Stížnost podal uživatel, který při registraci na akci s názvem „GoGreen“ v letech 2021 a 2022 použil přihlašovací službu EU Login od Evropské komise. Proces registrace zahrnoval možnost přihlášení prostřednictvím účtu na Facebooku, což zahrnovalo přenos IP adresy a údajů o prohlížeči uživatele společnosti Meta Platforms, Inc., která sídlí v USA.
Stěžovatel tvrdil, že k jeho datům díky tomu mohly mít přístup americké bezpečnostní orgány, což bylo v rozporu s pravidly pro ochranu osobních údajů, protože Spojené státy nebyly v té době uznány jako země poskytující odpovídající úroveň ochrany.
Klíčová zjištění soudu
Soudní dvůr Evropské unie (SDEU) zamítl několik nároků stěžovatele, včetně:
Žádosti o zrušení přenosu údajů, kterou označil za nepřípustnou.
Nároku na náhradu škody za porušení práva na přístup k informacím s tím, že nebyla prokázána žádná podstatná nemajetková újma.
Opačně však soud rozhodl ohledně samotného přenosu údajů prostřednictvím funkce ‚Přihlásit se přes Facebook‘:
SDEU konstatoval, že Komise umožnila přenos osobních údajů (zejména IP adresy) ke společností Meta Platforms, Inc. tím, že zahrnula možnost přihlášení přes Facebook na stránce EU Login.
V době přenosu nebyla zavedena odpovídající ochranná opatření pro předávání údajů do USA, jako jsou standardní smluvní doložky nebo rovnocenné záruky.
SDEU v rozsudku shrnul, že jednání Komise představovalo porušení unijního práva na ochranu osobních údajů.
Odpovědnost a odškodnění
Soudní dvůr konstatoval, že selhání Komise představovalo vážné porušení právních povinností zaměřených na ochranu práv obyvatel EU. Proto nařídil Komisi, aby stěžovateli zaplatila 400 EUR jako náhradu nemajetkové újmy způsobené nejistotou ohledně bezpečnosti jeho údajů. Soud totiž uznal příčinnou souvislost mezi porušením právních předpisů na ochranu osobních údajů ze strany Komise a utrpěnou škodou, která spočívala v nejistotě stěžovatele ohledně zacházení s jeho osobními údaji a možném neoprávněném přístupu k nim ze strany amerických úřadů. To mu mělo způsobit psychickou újmu a narušit jeho důvěru v ochranu dat ze strany institucí EU.
Širší dopady rozsudku
Tento rozsudek SDEU zdůrazňuje význam důsledného dodržování předpisů o ochraně osobních údajů, zejména pokud jde o přenosy údajů do třetích zemí. Rozhodnutí potvrzuje nutnost, aby i instituce EU zajistily odpovídající ochranné mechanismy při zpracování osobních údajů, a podtrhuje rizika spojená s integrací služeb třetích stran, v tomto případě přihlašovacího online formuláře, bez dostatečných záruk za ochranu soukromí.
