Stáhnout: Tisková zpráva
Na základě řady žádostí jsme shrnuli klíčová fakta případu projednávaného Soudním dvorem Evropské unie (SDEU) týkajícího se předávání údajů mezi EU a USA a masového sledování ze strany americké vlády. Případ bude zítra (v úterý 9. července v 9:00) projednáván před velkým senátem Soudního dvora EU.
Nejčastější nedorozumění v souvislosti s případem
- Týká se tento případ všech předávání údajů mezi EU a USA? Ne, týká se pouze předávání dat do USA, která jsou předmětem "hromadného sledování". Ve většině situací existují jednoduché způsoby, jak se hromadnému sledování vyhnout, a mnoho průmyslových odvětví (např. banky, letecké společnosti, obchod a bankovnictví) pod žádný takový zákon o hromadném sledování nespadá. Stížnost pana Schremse je zaměřena pouze na společnost Facebook, která je ve Snowdenově dokumentu uvedena jako subjekt, který pomáhá NSA s masovým sledováním v rámci programu "PRISM".
- Týká se tento případ všech mezinárodních přenosů dat v EU? Z účastníků řízení pouze irský komisař pro ochranu údajů zastává názor, že "standardní smluvní doložky" (SCC) jsou neplatné. Pan Schrems zastává názor, že (pokud jsou správně uplatňovány a vynucovány DPC) SCCs poskytují správné řešení. Žádný jiný účastník irského řízení než DPC nevznesl námitky týkající se platnosti.
- Jsou všechna předávání údajů do USA problematická? Ne. zákony o dohledu, jako je FISA 702, se vztahují pouze na "poskytovatele služeb elektronických komunikací". Evropské právo rovněž rozlišuje mezi nezbytným předáváním (poslechněte si výjimky) a zbytečným "outsourcingem" zpracování. V kombinaci s tím vzniká problém hlavně u poskytovatelů cloudových služeb a komunikačních služeb, na které se vztahují zákony o dohledu (např. Facebook, Google, Apple, Amazon Web Services), ale ne u jiných průmyslových odvětví nebo "nezbytných" přenosů dat (např. e-maily, rezervace a podobně).
- Argumentuje pan Schrems zrušením platnosti SCC? Ne. Pan Schrems argumentuje tím, že SCC umožňují irskému komisaři pro ochranu údajů zastavit jednotlivé přenosy údajů, jako je přenos ze strany Facebooku. Vzhledem k tomu, že existuje zřejmé řešení problému, není podle jeho názoru otázka platnosti.
- Je "štít na ochranu soukromí" na stole? Ano. Společnost Facebook se opírá o posouzení práva USA v rámci "štítu na ochranu soukromí", které provedla Evropská komise, a tvrdí, že toto posouzení by se mělo vztahovat i na "standardní smluvní doložky". Pan Schrems zase namítl, že toto posouzení Komise je nesprávné. Jelikož je štít na ochranu soukromí založen na nesprávném výkladu práva USA, měl by být zrušen.
- Budete moci i nadále posílat e-maily do USA nebo si rezervovat letenku? Ano. Článek 49 GDPR předpokládá "výjimky", které umožňují veškeré předávání údajů, pokud je například "nezbytné pro poskytnutí smlouvy" nebo pokud s tím uživatel výslovně souhlasil. Např: Je nutné poslat e-mail do USA, pokud se tam nachází příjemce, ale není nutné posílat e-maily přes USA, pokud se odesílatel a příjemce nacházejí v Evropě.
- Jaký typ přenosů pak může být nutné zastavit? V podstatě "outsourcing" zpracování údajů, který by mohl být prováděn i v Evropě nebo jiných zemích, které poskytují náležité standardy ochrany údajů.
Historie případu
Případ se soustředí na stížnost právníka Maxe Schremse na ochranu osobních údajů proti Facebooku z roku 2013(odkaz na stížnost). Před více než šesti lety Edward Snowden prozradil, že Facebook umožňuje americkým zpravodajským službám přístup k osobním údajům Evropanů v rámci sledovacích programů, jako je "PRISM" (viz Wikipedie). Cílem stížnosti je zastavit předávání údajů společnosti Facebook mezi EU a USA. Irská DPC zatím v tomto směru nepodnikla žádné konkrétní kroky.
První zamítnutí a rozsudek Soudního dvora EU o bezpečném přístavu
Případ byl poprvé zamítnut irským komisařem pro ochranu údajů (DPC) v roce 2013, poté byl předmětem soudního přezkumu v Irsku a postoupení věci Soudnímu dvoru Evropské unie (SDEU). SDEU v roce 2015 rozhodl, že takzvaná dohoda "Safe Harbor", která umožňovala předávání údajů mezi EU a USA, je neplatná(odkaz na rozsudek ve věci C-362/14) a že irská DPC musí případ prošetřit, což původně odmítla.
Informace o používání "standardních smluvních doložek"
Koncem roku 2015 DPC překvapivě informovala pana Schremse, že Facebook ve skutečnosti nikdy nespoléhal na nyní již neplatnou dohodu "Safe Harbor", nýbrž se již v roce 2013 spoléhal na "Standardní smluvní doložky" (další mechanismus předávání údajů z EU do USA). DPC tuto skutečnost nezveřejnila a místo toho naznačila, že jí Safe Harbor brání v pokračování v případu. Díky této "oklice" se první rozhodnutí Soudního dvora EU stalo pro věc irelevantním.
