Nizozemský úřad pro ochranu osobních údajů (Autoriteit Persoonsgegevens „AP“) uložil společnosti MLU B.V., která provozuje evropskou verzi platformy pro přepravu osob Yango, správní pokutu ve výši 100 milionů eur za nezákonné předávání osobních údajů z Evropského hospodářského prostoru do Ruska. Jedná se o jednu z nejvyšších pokut, které nizozemský dozorový orgán podle obecného nařízení o ochraně osobních údajů (GDPR) udělil. Případ zároveň potvrzuje rostoucí pozornost evropských regulátorů vůči mezinárodním přenosům údajů do zemí, které neposkytují odpovídající úroveň ochrany osobních údajů.
Pozadí vyšetřování
Vyšetřování bylo zahájeno na konci roku 2023 na základě podnětů finského a norského úřadu pro ochranu osobních údajů. Regulátoři zkoumali, zda byly osobní údaje uživatelů služby Yango ve Finsku a Norsku předávány do Ruska v souladu s požadavky GDPR. Případ spadal do působnosti nizozemského úřadu, protože společnost MLU B.V. má sídlo v Nizozemsku.
Zjištění nizozemského regulátora
Podle závěrů AP společnost MLU B.V. předávala osobní údaje zákazníků a řidičů do Ruska, aniž by zajistila, že těmto údajům bude poskytována úroveň ochrany v zásadě rovnocenná té, kterou zaručuje právo Evropské unie. Regulátor dospěl k závěru, že společnost nezavedla odpovídající záruky vyžadované články 44 a 46 GDPR a nebyla schopna prokázat, že subjekty údajů budou mít v Rusku vymahatelná práva a účinné právní prostředky ochrany.
Úřad rovněž konstatoval, že společnost využívala nevhodné nebo nedostatečné smluvní mechanismy pro předávání údajů a nepřijala dostatečná opatření ke zmírnění rizik spojených s možným přístupem ruských orgánů veřejné moci k těmto údajům. AP proto uzavřel, že předávání údajů bylo nezákonné a porušovalo zásady zákonnosti a odpovědnosti stanovené GDPR.
Povaha dotčených údajů
Podle zjištění regulátorů se do Ruska dostávaly osobní údaje řidičů i cestujících využívajících platformu Yango ve Finsku a Norsku. Mezi předávané informace měly patřit mimo jiné identifikační doklady, adresy a přesné lokalizační údaje. AP zdůraznil, že takové informace vyžadují vysokou úroveň ochrany, zejména pokud jsou předávány mimo Evropský hospodářský prostor.
Sankce a nápravná opatření
Vedle pokuty ve výši 100 milionů eur AP společnosti MLU B.V. nařídil, aby ukončila předávání osobních údajů z Finska a Norska do Ruska. Podle AP probíhala nezákonná předávání od května 2022 a představovala závažné porušení GDPR.
Význam rozhodnutí
Rozhodnutí ve věci Yango potvrzuje přísné požadavky GDPR na mezinárodní předávání osobních údajů. Ukazuje, že samotné využití smluvních mechanismů pro přenos údajů nemusí být dostačující, pokud správce nebo zpracovatel není schopen zajistit účinnou ochranu před možným přístupem orgánů třetích zemí k těmto údajům.
Případ navazuje na širší trend evropských dozorových orgánů ukládat vysoké sankce za nezákonná přeshraniční předávání osobních údajů a představuje významné varování pro nadnárodní společnosti provozující digitální platformy na území Evropské unie.
Závěr
Pokuta ve výši 100 milionů eur uložená společnosti MLU B.V. představuje milník v oblasti vymáhání pravidel pro mezinárodní předávání osobních údajů (historicky nejvyšší pokuta nizozemského AP). Tím, že AP dospěl k závěru, že společnost Yango nezajistila odpovídající ochranu údajů předávaných do Ruska, znovu potvrdil vysoké standardy GDPR pro ochranu osobních údajů evropských uživatelů bez ohledu na to, kde jsou jejich údaje zpracovávány.
