Občan žijúci v Nemecku vytýka Komisii, že porušila jeho právo na ochranu osobných údajov, keď v rokoch 2021 a 2022 navštívil webové sídlo Konferencie o budúcnosti Európy1, ktoré spravuje Komisia. Konkrétne sa prostredníctvom tohto sídla zaregistroval na podujatie „GoGreen“, pričom využil autentifikačnú službu Komisie EU Login a zvolil si ponúkanú možnosť pripojiť sa pomocou svojho účtu na Facebooku.

Dotknutá osoba sa domnievala, že pri jej návštevách tohto webového sídla boli jej osobné údaje prenesené príjemcom usadeným v Spojených štátoch, najmä jej IP adresa, ako aj informácie o jej prehliadači a jej termináli.
Na jednej strane boli totiž tieto údaje prenesené americkému podniku Amazon Web Services ako prevádzkovateľovi siete na sprístupňovanie obsahu s názvom Amazon CloudFront, ktorú využívalo predmetné webové sídlo. Na druhej strane boli pri jej registrácii na podujatie „GoGreen“ prostredníctvom jej účtu na Facebooku tieto údaje prenesené americkému podniku Meta Platforms, Inc.

Podľa dotknutej osoby však Spojené štáty nemajú primeranú úroveň ochrany. Tieto prenosy viedli k riziku prístupu amerických bezpečnostných a spravodajských služieb k jej údajom. Komisia neuviedla žiadnu z primeraných záruk, ktoré by mohli odôvodniť tieto prenosy.2

Z tohto dôvodu sa domáhala zaplatenia 400 eur ako náhrady nemajetkovej ujmy, ktorú údajne utrpela v dôsledku sporných prenosov.

Domáhala sa tiež zrušenia prenosov jej osobných údajov, a toho, aby sa konštatovalo, že Komisia konala protiprávne, keď nezaujala stanovisko k žiadosti o informácie, a aby bola Komisii uložená povinnosť zaplatiť jej sumu 800 eur ako náhradu nemajetkovej ujmy, ktorú údajne utrpela v dôsledku porušenia jej práva na prístup k informáciám.
Všeobecný súd zamietol návrh na zrušenie ako neprípustný a rozhodol, že konanie o návrhoch na určenie nečinnosti sa zastavuje. Všeobecný súd tiež zamietol návrh na náhradu škody založený na porušení práva na prístup k informáciám, keďže konštatoval, že chýba uvádzaná nemajetková ujma.

Pokiaľ ide o návrh na náhradu škody založený na sporných prenosoch údajov, Všeobecný súd zamietol tento návrh, pokiaľ ide o prenosy údajov prostredníctvom Amazon CloudFront.

Spojených štátov, ale podľa zásady blízkosti3 na server4 nachádzajúci sa v Mníchove v Nemecku. Podľa zmluvy uzavretej medzi Komisiou a prevádzkovateľom Amazon CloudFront, luxemburským podnikom Amazon Web Services, mal Amazon Web Services zaručiť, že údaje zostanú neaktívne a prenášané na území Európy.

Pokiaľ ide o ďalšie pripojenie, bola to samotná dotknutá osoba, ktorá spôsobila, že sa prostredníctvom „routing“ mechanizmu Amazon CloudFront odoslalo na servery v Spojených štátoch. Z dôvodu technického nastavenia bola totiž zdanlivo lokalizovaná v Spojených štátoch.

Naproti tomu, pokiaľ ide o registráciu dotknutej osoby na podujatie „GoGreen“, Všeobecný súd uviedol, že Komisia prostredníctvom hypertextového odkazu „Sign in with Facebook“ zobrazeného na webovej stránke EU Login vytvorila podmienky umožňujúce prenos IP adresy dotknutej osoby na Facebook. Táto IP adresa predstavuje osobný údaj, ktorý bol prostredníctvom uvedeného hypertextového odkazu prenesený na Meta Platforms, podnik so sídlom v Spojených štátoch. Tento prenos sa musí pripísať Komisii.

V čase tohto prenosu, teda 30. marca 2022, však neexistovalo žiadne rozhodnutie Komisie, ktorým by sa konštatovalo, že Spojené štáty zabezpečujú primeranú úroveň ochrany osobných údajov občanov Únie. Navyše Komisia nepreukázala ani netvrdila existenciu primeranej záruky, najmä štandardnej doložky o ochrane údajov alebo zmluvnej podmienky.5 Zobrazenie hypertextového odkazu „Sign in with Facebook“ na webovom sídle EU Login sa jednoducho riadilo všeobecnými podmienkami platformy Facebook.

Komisia teda nedodržala podmienky stanovené právom Únie na prenos osobných údajov inštitúciou, orgánom, úradom alebo agentúrou Únie do tretej krajiny.

Všeobecný súd konštatoval, že Komisia sa dopustila dostatočne závažného porušenia právnej normy, ktorej cieľom je priznať práva jednotlivcom. Dotknutá osoba utrpela nemajetkovú ujmu tým, že sa ocitla v situácii neistoty, pokiaľ ide o spracúvanie jej osobných údajov, najmä jej IP adresy. Navyše existuje dostatočne priama príčinná súvislosť medzi porušením, ktorého sa dopustila Komisia, a nemajetkovou ujmou, ktorú utrpela dotknutá osoba.

Keďže podmienky vzniku mimozmluvnej zodpovednosti Únie boli splnené, Všeobecný súd uložil Komisii povinnosť zaplatiť dotknutej osobe požadovanú sumu 400 eur. UPOZORNENIE: Žalobu o náhradu škody môže podať každá osoba, ktorá sa domnieva, že vznikla mimozmluvná zodpovednosť Únie. Táto zodpovednosť predpokladá splnenie troch kumulatívnych podmienok, a to 1. dostatočne závažné porušenie právnej normy, ktorej cieľom je priznať práva jednotlivcom; 2. existencia škody a 3. existencia príčinnej súvislosti medzi protiprávnym konaním Únie a spôsobenou škodou. UPOZORNENIE: Odvolanie proti rozhodnutiu Všeobecného súdu obmedzujúce sa len na právne otázky možno podať na Súdny dvor v lehote dvoch mesiacov a desiatich dní od jeho doručenia.

[1]Na adrese https://futureu.europa.eu .
[2] Stanovené v kapitole V nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1725 z 23. októbra 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov.
[3]Služba Amazon CloudFront je založená na „routing“ mechanizme, ktorý smeruje požiadavku používateľa z webového sídla Konferencie o budúcnosti Európy na periférny server, ktorý poskytuje dobu najnižšej latencie na základe zásady blízkosti k terminálu používateľa, aby bol obsah používateľovi poskytnutý za najlepších možných podmienok.
[4] Tento server patrí nemeckému podniku, ktorý je súčasťou siete periférnych miest Amazon CloudFront.
[5] Prijatých za podmienok stanovených v článku 48 ods. 2 a 3 nariadenia 2018/1725.

Zdroj: Riaditeľstvo pre komunikáciu
Sekcia pre tlač a informácie curia.europa.eu
TLAČOVÉ KOMUNIKÉ č. 1/25
Luxemburg 8. januára 2025
Rozsudok Všeobecného súdu vo veci T-354/22 | Bindl/Komisia