Soudní dvůr EU na konci minulého roku napsal další část příběhu o ochraně osobních dat předávaných do zemí mimo Evropskou unii. Zveřejnil totiž stanovisko generálního advokáta Henrika Saugmandsgaarda Øe ve věci Data Protection Commissioner proti společnosti Facebook. Platnost rozhodnutí o standardních smluvních doložkách nezpochybnil. Zdůraznil však povinnost správců údajů a orgánů dozoru pozastavit nebo zakázat přenosy údajů, když nebude zaručena jejich ochrana. 

Jak to všechno začalo

Aktuálně projednávaný případ je známý též pod názvem “Schrems II” a navazuje na předchozí řízení zahájené rakouským právníkem a uživatelem aplikace Facebook Maximilianem Schremsem, který podal v roce 2014 proti této společnosti vůbec první stížnost z důvodu ochrany před zpracováním osobních údajů, která se řešila u Soudního dvora Evropské unie (“Soudní dvůr”).

Data uživatelů sociální sítě Facebook s bydlištěm v Evropské unii byla předávána společností Facebook Ireland, irskou dceřinnou společností Facebook Inc., na servery umístěné ve Spojených státech amerických, kde se dále zpracovávala. V roce 2013 podal Schrems stížnost k irskému orgánu pověřenému dozorem nad uplatňováním pravidel ochrany osobních údajů a to především ve světle informací od Edwarda Snowdena, že předávané osobní údaje nejsou dostatečně chráněny. Dle Schremse tímto bylo porušeno jeho právo na soukromí a na ochranu údajů společně s právem na spravedlivý proces dle Listiny základních práv Evropské unie.

Irský orgán dozoru stížnost zamítl s odkazem na rozhodnutí Komise, že v rámci režimu tzv. bezpečného přístavu zajišťují Spojené státy odpovídající úroveň ochrany údajů. Soudní dvůr následně vydal v roce 2015 rozsudek “Schrems“, kterým uvedené rozhodnutí Komise prohlásil za neplatné.[1]

Pokračování irského facebookového příběhu

Po rozhodnutí Soudního dvora mohlo pokračovat dále řízení u dozorovému orgánu v Irsku, kde se však začala psát další kapitola s označením „Schrems II“. Společnost Facebook uvedla, že právním základem pro předávání osobních údajů uživatelů sociální sítě z EU do Spojených států je dohoda o předávání a zpracování údajů uzavřená mezi Facebook Ireland a společností Facebook Inc.

Schrems však platnost této dohody zpochybnil. Její ustanovení jsou totiž podle něj v rozporu s rozhodnutím 2010/87/EU, kterým Komise zakotvila standardní smluvní doložky uplatňované na podporu předávání dat. Uživatelé dle Schremse nemají ve Spojených státech dostupný žádný opravný prostředek, kterým by se mohli dožadovat svého práva na respektování soukromého života a ochranu osobních údajů. Možnost obrany je přitom jednou z podmínek pro využití smluvních doložek k předávání dat.

Platnost rozhodnutí Komise

Konečné vyřízení Schremsovy stížnosti dle irského dozorového orgánu nyní závisí na zodpovězení další předběžné otázky, zda je rozhodnutí Komise 2010/87/EU platné. Proto se další část případu Schrems nyní projednává opět před Soudním dvorem.

Generální advokát Øe ve svém stanovisku uvedl, že platnost a slučitelnost daného rozhodnutí s články 7, 8 a 47 Listiny základních práv Evropské unie závisí především na existenci dostatečně spolehlivých mechanismů, které by zajistily zamezení přenosu dat v případech, kdy není možné naplnit požadavky standardních smluvních doložek. K tomu může docházet především proto, že doložky nejsou pro orgány třetí země závazné. Ty tak mohou dovozcům uložit povinnosti, které budou s podmínkami doložek neslučitelné. 

