudbe, moraju se uzeti u obzir svi objektivni čimbenici kao što su troškovi identifikacije i vrijeme potrebno za to u okviru analize rizika ili prognoze, uzimajući u obzir tehnologiju i tehnološki razvoj dostupan u trenutku obrade.
U ovom slučaju može se pretpostaviti vjerojatnost identifikacije jer korišteni mrežni identifikatori (IP adresa, kolačići) omogućuju razlikovanje posjetitelja web stranice. Može se pretpostaviti da bez korištenja informacija koje su predmet postupka Google LLC ne bi mogao ponuditi upotrebljivu uslugu mjerenja jer Google Analytics ne bi mogao bez kolačića napraviti korisna mjerenja posjeta web stranici. Može se pretpostaviti da postoji stvarni rizik da će Google Analytics vjerojatno koristiti sredstva za identifikaciju fizičke osobe.
S informacijama koje se prenose voditelju obrade generira se "digitalni otisak" koji omogućuje identifikaciju ispitanika.
Što se tiče mrežnih identifikatora, treba napomenuti da kolačići "_ga" ili "cid" (ID klijenta) i "_gid" (ID korisnika) sadrže jedinstvene identifikacijske brojeve i pohranjuju se na krajnjem uređaju ili u pregledniku korisnika web stranice.
Bez ovih identifikacijskih brojeva stoga nije moguće razlikovati posjetitelje web stranice. U tom kontekstu, svi skupovi podataka koji sadrže identifikatore koji se mogu koristiti za identifikaciju korisnika, smatraju se osobnim podacima i moraju kao takvi biti i zaštićeni.
Što se tiče IP adrese, treba napomenuti da "funkcija anonimiziranja" IP adrese nije bila ispravno implementirana u trenutku kada su podaci preneseni i stoga ih je Google LLC u potpunosti pohranio. U tom kontekstu treba napomenuti da općenito pohranjivanje IP adresa predstavlja ozbiljno kršenje temeljnih prava budući da IP adrese omogućuju donošenje preciznih zaključaka o privatnom životu korisnika. To može imati odvraćajući učinak na ostvarivanje zajamčenih sloboda izražavanja.
Također nije važno tko zapravo posjeduje IP adresu: odlučujući faktor je mogu li se iz IP adrese izvući zaključci o dotičnoj osobi (korisniku). Postupak je pokazao da je IP adresa ispitanika prenesena izravno pružatelju usluge web stranice.
Američke obavještajne službe koriste online identifikatore (IP adrese ili jedinstvene identifikacijske brojeve) kao polazište za nadzor pojedinaca. Konkretno, ne može se isključiti mogućnost da su servisi već prikupili informacije koje se mogu koristiti za praćenje podataka koji su ovdje preneseni natrag do ispitanika. Prenose se metapodaci i podaci o sadržaju na temelju zahtjeva za podacima. Da se ne radi samo o "teoretskoj opasnosti" govori i presuda suda Europske unije od 16. srpnja 2020., C-311/18 (Schrems II) o nekompatibilnosti takvih metoda i mogućnosti pristupa američkih vlasti s temeljnim pravom na zaštitu podataka
Ispitanik nemaju priliku provjeriti jesu li osobni podaci već proslijeđeni američkim tijelima ili vlasti SAD-a već imaju osobne podatke ispitanika.
Voditelj obrade (pružatelj usluge web stranice) nastavio je koristiti alat Google Analytics unatoč objavljivanju presude 16. srpnja 2020.
GDPR predviđa dvostupanjsku provjeru dopuštenosti (dva uvjeta) kao osnovnu odredbu za međunarodni prijenos podataka. Prvi uvjet da se podaci uopće mogu prenijeti u treću zemlju je da se poštuju i druge odredbe GDPR-a . U sklopu drugog uvjeta mora se provjeriti ispunjava li se jedan od zahtjeva iz čl. 45 - 49 GDPR.
Prema čl. 45 GDPR-a, dopuštenost postoji ako je Komisija u odluci o primjerenosti utvrdila da dotična treća zemlja nudi odgovarajuću razinu zaštite. Ako postoji odluka o primjerenosti, nije potrebno odobrenje za prijenos podataka u tu treću zemlju. Ako ne postoji odluka o primjerenosti, potrebno je dodatno provjeriti ispunjavaju li se zahtjevi iz čl. 46., 47. ili 49. GDPR-a.