Druhé vyšetřování a žaloba
Pan Schrems přizpůsobil svou stížnost předávání údajů prováděnému na základě "standardních smluvních doložek" a stejně tak požadoval ukončení předávání údajů společnosti Facebook USA na základě argumentu, že tyto údaje zpřístupňují NSA. Šetření DPC trvalo jen několik měsíců od prosince 2015 do jara 2016. Místo toho, aby DPC o stížnosti rozhodla, podala v roce 2016 žalobu na Facebook a pana Schremse (oba jsou nyní žalovaní) k irskému Nejvyššímu soudu, aby se s dalšími otázkami obrátila na Soudní dvůr EU. Po více než šesti týdnech jednání, která se konala převážně v roce 2017, irský vrchní soud konstatoval, že vláda USA provádí "hromadné zpracování" evropských osobních údajů, a v roce 2018 předložil SDEU jedenáct otázek podruhé(odkaz na rozsudek).
Další kroky
SDEU zařadil věc pod C-311/18 a podruhé se jí bude zabývat 9. července 2019, tedy přibližně šest let od podání původní stížnosti. Rozsudek se očekává do konce roku. Po rozsudku SDEU by DPC musel o stížnosti definitivně rozhodnout poprvé. Proti rozhodnutí by se opět mohl odvolat Facebook nebo pan Schrems.
Hlavní argumenty stran
- Irský komisař pro ochranu údajů se připojuje k názoru pana Schremse, že americké zákony o sledování porušují základní práva na soukromí, ochranu údajů a nápravu podle evropského práva. DPC však tvrdí, že nemá žádné pravomoci k řešení této otázky. Protože mechanismus předávání údajů, který Facebook používá (standardní smluvní doložky), s takovou situací nepočítá, je třeba samotné doložky zrušit. To by znamenalo, že předávání údajů do jakékoli země mimo EU na základě tohoto nástroje by muselo být zastaveno.
- Společnost Facebook zastává názor, že právo USA nepřekračuje rámec toho, co je legální podle práva EU. Facebook rovněž zpochybňuje, zda má EU nějakou pravomoc v případech "národní bezpečnosti". Souhrnně řečeno, Facebook nevidí žádný problém v tom, aby i nadále předával údaje do Spojených států podle zákonů o hromadném sledování, jako je FISA. Facebook se rovněž opírá o posouzení amerických zákonů Evropskou komisí v tzv. rozhodnutí o štítu na ochranu soukromí, podle kterého jsou americké zákony o sledování v souladu s požadavky EU.
- Schrems s DPC v tomto problému souhlasí, navrhuje však uvážlivější řešení. Zákon (článek 4 SCC) umožňuje DPC zastavit jednotlivé přenosy dat (jako je tomu u Facebooku). Pan Schrems říká, že irská DPC má povinnost jednat, místo aby případ vrátila zpět k SDEU. Pokud jde o spoléhání se společnosti Facebook na "štít soukromí", pan Schrems zastává názor, že rozhodnutí Evropské komise o štítu soukromí nepopisuje dostatečně americké zákony o dohledu, není ani vzdáleně schopno zajistit odpovídající ochranu soukromí, a proto musí být zrušeno.
- Evropská komise: Očekává se, že Evropská komise bude obě svá rozhodnutí obhajovat: Standardní smluvní doložky a Štít soukromí. Pravděpodobně se postaví na stranu Spojených států a společnosti Facebook, pokud jde o názor, že v USA nedochází k porušování základních práv, ale zároveň uzná, že DPC má pravomoc řešit tuto otázku sama, pokud Soudní dvůr EU spatří porušení základních práv v USA.
Prohlášení pana Schremse
Max Schrems, předseda noyb: "Navrhujeme uvážlivé řešení: Irská DPC musí jednoduše řádně vymáhat dodržování pravidel, místo aby případ stále dokola překopávala do Lucemburku. Tento případ se projednává již šest let. Během těchto šesti let DPC skutečně rozhodla v pouhých 2-3 % případů, které jí byly předloženy. Nemáme problém se "standardními smluvními doložkami", máme problém s jejich vymáháním."
noyb
noyb je nová evropská nezisková organizace, která prosazuje právo na soukromí prostřednictvím soudních sporů. Podporuje tento případ a sama je podporována více než 3 500 přispívajícími členy.
Klíčové údaje
Účastníky řízení před soudem jsou irský komisař pro ochranu údajů, společnost Facebook Ireland Ltd a Max Schrems. Irský soud rovněž umožnil čtyřem "amicus curiae" (neutrálním pomocníkům soudu), aby se k případu připojili, a to vládě USA, Electronic Privacy Information Center (epic.org) a dvěma průmyslovým lobbistickým organizacím.
Všechny členské státy EU, Evropská komise, Evropský parlament a Evropský sbor pro ochranu osobních údajů (EDPB) mohly podat svá stanoviska.
