AP: 100 mln euro kary za transfer danych użytkowników Yango do Rosji
To jedna z tych decyzji, które będą cytowane przy każdej poważniejszej rozmowie o transferach danych do państw trzecich wysokiego ryzyka. Holenderski organ ochrony danych — Autoriteit Persoonsgegevens — 1 kwietnia 2026 r. nałożył na MLU B.V., jako następcę praw i obowiązków rozwiązanej Ridetech International B.V., administracyjną karę pieniężną w wysokości 100 mln euro. Sprawa dotyczyła aplikacji Yango i przekazywania danych użytkowników z Finlandii i Norwegii do odbiorców w Rosji. Na pierwszy rzut oka można byłoby powiedzieć: aplikacja przewozowa, dane techniczne, standardowe klauzule umowne, szyfrowanie, pseudonimizacja, centra danych w Europie. Czyli klasyczny zestaw argumentów obronnych po Schrems II. Problem polega na tym, że dla holenderskiego organu ten zestaw nie wystarczył. AP uznał, że Ridetech dopuściła się przekazywania danych osobowych osób z Finlandii i Norwegii do odbiorców w Rosji bez wykazania, że zapewniła odpowiednie zabezpieczenia. Organ zakwalifikował to jako naruszenie art. 44 i 46 RODO w związku z art. 5 ust. 1 lit. a oraz art. 5 ust. 2 RODO. Według decyzji naruszenie rozpoczęło się 23 maja 2022 r. i nadal trwało w dacie wydania rozstrzygnięcia. AP nałożył nie tylko karę, ale również zakaz dalszego przekazywania danych osobowych norweskich i fińskich użytkowników aplikacji Yango odbiorcom w Rosji. Dlaczego kara była aż tak wysoka? W decyzji można wskazać trzy zasadnicze powody. Po pierwsze: transfer danych do Rosji bez wykazania odpowiedniego poziomu ochrony. Organ przypomniał podstawową regułę rozdziału V RODO: przekazywanie danych do państwa trzeciego wymaga albo decyzji stwierdzającej odpowiedni stopień ochrony, albo odpowiednich zabezpieczeń, którym towarzyszą egzekwowalne prawa i skuteczne środki ochrony prawnej. Dla Rosji nie ma decyzji o adekwatności. Co więcej, w decyzji podkreślono, że nie było sporu co do tego, że Rosja nie zapewnia poziomu ochrony zasadniczo odpowiadającego poziomowi ochrony w UE/EOG. To istotne, bo sprawa nie dotyczyła incydentalnego transferu jednego pliku. Chodziło o systemowe przekazywanie danych użytkowników aplikacji przewozowej: klientów i kierowców. Organ wskazywał m.in. na numery telefonów, adresy e-mail, dane logowania, geolokalizację, szczegóły zamówień, rozmowy chatowe i telefoniczne oraz dane bankowe. W przypadku kierowców zakres […]
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.Reszta obszernych argumentów oraz treść omawianego orzeczenia dostępna jest po dołączeniu do AKTUALNOŚCI PLUS. Dzięki tej subskrypcji dowiesz się jak organy nadzorcze w UE, sądy administracyjne czy powszechne, Trybunał Sprawiedliwości i inne podmioty argumentują swoje stanowiska. Umożliwi Ci to utrzymanie zgodności Twojej organizacji z przepisami o ochronie danych osobowych.
W jednym miejscu zapoznasz się z najważniejszymi argumentami oraz tezami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi, a w dużej części jest ono opublikowane wyłącznie w serwisie Judykatura.pl.