Nakon što je Sud EU proglasio "EU-US Privacy Shield" nevažećim svojom odlukom od 16. srpnja 2020., C-311/18 (Schrems II), sporni prijenos podataka 14. kolovoza 2020. na temelju odluke o primjerenosti više se ne može opravdati. Odlukom Schrems II pojašnjeno je da se SAD za sada treba smatrati "trećom zemljom" i da trenutno ne postoji adekvatnost za prijenos osobnih podataka u skladu s čl. 45 GDPR.
Google LLC prijenos je temeljio na standardnim klauzulama o zaštiti podataka u skladu s člankom 46. stavkom 2. točkom (c) GDPR-a. Prijenos predmetnih podataka u postupku nije potkrijepio daljnjim "prikladnim jamstvima" u skladu s čl. 46 GDPR.
Prilikom prijenosa osobnih podataka u treću zemlju, standardne klauzule o zaštiti podataka moraju osigurati provediva prava i učinkovite pravne lijekove koji uživaju razinu zaštite koja je suštinski jednaka onoj koju u EU-a jamči GDPR u svjetlu Povelje EU-a o temeljnim pravima. U tom kontekstu moraju se uzeti u obzir ugovorni aranžmani dogovoreni između voditelja obrade sa sjedištem u EU-a i primatelja prijenosa sa sjedištem u dotičnoj trećoj zemlji, kao i oni relevantni koji se tiču bilo kakvog pristupa nadležnih tijela.
U vezi s ovim slučajem, sud je utvrdio da iako je Google LLC proveo određene organizacijske i tehničke mjere, one nisu bile dovoljne da bi spriječile američke obavještajne agencije u pristupu osobnim podacima europskih građana. Zapravo, Googleovo vlastito izvješće pokazalo je da je broj zahtjeva koje su podnijele takve agencije zapravo vrlo velik.
Ocjenjujući Googleove organizacijske mjere, sud je primijetio da ugovorna obveza da se izvoznik podataka obavijesti o zahtjevu za pristup od strane javnog tijela nije dovoljna za rješavanje rizika za temeljna prava ispitanika. U hitnim slučajevima, američki zakon omogućuje javnim tijelima da naredi subjektima nadzora da ne dijele s trećim stranama nikakve informacije o otkrivanju/prijenosu osobnih podataka. Pored navedenog, europski građani nemaju učinkovit pravni lijek protiv nezakonitog otkrivanja osobnih podataka.
U ovom slučaju, prvo treba napomenuti da je Europski sud pravde proglasio "EU-US Privacy Shield" nevažećim jer nije bio u skladu s člancima 7., 8. i 47. Povelje budući da su američke vlasti nudile nerazmjerne mogućnosti pristupa, a ispitanicima (koji nisu građani SAD-a) nisu bili dostupni učinkoviti pravni lijekovi. S obzirom na temeljna prava zajamčena čl. 7. i 8. Povelje, ni odjeljak 702. FISA-e ni EO 12333 u vezi s PPD-28 ne ispunjavaju minimalne zahtjeve koji postoje u pravu EU prema načelu proporcionalnosti, tako da se ne može pretpostaviti da su programi praćenja temeljeni na ovim odredbama ograničeni na ono što je apsolutno neophodno. Također treba napomenuti u vezi s programima nadzora koji se temelje na Odjeljku 702 FISA-e i programima nadzora koji se temelje na EO 12333 da ni PPD-28 ni EO 12333 ne daju dotičnim osobama prava koja se mogu pravno nametnuti protiv američkih vlasti , tako da te osobe nemaju djelotvoran pravni lijek.
Ove okolnosti, koje su dovele do ukidanja "EU-US Privacy Shielda", također se moraju uzeti u obzir prilikom procjene prijenosa podataka u skladu s člankom 46. stavkom 2. točkom (c) GDPR-a. U tom smislu treba napomenuti da standardne klauzule o zaštiti podataka, po svojoj prirodi, ne mogu ponuditi nikakva jamstva koja nadilaze ugovornu obvezu osiguranja usklađenosti s razinom zaštite koju zahtijeva pravo EU. Konkretno, zbog prirode ugovora, ne mogu ih koristiti tijela trećih zemalja (kao što su SAD obavještajne službe) (ECJ 16. srpnja 2020., C-311/18 (Schrems II), stavak 132. f).