Dostatečnou záruku pro tyto případy spatřuje generální advokát v zakotvení povinnosti správců údajů, případně dozorových orgánů, pozastavit nebo zakázat přenos dat, pokud není možné dodržet nároky standardních smluvních doložek kvůli jejich rozporu s povinnostmi uloženými právem třetí země. Vyhodnotit možné rozpory a ohrožení plnění povinností z předmětných doložek je pak nutné zkoumat vždy případ od případu.

Platnost štítu na ochranu soukromí

Generální advokát se mimo jiné ve svém stanovisku vyjadřuje také k rozhodnutí Komise z července 2016 o tzv. štítu na ochranu soukromí. Komise v tomto rozhodnutí uvedla, že Spojené státy zajišťují dostatečnou úroveň ochrany údajů předávaných z Evropské unie do Spojených států, zejména  s ohledem na stanovené záruky a možnosti právní ochrany dostupné osobám, jejichž údaje jsou předávány.

Generální advokát neshledal posouzení platnosti tohoto rozhodnutí v projednávaném případě za nutné, ale uvádí důvody, které ho vedou k otázce, zda dané rozhodnutí není v rozporu s právy garantovanými Listinou základních práv Evropské unie a Evropskou úmluvou o ochraně lidských práv na respektování soukromého života a na ochranu osobních údajů a právem na účinný opravný prostředek. Pro adekvátní posouzení přiměřenosti národních bezpečnostních opatření ve Spojených státech navrhuje možné řešení jejich srovnáním se zákony a postupy členských států EU, které podléhají přezkumu Evropským soudem pro lidská práva. Je možné, že toto téma více rozebere i sám Soudní dvůr ve svém nadcházejícím rozhodnutí.

Co to tedy všechno znamená v praxi?

Dle stanoviska generálního advokáta jsou standardní smluvní doložky dle unijního práva platné a umožňují mezinárodní přenosy dat. Klíčovou roli zde však hrají správci údajů a dozorové orgány. Přenosy dat do třetí země na základě těchto doložek, u kterých není zajištěna dostatečná ochrana, musí správce údajů pozastavit či zakázat. Pokud tak správce neučiní, musí takto postupovat dozorový orgán na základě žádosti subjektu dat. Jedině tak je možné zajistit dostatečnou ochranu předávaných osobních údajů. 

Poslední slovo v dané věci bude mít Soudní dvůr, který by měl vydat v blízké době své konečné rozhodnutí. V něm se s názorem generálního advokáta může ztotožnit, ale také od něj libovolně odchýlit. 

 

Poznámky

[1] Soudní dvůr Evropské unie. 2015. Rozsudek Soudního dvora ze dne 6. října 2015, Schrems, C-362/14. (https://eur-lex.europa.eu/legal-content/cs/TXT/?uri=CELEX:62014CJ0362).

Zdroje

Soudní dvůr Evropské unie. 2019. Opinion of Advocate General Saugmandsgaard Øe in Facebook Ireland and Schrems, C-311/18. Lucemburk: EU Publishing (https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62018CC0311).

Evropská komise. 2016. Prováděcí rozhodnutí Komise (EU) 2016/1250 ze dne 12. července 2016 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající úrovni ochrany poskytované štítem EU-USA na ochranu soukromí. Brusel: EU Publishing (https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX%3A32016D1250). 

Evropská komise. 2016. Rozhodnutí Komise ze dne 5. února 2010 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle směrnice Evropského parlamentu a Rady 95/46/ES ve znění prováděcího rozhodnutí Komise (EU) 2016/2297 ze dne 16. prosince 2016. Brusel: EU Publishing (https://eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX:02010D0087-20161217&from=EN).

Evropská komise. 2000. Rozhodnutí Komise 2000/520/ES ze dne 26. července 2000 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající ochraně poskytované podle zásad bezpečného přístavu a s tím souvisejících často kladených otázek vydaných Ministerstvem obchodu Spojených států. Brusel: EU Publishing (https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX%3A32000D0520).

Fotografie

[1] Maximilian Schrems. Max Schrems 2016 a.jpg, autor: Manfred Werner, 13 January 2016, source: Wikimedia Commons, CC BY-SA 3.0.