CJEU: 400 EUR za Evropsko komisijo
Sodišče EU je Evropski Komisiji naložilo plačilo odškodnine obiskovalcu njenega spletnega mesta zaradi nezakonitega prenosa osebnih podatkov v ZDA pri uporabi Facebook prijave.
Odločitev je bila objavljena 8.1.2025
S pomočjo hiperpovezave „Prijava s Facebookom“, prikazane na spletni strani, je Komisija ustvarila pogoje za prenos naslova IP zadevnega posameznika ameriškemu podjetju Meta Platforms.
Državljan Nemčije se je pritožil, da je Komisija kršila pravico do varstva njegovih osebnih podatkov, ko je v letih 2021 in 2022 obiskal spletno stran Konference o prihodnosti Evrope, ki jo organizira Komisija. Natančneje, prijavil se je na dogodek GoGreen prek spletne strani z uporabo storitve Komisije za preverjanje pristnosti EU Login, pri čemer je izbral možnost prijave s svojim računom Facebook. Po navedbah posameznika so bili med njegovimi obiski te spletne strani njegovi osebni podatki, vključno z naslovom IP ter informacijami o njegovem brskalniku in terminalu, preneseni prejemnikom s sedežem v Združenih državah.
Podatki so bili po njegovem mnenju posredovani ameriškemu podjetju Amazon Web Services kot operaterju omrežja za dostavo vsebin Amazon CloudFront, ki ga je uporabljalo obiskano spletno mesto. Poleg tega so bili njegovi osebni podatki, ko se je prijavil na dogodek GoGreen s svojim Facebook računom, preneseni ameriškemu podjetju Meta Platforms, Inc. Trdil je, da Združene države v tistem času niso imele ustrezne ravni zaščite osebnih podatkov. Trdi, da so ti prenosi povzročili tveganje, da bi varnostne in obveščevalne službe ZDA dostopale do njegovih podatkov. Komisija ni vpeljala nobenih ustreznih zaščitnih ukrepov, ki bi lahko upravičili te prenose.
Na podlagi tega je posameznik zahteval plačilo 400 evrov odškodnine za nepremoženjsko škodo, ki naj bi jo utrpel zaradi spornih prenosov. Zahteval je tudi razveljavitev prenosa njegovih osebnih podatkov, ugotovitev, da je bilo nezakonito, da Komisija ni odgovorila na zahtevo za informacije ter plačilo 800 evrov odškodnine za nematerialno škodo, ki naj bi jo utrpel zaradi kršitve pravice do dostopa do informacij.
Splošno sodišče je zavrnilo zahtevo po razveljavitvi prenosa, saj ni več relevantno, ter tudi odškodninski zahtevek iz naslova kršitve pravice do dostopa do informacij, saj je ugotovilo, da očitane nepremoženjske škode ni.
Kar zadeva odškodnino zaradi spornih prenosov podatkov, je sodišče zahtevo, povezano s prenosi podatkov prek Amazon CloudFront, zavrnilo. Sodišče je namreč ugotovilo, da so bili med eno od spornih povezav podatki preneseni v skladu z načelom bližine na strežnik v Münchnu v Nemčiji in ne v Združene države. V skladu s pogodbo, sklenjeno med Komisijo in luksemburškim podjetjem Amazon Web Services, ki upravlja Amazon CloudFront, je Amazon Web Services moral zagotoviti, da podatki med hrambo in prenosom ostanejo v Evropi.
V primeru druge povezave je bil posameznik sam odgovoren za preusmeritev podatkov prek mehanizma usmerjanja Amazon CloudFront na strežnike v Združenih državah. Zaradi tehnične prilagoditve se je namreč na videz nahajal v Združenih državah.
Glede registracije posameznika na dogodek GoGreen je Sodišče ugotovilo, da je Komisija s hiperpovezavo „Prijava s Facebookom“, prikazano na spletni strani EU Login, ustvarila pogoje za prenos naslova IP posameznika do Facebook-a. IP naslov predstavlja osebne podatke, ki so bili prek te hiperpovezave posredovani Meta Platforms, podjetju s sedežem v Združenih državah, za prenos pa je odgovorna Komisija.
V času tega prenosa, marca 2022, Komisija ni sprejela nobenega sklepa, s katerim bi ugotovila, da so Združene države zagotovile ustrezno raven varstva osebnih podatkov državljanov EU. Poleg tega Komisija ni niti dokazala niti trdila, da je ob prenosu obstajal ustrezen zaščitni ukrep, na primer standardna pogodbena določila ali pogodbena klavzula. Prikaz hiperpovezave »Prijava s Facebookom« na spletni strani EU Login so je bil v celoti zajet v splošnih pogojih platforme Facebook.
Komisija torej ni izpolnila pogojev, ki jih določa pravo EU za prenos osebnih podatkov v tretjo državo s strani institucije, organa, urada ali agencije EU.
Sodišče je odločilo, da je Komisija zagrešila dovolj resno kršitev pravnega pravila, ki je namenjeno zaščiti pravic posameznikom. Posameznik je utrpel nepremoženjsko škodo, saj se je znašel v negotovem položaju glede obdelave njegovih osebnih podatkov, zlasti njegovega naslova IP. Poleg tega obstaja dovolj neposredna vzročna zveza med kršitvijo Komisije in nepremoženjsko škodo, ki jo je utrpel posameznik.
Ker so pogoji za ugotovitev nepogodbene odgovornosti Evropske unije izpolnjeni, je Sodišče EU Komisiji odredilo, da zadevnemu posamezniku plača odškodnino v višini 400 EUR.
Izvleček sodbe je dostopen tukaj
Vir: Curia.eu
Naslovna slika: RawPixel
