Datenschutzbehörde (DSB) konstaterar i ett beslut att ett österrikiskt medieföretag överfört en registrerads personuppgifter till USA och brutit mot kapitel V i dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad den 12 augusti 2020 besökte en webbplats som drivs av ett österrikiskt medieföretag när han var inloggad på sitt personliga Facebook-konto. Vid den tidpunkten använde sig företaget av Facebook-inloggningsverktyget, som underlättar användarnas tillgång till tjänster som inte erbjuds av Meta utan att användarna behöver skapa ytterligare konton. Företaget använde också Facebook Pixel-verktyget och kunde på så sätt spåra besökarnas aktiviteter på sin webbplats.
Enligt den registrerade (företrädd av noyb) utlöste enbart tillgången till denna webbplats en olaglig överföring av personuppgifter till USA, vilket innebär att företaget överfört uppgifter i strid med kapitel V i dataskyddsförordningen. Den registrerade lämnade den 18 augusti 2020 därför in ett klagomål mot företaget för användningen av sådana spårningsverktyg och klagade över överträdelser av artiklarna 44 ff. GDPR. Dessutom hävdade den registrerade att Meta bröt mot artiklarna 5.2, 28 och 29 GDPR.
Under DSB:s undersökningar, som tog flera månader, hävdade företaget att de avaktiverat Facebook-verktygen efter det att klagomålet lämnats in. Dessutom hävdade företaget att deras enda direkta avtalspart var Meta Platforms Ireland Limited. Följaktligen låg efterföljande överföringar, inklusive överföringar utanför EU, utanför deras kontroll. Slutligen förklarade företaget att överföringarna var motiverade mot bakgrund av journalistiska undantag. Meta Platforms Inc. hävdade att de endast var ett underbiträde för Meta Platforms Ireland Limiteds räkning, på vilken dataskyddsförordningen inte är tillämplig.
Den registrerade invände att avaktiveringen av verktygen inte var relevant, eftersom överträdelsen redan skett. Den registrerade betonade också att företaget inte kunde åberopa journalistiska undantag, med tanke på arten och omständigheterna kring överföringen. Slutligen hävdade den registrerade att kapitel V i dataskyddsförordningen är tillämpligt på alla överföringar, oavsett de inblandade aktörernas subjektiva kvalifikationer.
Enligt DSB har Meta Platforms Inc. inte brutit mot artiklarna 44 ff. GDPR, eftersom de bara var en dataimportör som faller utanför tillämpningsområdet för kapitel V i GDPR. I samband med överföringen lämnade Meta Platforms Inc. inte ut uppgifter utan tog endast emot dem. Meta Platforms Inc. var inte heller ansvarig enligt artikel 5.2 GDPR, eftersom detta är en skyldighet för den personuppgiftsansvarige. DSB utvecklade inte Meta Platforms Inc. subjektiva kvalificering enligt dataskyddsförordningen, men ansåg att det i det aktuella fallet inte fanns tillräckligt med bevis för att Meta Platforms Inc. skulle kunna betraktas som personuppgiftsansvarig. När det gäller artiklarna 28 och 29 GDPR reglerar de endast förhållandet mellan personuppgiftsansvarig och personuppgiftsbiträde och ger inte de registrerade någon subjektiv rättighet.
Å andra sidan biföll DSB klagomålet mot företaget. För det första var det blotta faktum att företaget avaktiverade Facebook-verktygen efter klagomålet inte tillräckligt för att utesluta en överträdelse av artiklarna 44 ff. GDPR, eftersom överträdelsen redan skett.
DSB klargjorde också omfattningen av det journalistiska undantag som föreskrivs i österrikisk lag i enlighet med artikel 85 GDPR. Enligt EU-domstolens dom C-73/07 ”behandlas personuppgifter för journalistiska ändamål om behandlingen har som enda syfte att sprida information, åsikter eller idéer till allmänheten”. Facebook-verktyg som fanns tillgängliga på företagets webbplats implementerades däremot i spårningssyfte och för att underlätta inloggningsförfarandet. När uppgifterna väl överförts till Meta Platforms Ireland Limiteds kunde de dessutom användas för ytterligare ändamål. Därför var det journalistiska undantaget helt klart inte tillämpligt i det aktuella fallet.
Därefter undersökte DSB om det förekom en tredjelandsöverföring enligt kapitel V i GDPR och om den var laglig. Mot bakgrund av Schrems II-domen ger artikel 44 GDPR en subjektiv rättighet som kan verkställas genom ett klagomål enligt artikel 77.1 GDPR. Uppgifter som överfördes till USA genom Facebooks verktyg var personuppgifter. Meta Platforms Ireland Limited, som är personuppgiftsansvarig, kunde koppla uppgifter som överförts från webbplatsen till uppgifter om den registrerades Facebook-konto. EU-domstolens rättspraxis visar att det inte var nödvändigt att webbplatsen innehöll all information som krävdes för att identifiera den registrerade (se C-434/16 och C-582/14). DSB avfärdade också som irrelevant argumentet att företaget efter överföringen till Meta Platforms Ireland Limiteds inte längre skulle ha kontroll över den fortsatta behandlingen. I själva verket accepterade företaget i enlighet med artikel 28.2 GDPR att Meta Platforms Ireland Limited kunde använda ett underbiträde (Meta Platforms Inc.) som är baserad utanför EU för att behandla uppgifter. Därför skedde i praktiken en internationell överföring av uppgifter.
DSB kunde inte hitta någon rättslig grund för överföringen. Å ena sidan ogiltigförklarades EU-kommissionens beslut om adekvat skyddsnivå för överföring av uppgifter från EU till USA genom Schrems II. Artikel 45 GDPR kunde således inte åberopas som rättslig grund. Å andra sidan hade Meta Platforms Ireland Limited standardavtalsklausuler i enlighet med artikel 46 GDPR först efter det att de aktuella omständigheterna inträffat. DSB ansåg därför att företaget olagligt överfört den registrerades personuppgifter till USA och brutit mot kapitel V i GDPR.