23 let nezákonného předávání údajů v důsledku nečinných dohod o ochraně údajů a nových dohod mezi EU a USA
Soudní dvůr Evropské unie (SDEU) ve dvou přelomových rozhodnutích z let 2015 a 2020 prohlásil předávání údajů mezi EU a USA za nezákonné. Tato rozhodnutí jsou retroaktivní, což znamená, že v letech 2000 až 2023 neexistoval žádný právní základ pro uvedená předávání. Přesto většina společností v EU nadále využívala služby, jako je Google Analytics nebo sledovací nástroje společnosti Meta, které s sebou nesou nezákonné předávání údajů do USA. Nová analýza 101 stížnostínoyb v této věci nyní ukazuje, jak kombinace nečinnosti orgánů pro ochranu údajů a nových dohod Evropské komise vedla k 23 letům porušování ochrany osobních údajů.
23 let nezákonného předávání údajů. Nejvyšší evropský soudní dvůr vyslal důrazný signál za lepší ochranu osobních údajů, když v roce 2015 zrušil platnost dohod o předávání údajů "Safe Harbor" a v roce 2020 "Privacy Shield". Logickým důsledkem tohoto rozhodnutí bylo, že téměř všechna předávání mezi Evropskou unií a Spojenými státy od roku 2000 byla nezákonná. Ve skutečnosti však společnosti s touto praxí nepřestaly. Bylo to do značné míry umožněno nečinností evropských orgánů pro ochranu údajů (DPA), které většinou neprovedly rozhodnutí Soudního dvora EU. V kombinaci s novými (a neplatnými) dohodami se tak díváme zpět na 23 let nezákonného předávání údajů.
Marco Blocher, právník v oblasti ochrany údajů ve společnosti noyb: "Jsme svědky určitého kolapsu právního státu. Nejvyšší evropský soud prohlásil předávání údajů za posledních 23 let za nezákonné, ale úřady se na to z velké části dívaly skrz prsty."
Sbírá prach v šuplíku. Aby zajistila vymahatelnost práva, podala společnost noyb 101 stížností poté, co Soudní dvůr EU v roce 2020 zrušil platnost rozhodnutí o odpovídající ochraně osobních údajů "Privacy Shield". Přestože toto rozhodnutí odebralo právní základ pro předávání údajů, mnoho hojně navštěvovaných webových stránek nadále předávalo údaje o svých návštěvnících serverům Google a Meta ve Spojených státech. Navzdory výslovným stížnostem a skutečnosti, že pokračující předávání představovalo jasné porušení GDPR, příslušné orgány pro ochranu údajů dodnes nerozhodly ve více než 70 % stížností noyb. na 18. srpna připadá třetí výročí stížností.
Nekonečná hra na čekání. Rozsudek Soudního dvora EU totiž zajistil orgánům pro ochranu údajů jasnou právní situaci pro relativně rychlé rozhodování v případech předávání údajů. nejnovější analýza společnosti noybvšak ukazuje, že 20 z 32 dotčených orgánů (62,5 %) nevydalo rozhodnutí ani o jedné stížnosti, která jim byla podána. I těm aktivnějším úřadům to trvalo mnohem déle, než předpokládá zákon. První z aktuálně 13 rozhodnutí přišlo od rakouského orgánu DSB. Trvalo téměř 1,5 roku, než bylo dosaženo rozhodnutí o stížnosti společnosti noyb, a to navzdory jednoduchým skutečnostem případu a jasné právní situaci.
Marco Blocher, právník pro ochranu údajů ve společnosti noyb: "Přibližně dvě třetiny všech orgánů pro ochranu údajů, u nichž jsme podali žádost, nedosáhly za tři roky jediného rozhodnutí. Některé jsou dokonce nedosažitelné a neposkytují žádné aktuální informace o stavu stížností. Je absurdní, že v některých členských státech nejsou vymáhány ani takto jednoduché případy."