Ova se razmatranja mogu primijeniti na ovaj slučaj. Očito je da se Google LLC kvalificira kao pružatelj elektroničkih komunikacijskih usluga i stoga je podložan nadzoru američkih obavještajnih službi u skladu s "FISA 702". Prema tome, ima obvezu staviti osobne podatke na raspolaganje američkim vlastima na raspolaganje. U tom kontekstu, klauzule ne nude nikakva sredstva za učinkovito suzbijanje ili sprječavanje takvih zahtjeva. Prema Google izvješću o transparentnosti BF2, takve im upite redovito postavljaju i američke vlasti.
Predmetni prijenos podataka stoga se ne može temeljiti samo na standardnim klauzulama o zaštiti podataka sklopljenim između voditelja obrade i Google LLC u skladu s člankom 46. stavkom 2. točkom (c) GDPR-a.
Budući da te standardne klauzule o zaštiti podataka, po samoj svojoj prirodi, ne mogu ponuditi nikakva jamstva koja nadilaze ugovornu obvezu osiguranja usklađenosti s razinom zaštite koju zahtijeva pravo Unije, može biti potrebno, ovisno o situaciji u određenoj trećoj zemlji, za odgovornu osobu da poduzme dodatne mjere kako bi osigurala usklađenost s ovom razinom zaštite.
Što se tiče dodatnih mjera:
U svojim „Preporukama 01/2020 o mjerama za dopunu alata za prijenos kako bi se osigurala razina zaštite prema pravu EU-a za osobne podatke, verzija 2.0 Europskog odbora za zaštitu podataka („Preporuke EDPB-a“), EDPB je naveo da u slučaju da zakon treće zemlje utječe na učinkovitost odgovarajućih jamstava (kao što su standardne klauzule o zaštiti podataka), izvoznik podataka mora obustaviti prijenos podataka ili provesti dodatne mjere (preporuke EDPB-a br. 28 i dalje i br. 52 ili ECJ srpanj 16, 2020., C311/18 (Schrems II), stavak 121).
Prema preporukama EDPB-a, takve "dodatne mjere" mogu biti ugovorne, tehničke ili organizacijske prirode (preporuke EDPB-a, stavak 52.).
Dodatna mjera može se smatrati učinkovitom samo u smislu presude Suda EU (ECJ 16. srpnja 2020., C-311/18 (Schrems II)) ako i u mjeri u kojoj je - sama ili u povezanosti s drugima – popunila praznine u pravnoj zaštiti koje je izvoznik podataka utvrdio tijekom ispitivanja zakona i prakse u trećoj zemlji koji se primjenjuju na njihov prijenos. Ako u konačnici nije moguće da izvoznik podataka postigne ekvivalentnu razinu zaštite, on ne smije prenijeti osobne podatke (Preporuke EDPB-a 01/2020, st. 75).
Primijenjeno na predmetni slučaj, to znači da se mora ispitati jesu li dodatne mjere koje su poduzete identificirale nedostatke u pravnoj zaštiti – tj. neadekvatan pristup i mogućnosti praćenja američkih obavještajnih službi i nedostatne učinkovite pravne lijekove za ispitanike.
S obzirom na navedene ugovorne i organizacijske mjere, nije očito u kojoj mjeri je to u konkretnom slučaju poduzeto.
Usklađenost sa zakonima SAD-a – tj. obveza objavljivanja podataka – dovodi do kršenja temeljnih prava pogođenih građana EU-a.
Što se tiče tehničkih mjera, sud je naglasio da enkripcija nije učinkovit alat. Prema američkom zakonu, Google je dužan tijelu koje je zatražilo informacije dati ne samo prenesene podatke, već i ključeve za šifriranje kako bi ih dešifrirali.
Predstavljene tehničke mjere također nisu prikladne za otklanjanje kršenja temeljnih prava. Tehničke mjere navedene u vezi s prijenosom ili pohranjivanjem podataka ne mogu niti spriječiti niti ograničiti mogućnosti pristupa američkih obavještajnih službi na temelju zakona SAD-a.
