Predmet skraćenog postupka pred njemačkom sudom VG Wiesbaden bio je zahtjev da se Sveučilištu primijenjenih znanosti RhineMain zabrani ugradnja usluge Cookiebot na svoju web stranicu www.hs-rm.de. Cookiebot omogućuje dobivanje suglasnosti korisnika web stranice za korištenje kolačića, odnosno blokira one kolačiće za koje posjetitelj web stranice nije dao svoju suglasnost.
Sveučilište je dužno prekinuti korištenje Cookiebot-a na svojim web stranicama zbog toga što je njegovim korištenjem dolazilo do nezakonitog prijenosa osobnih podataka korisnika web stranice.
Cookiebot obrađuje osobne podatke posjetitelja (identifikacija putem jedinstvenog ključa koji identificira posjetitelja web stranice, a koji je pohranjen u korisnikovom pregledniku, i putem IP adrese) na poslužiteljima tvrtke čije se sjedište nalazi u SAD-u. Time dolazi do prijenosa podataka u treće zemlje, odnosno u SAD što je nedopustivo s obzirom na odluku Schrems II. Od korisnika web stranice Sveučilišta nije zatražena privola za prijenos podataka u SAD. Također nije bilo informacija o mogućim rizicima vezanima uz prijenos zbog tzv. CLOUD Acta.
(Kongres SAD-a donio je američki CLOUD Act u ožujku 2018. u kontekstu neriješenog predmeta pred Vrhovnim sudom SAD-a (slučaj “Microsoft Ireland”) kako bi razjasnio da prema američkom zakonu, američke vlasti imaju pravo zahtijevati podatke pohranjene u inozemstvu od strane davatelja usluga pod jurisdikcijom SAD-a. Time se stvorio pravni put za američka tijela da zahtijevaju otkrivanje osobnih podataka izravno od pružatelja usluga koji potpadaju pod jurisdikciju SAD-a, bez obzira na to gdje su podaci pohranjeni.)
Utvrđeno je i da prijenos podataka nije neophodan za rad web stranice Sveučilišta.
Istina je da samo Sveučilište ne prenosi podatke u SAD. Međutim, on je i dalje voditelj obrade koji je ovdje odgovoran za rizičan prijenos podataka. Ugradnjom Cookiebota-a na svoju web stranicu, on odlučuje da prikupljanje i prijenos podataka obavlja "Cookiebot". Također, on posredno odlučuje o svrsi obrade, budući da može odlučiti za ili protiv uporabe ove integrirane usluge.
Sud je naveo sljedeće:
„Nije ispunjen nijedan od uvjeta iz članka 49. stavka 1. točke (a) i članka 2. GDPR-a. Od korisnika web stranice nedvojbeno se ne traži njegova suglasnost za prijenos u SAD i on nije obaviješten o mogućim rizicima (članak 49. (1) (a) GDPR-a). Bez obzira na to što vezano uz Sveučilište odnosi s javnošću predstavljaju javni interes, prijenos osobnih podataka u SAD ni u kojem slučaju nije nužan za tu svrhu. Nisu relevantni ni ostali mogući uvjeti članka 49. stavka 1. GDPR-a.
Članaka 49. st. 1. § 2. GDPR-a također se ovdje ne primjenjuje jer se prijenos podataka odvija za bezbroj korisnika web-mjesta, odnosno niti se ne događa opetovano niti se tiče ograničenog broja ispitanika. Stoga više nije relevantno je li udovoljeno ostalim odredbama GDPR-a, posebice članku 5. i 6. GDPR-a, čiji uvjeti također moraju biti ispunjeni u skladu s člankom 44. GDPR-a u slučaju prijenosa podataka u treću zemlju.“
https://rewis.io/urteile/urteil/2tj-01-12-2021-6-l-73821wi/
Na kraju svi postavljaju pitanje kako je uopće moguće koristiti pružatelje usluga sa sjedištem u SAD-u?
Prijenos podataka u SAD može se promatrati iz više kutova, o tome smo pisali ranije pa ne bi bilo loše sada se opet toga prisjetiti.
Morate provjeriti ˝svoje˝ prijenose podataka:
Kako provjeriti usklađenost po pitanju međunarodnih prijenosa pročitajte ovdje!
Postoji li ˝legalan˝ prijenos podataka u SAD?
O prijenosu podataka u SAD i načinu kako ga učiniti ˝legalnim˝ pisali smo u našim drugim blogovima koje možete pročitati na:
- Nove smjernice za međunarodne prijenose
- Nove SCC kaluzule za prijenos podataka u treće zemlje
- Preporuke 01/2020 o mjerama koje dopunjuju alate za prijenos kako bi se osigurala usklađenost s EU razinom zaštite osobnih podataka
I na kraju, nemate izbora već morate provesti procjene prijenosa podataka tzv. TIA kako biste mogli donijeti adekvatne odluke ili postojeće potkrijepiti obveznom dokumentacijom.
