Facebook v poslední době zažívá doslova „černé“ období. Poté, co poprvé došlo ke snížení počtu uživatelů, se musela Meta potýkat s dramatickým propadem hodnoty akcií na burze. Meta se dále musí
zabývat i čím dál více problémy s předáváním osobních údajů svých evropských uživatelů zpět do USA.
Takové předání totiž podléhá Nařízení GDPR. A díky rozsudku Soudního dvora Evropské unie Schrems
II, který mj. zrušil tzv. Privacy Shield, v současnosti neexistuje (vedle smluvních doložek) jednotný právní
nástroj, který by takové předání reguloval. Meta je tak nucena přijít s jiným řešením, doposud se jí to ale
ve spolupráci s orgány USA a EU nepodařilo.
To se Metě samozřejmě nelíbí, a navíc se to dotýká činnosti, která je pro ni z hlediska zisků výsostně
důležitá – reklamy. Pokud totiž bude omezen přenos dat do USA, významně se to dotkne jejích příjmů
právě od inzerentů, kteří propagují své výrobky a služby na Facebooku.
I proto se zástupci společnosti rozhodli do EU poslat výhružku, že pokud se neuzavře nová dohoda upravující předání osobních údajů do třetích zemí, dojde k vypnutí veškerých služeb, které společnost
Meta v EU provozuje (mj. Facebook, Instagram či WhatsApp).
Pokud jsou totiž osobní údaje předávány mimo prostor stanovený Nařízením GDPR, je třeba splnit určité,
relativně přísně stanovené, podmínky pro předání. Tou zásadní pak je, že taková opatření musí zajistit,
aby úroveň ochrany fyzických osob zaručená Nařízením nebyla předáním do třetí země znehodnocena.
Kvůli zmíněnému zrušení Privacy Schieldu tak pro předávání dat do USA nyní není možné najít jednoduchou, a přitom zcela legitimní právní oporu. To je pro Meta Platforms samozřejmě velikou ranou,
která by pro společnost mohla mít nedozírný ekonomický dopad (příjmy z působení v Evropě pro
Facebook činí asi 600 miliard Kč za rok).
V případě, že by Facebook a Instagram opravdu opustily Evropu, krátkodobě by to představovalo
problém zejména pro malé až střední podnikatele, které na daných platformách nabízejí své zboží nebo
služby. Dle odborníků na poli marketingu by se však relativně brzy objevily platformy nové, které by
splňovaly evropské standardy a zaplnily by tak prázdné místo. Z hlediska ochrany osobních údajů by riziko zavedení nových platforem pro reklamu mohlo přeci jen Metu vybičovat k přijetí dostatečných
bezpečnostních opatření, což by mělo nepochybně pouze pozitivní dopad na celou situaci s předáváním.
Předávání do třetích zemí bude opět složitější
Předáváte jako správce osobních údajů data do třetích zemí? Pokud je Vaše odpověď zamítává,
pak vězte, že i přes to k takovému předávání docházet může. A stačí, abyste k tomu provozovali
webovou stránku.
Jak je to možné? Pokud totiž na svých internetových stránkách využíváte soubory cookies, velmi pravděpodobně užíváte i nástroj Google Analytics. Ten pak ve většině případu osobní údaje, které získá právě prostřednictvím souborů cookies, posílá na domovské servery v USA, kde je následně zpracovává.
A tato skutečnost je právě kamenem úrazu, na což upozornil francouzský dozorový úřad CNIL ve
svém včerejším rozhodnutí. Právě k němu totiž zamířila minimálně jedna z 101 stížností organizace
NOYB. Jednou z nich byla i stížnost týkající se zmíněné služby Google Analytics.
CNIL ve svém rozhodnutí uvedl, že užití služeb Google Analytics odporuje Nařízení GDPR,
neboť kvůli současnému nastavení právního řádu v USA není možné zaručit, že s osobními údaji
občanů EU bude v Americe zacházeno dle náležitostí, které Nařízení GDPR předpokládá.
Mimo rozpor s tamními zákony CNIL konstatoval i porušení čl. 44 a násl. Nařízení GDPR. Dle
jeho rozhodnutí tak francouzští provozovatelé webu nejsou ve spolupráci s Googlem schopni
zajistit bezpečné zpracování osobních údajů při jejich předání mimo EU. A není jediným
dozorovým úřadem, který v poslední době takto rozhodl.
Podobný postoj již v lednu zaujal rakouský dozorový úřad, na který prakticky ihned navázal ten
nizozemský. Stejné tendence lze pak sledovat napříč evropskými regulátory ochrany osobních údajů
a je jen otázkou času, kdy se k výše zmíněným úřadům ve svých rozhodnutích také připojí i český
Úřad pro ochranu osobních údajů.
Pokud se budeme bavit o cookies a předávání do třetích zemí obecně, je třeba veškeré správce
varovat, že podobný problém mohou mít i jiné společnosti, než jen Google se svým nástrojem
Google Analytics. Podobně je na tom například společnost Meta, zejména s ohledem na svou
sociální síť Facebook, jejíž soubory cookies jsou také hojně využívány, přičemž i u nich dochází
k předání do USA.
V kontextu ohlášeného kontrolního plánu ÚOOÚ pro rok 2022 je třeba se mít obzvláště na
pozoru, neboť Úřad se chystá zaměřit právě na soubory cookies. A nelze očekávat, že by se ve
svých budoucích rozhodnutí významně odchýlil od praxe ostatních dozorových orgánů v EU.