Također, izjave BF2 da u mjeri u kojoj su podaci XXXX -Analytics za mjerenje vlasnika web stranica osobni podaci moraju se smatrati pseudonimima, nisu prikladne kao "dodatna mjera".
Činjenica da se korisnici mogu identificirati putem ID-ova ili identifikatora, na primjer, ne predstavlja mjeru pseudonimizacije unutar smislu GDPR-a. Osim toga, ne postoje prikladna jamstva za usklađenost s načelima zaštite podataka ili za zaštitu prava ispitanika ako se IP adrese, ID-ovi kolačića, ID-ovi za oglašavanje, jedinstveni ID-ovi korisnika ili drugi identifikatori koriste za (ponovnu) identifikaciju korisnici. Jer, za razliku od slučajeva kada su podaci pseudonimizirani, kako bi se prikrili ili izbrisali identifikacijski podaci tako da se dotičnim osobama više ne može obratiti, ID-ovi ili identifikatori koriste se kako bi se pojedinačni pojedinci mogli razlikovati i adresirati. Posljedično, nema zaštitnog učinka. Stoga nije riječ o pseudonimizaciji u smislu uvodne izjave 28, koja smanjuje rizike za ispitanike i podupire odgovorne strane i izvršitelje obrade u ispunjavanju njihovih obveza zaštite podataka. Prema tome, nema zaštitnog učinka. Stoga nije riječ o pseudonimizaciji u smislu uvodne izjave 28.
Osim toga, argumenti BF2 ne mogu se prihvatiti jer se identifikator XXXX - Analytics ionako može
Općenito, dodatne mjere koje su navedene tijekom postupka nisu prikladne za uklanjanje praznina u pravnoj zaštiti utvrđenih u presudi – neprikladan pristup i mogućnosti nadzora američkih obavještajnih službi i nedovoljno učinkoviti pravni lijekovi za one koji su pogođeni.
Uz pomoć GDPR-a trebao bi biti zajamčen i slobodan protok podataka. Međutim, slobodan protok podataka u ovom kontekstu temelji se na premisi da su zahtjevi GDPR-a - a to također uključuje Poglavlje V - u potpunosti usklađeni. Međutim, nema planova za ublažavanje zahtjeva poglavlja V u smislu „tumačenja pogodnog za poslovanje” u korist besplatnog podatkovnog prometa. Ekonomski interesi također nisu igrali nikakvu ulogu u presudi ECJ-a od 16. srpnja 2020., C-311/18 (Schrems II).
Što se tiče iznimaka za određene slučajeve prema čl. 49 GDPR: izuzeće prema čl. 49 GDPR nije bilo relevantno za dotični prijenos podataka. U postupku također nije utvrđeno da je suglasnost dobivena u skladu s člankom 49. stavkom 1. točkom (a) GDPR-a. Budući da u cjelini nisu nastupile okolnosti da bi činjenice iz čl. 49 GDPR-a bile ispunjen, sporni prijenos podataka ne može se temeljiti na čl. 49 GDPR.
Što se tiče žalbe pružatelja usluga web stranice, sud je odbacio njegove argumente. Sud je potvrdio tumačenje austrijskog DSB-a da se Poglavlje V. GDPR-a odnosi samo na izvoznika podataka, ali ne i na uvoznika podataka. Sud je naglasio da se obveze koje proizlaze iz poglavlja V. GDPR-a ne smiju miješati s ugovornom obvezom koja obvezuje uvoznika podataka u kontekstu SCC-ova ili drugih ugovora privatnog prava s izvoznikom podataka.
Nadalje, sud je izričito pojasnio da je Poglavlje V. GDPR-a nekompatibilno s "pristupom temeljenim na riziku" koji predviđa Google. Zapravo, "poslovno prilagođeno tumačenje" GDPR-a nije igralo nikakvu ulogu u C-311/18 Schrems II te je stoga bilo nedopušteno.
Poglavlje V GDPR ne poznaje "pristup temeljen na riziku". To se može pronaći samo u određenim člancima GDPR-a, kao što je čl. 32 leg.cit. Nove standardne ugovorne klauzule u Provedbenoj odluci (EU) 2021/914 nisu relevantne za činjenice zbog nedostatka vremenske valjanosti.
Najavljena je žalba na odluku austrijskom vrhovnom upravnom sudu.