Špatný příklad. Ještě horší je, že irská Komise pro ochranu údajů (DPC) - tedy dozorový orgán pro společnosti Google a Meta - je jedním z 20 orgánů pro ochranu údajů, které dosud nehly prstem. Všech šest stížností noyb podaných u DPC je stále nevyřízených. Tento orgán však v tomto ohledu není sám. Mimo jiné to platí i pro belgický, nizozemský, řecký, polský, slovenský a český orgán pro ochranu údajů. Úplná analýza je uvedena v odkazu výše.
Nikdo si netroufá udělit pokutu. K dnešnímu dni je projednáváno celkem 73 případů. noyb vyhrál devět případů, tři vyhrál částečně a jeden prohrál. Ale i pozitivní zprávy jsou střízlivé. Pouze v jednom případě uložil příslušný orgán (ve Švédsku) pokutu za nezákonné používání služby Google Analytics: Telekomunikační společnost Tele2 musela zaplatit jeden milion eur, internetový prodejce CDON 25 000 eur. To jsou pouze dvě pokuty ze 101 případů.
Marco Blocher, právník pro ochranu osobních údajů ve společnosti noyb: "Pokutu udělil pouze švédský úřad, všechny ostatní úřady pokutu za zjevné porušení GDPR neudělily."
Evropská komise předstihla orgány pro ochranu údajů. U mnoha zbývajících stížností není ani po třech letech od podání jasné, zda příslušné orgány pro ochranu údajů někdy dospějí k rozhodnutí, nebo se jen pokusí věc vyřídit. Mezitím se Komise EU a USA pustily do práce. V polovině července letošního roku se dohodly na "novém" transatlantickém rámci ochrany osobních údajů ("TADPF" ), který je do značné míry kopií svého předchůdce. Občané EU stále nemají ve Spojených státech ústavní práva, což zpravodajským agenturám, jako je NSA, umožňuje využívat jejich údaje pro účely sledování. Nový rámec zároveň dává orgánům pro ochranu údajů možnost pozastavit aktivní řízení a vyčkat, zda Soudní dvůr EU potřetí nezruší rozhodnutí o přiměřenosti.
Marco Blocher, právník v oblasti ochrany údajů ve společnosti noyb: "V podstatě máme za sebou 23 let nezákonných dohod o předávání nebo nevykonávání. Je úžasné, že každý normální člověk dostane pokutu, pokud poruší zákon, jenže pokud jde o GDPR, tak prostě žádné následky nejsou - a to ani po dvou rozsudcích Soudního dvora EU."
Všechna možná opatření vyšla naprázdno. Poté, co společnost noyb podala 101 stížností, to krátce vypadalo, že existuje naděje na včasné řešení. EDPB dokonce zřídil neformální "pracovní skupinu", aby zabránil roztříštění rozhodovací praxe. Bohužel to nevedlo k jednotnému postupu, který by konečně zastavil nezákonné předávání údajů. Základní problém společností, které nedodržují evropské právo na ochranu údajů, stále přetrvává. Závěrečná zpráva pracovní skupiny obsahuje pouze zjevná prohlášení na vysoké úrovni.
Do třetice všeho dobrého? Stejně jako "Safe Harbor" a "Privacy Shield" bude nový "TADPF" dříve či později napaden u Soudního dvora EU, který následně posoudí jeho platnost podle práva EU. Vzhledem k tomu, že zásadní problémy s americkým zákonem o sledování stále přetrvávají, existuje vysoká pravděpodobnost, že jej stihne osud jeho předchůdců - a bude prohlášen za neplatný se zpětnou platností. Míč pak bude opět na straně orgánů pro ochranu údajů. Nakonec budou muset rozhodnutí Soudního dvora EU vymáhat. Vzhledem k jejich dosavadním výsledkům jsou vyhlídky neblahé. noyb je připraven využít všech právních možností, aby zajistil rozhodnutí pro nevyřízené stížnosti a - pokud to bude nutné - podat nové stížnosti, aby zajistil, že budoucí rozhodnutí SDEU budou respektována.
