Czy adres IP oraz dane o przeglądarce i terminalu stanowią dane osobowe? Najnowsze orzeczenie Trybunału Sprawiedliwości Unii Europejskiej dotyczy sprawy, która wydawałaby się banalną. Jest jednak tym istotniejsza, że naruszenia dokonała sama Komisja Europejska.
Historie związane z ochroną danych osobowych mogą dotyczyć zarówno ataków na systemy przedsiębiorstw skutkujące wyciekiem, czy 14-letnich arkuszy programu Excel. Zdarzają się jednak i takie sytuacje, gdy do naruszeń dochodzi przypadkowo. Na łamach CyberDefence24 opisywaliśmy zakończenie opowieści związanej ze Szkołą Główną Handlową w Warszawie i Prezesem UODO.
Komisja umieszcza przycisk Facebooka i łamie prawo?
Naruszeń danych dopuściła się również Komisja Europejska – nie tylko w przypadku oprogramowania do pracy biurowej, ale też organizowanych przez siebie wydarzeń.
Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał orzeczenie w sprawie, którą wszczął przeciwko KE jeden z mieszkańców Niemiec. Sprawa wydawałaby się trywialna: zarejestrował się na wydarzenie „GoGreen”, organizowane przez unijną instytucję, za pośrednictwem przycisku umożliwiającego zalogowanie się za pomocą konta na Facebooku. I właśnie to było powodem skierowania pozwu.
Jak napisano w stanowisku TSUE, powód uznał, że jego dane osobowe w postaci adresu IP, danych o przeglądarce i terminalu zostały przekazane do Stanów Zjednoczonych. Chodziło konkretnie o właściciela Facebooka, Metę, jak również Amazon Web Services. Ich lokalizacja w USA nie miała zapewniać odpowiedniego poziomu ochrony.
Niemiec zażądał od Komisji Europejskiej zadośćuczynienia w wysokości 400 euro za przekazanie danych. Prosił również TSUE, aby nakazał zapłacić Komisji odszkodowanie w wysokości 800 euro za naruszenie prawa dostępu do informacji, a także stwierdzenia nieważności przekazania danych i niezgodności zaniechania zajęcia przez Komisję stanowiska w sprawie wniosku o udzielenie informacji.
Adres IP komputera stanowi dane osobowe
W przypadku Amazona, ustalono, że zgodnie z umową z Komisją, dane obywatela niemieckiego zostały przekazane na serwer Amazon CloudFront w Monachium i nie opuściły terenu UE.
Zupełnie inaczej było w przypadku części dotyczącej Mety. „W ocenie Trybunału Komisja stworzyła, za pośrednictwem hiperłącza „zaloguj się przez Facebook”, wyświetlanego na stronie internetowej EU Login, warunki umożliwiające przekazanie Facebookowi adresu IP zainteresowanego” – czytamy w stanowisku. Wskazano również, że adres IP w istocie stanowi dane osobowe i został przekazany amerykańskiemu właścicielowi Facebooka.
W chwili tego przekazania nie istniała żadna decyzja Komisji stwierdzająca, że Stany Zjednoczone zapewniają odpowiedni stopień ochrony danych osobowych obywateli Unii. Ponadto, Komisja nie wykazała ani nawet nie podniosła istnienia odpowiedniego zabezpieczenia, w szczególności standardowej klauzuli ochrony danych lub klauzuli umownej.
Trybunał Sprawiedliwości Unii Europejskiej w sprawie T-354/22
TSUE stwierdził, że doszło do naruszenia przepisów. Obywatel Niemiec „został postawiony w sytuacji niepewności co do przetwarzania jego danych osobowych”. Jak zaznaczono w stanowisku, na KE nałożono obowiązek zapłaty odszkodowania w wysokości 400 euro na rzecz powoda.
Źródło: cyberdefence24.pl
Dodaj komentarz