Předávání údajů mezi EU a USA

Od roku 2013 se projednává případ masového sledování ze strany USA a společností EU, které se na něm podílejí. Dvakrát byl projednáván u irského Nejvyššího soudu a u Soudního dvora Evropské unie (SDEU), a dokonce krátce zavítal i k irskému Nejvyššímu soudu. Historie tohoto případu je v mnoha ohledech jedinečná.

Pozadí

Ve své podstatě se tento případ týká střetu práva mezi americkými zákony o sledování, které vyžadují sledování, a zákony EU o ochraně údajů, které vyžadují ochranu soukromí.

Problém: americké zákony o sledování

V roce 2013 Edward Snowden veřejně odhalil, že americké zpravodajské agentury mají přístup k osobním údajům evropských uživatelů pomocí sledovacích programů, jako je PRISM. Tento přístup byl usnadněn zákonem USA, o němž není známo, že by byl používán k povolení tak rozsáhlého sledování, který se nazývá 50 U.S.C. §1881a (nebo FISA 702). Zákon FISA 702 byl přijat v roce 2008 a zásadně rozšířil možnosti sledování a přístupu k údajům pro americké orgány. Současně s tímto rozšířením shromažďovali američtí poskytovatelé služeb elektronické komunikace (jako Apple, Microsoft, Facebook, Google a Yahoo) stále více osobních údajů. V kombinaci to vedlo ke stále škodlivějšímu dopadu na soukromí evropských uživatelů.

Podle zákona FISA 702 mohou být američtí "poskytovatelé služeb elektronických komunikací" (jak jsou definováni v § 1881 odst. 4 zákona 50 U.S.C.) nuceni poskytnout americkým bezpečnostním orgánům přístup k osobním údajům "neamerických osob", které jsou definovány jako kdokoli, kdo není občanem USA nebo nemá trvalý pobyt v USA. Příkazy ke sledování podle tohoto zákona nemusí být konkrétní pro jednotlivý cíl, ale umožňují spíše celý program plošného sledování, jako je PRISM nebo Upstream. Pro osoby, které nejsou občany USA, neexistuje žádné individuální soudní schválení. Zákon FISA 702 rovněž umožňuje sledování pro poměrně široké účely, jako jsou "informace, které ... se týkají ... vedení zahraničních záležitostí Spojených států"(viz 50 U.S.C. §1801(e)).

Existují také sledovací pravomoci USA založené na "inherentní pravomoci prezidenta USA" a blíže definované v exekutivním příkazu(EO 12.333), zatímco další prvky jsou popsány v prezidentské politické směrnici 28(PPD-28). V obou případech se jedná o interní příkazy v rámci výkonné moci, které nezakládají žádné povinnosti ani práva pro soukromé subjekty, ale umožňují sledování osob, které nejsou členy USA.

V dokumentech zveřejněných Edwardem Snowdenem je uvedena řada amerických společností, které na základě těchto ustanovení poskytují údaje vládě USA pro sledovací programy, jako je PRISM nebo Upstream, včetně společností Apple, Microsoft, Facebook, Google a Yahoo.

Reakce: GDPR omezuje předávání údajů

Evropské zákony o ochraně osobních údajů (dříve směrnice 95/46 a nyní GDPR) jsou založeny na konceptu volného toku osobních údajů, ale pouze v rámci sféry, která chrání soukromí uživatelů. Pokud by osobní údaje byly chráněny pouze v rámci Evropské unie, ale mohly by být bez omezení předávány mimo její jurisdikci, mohla by být vysoká úroveň ochrany osobních údajů, která je v EU nezbytná, snadno narušena.

Právo EU však vždy současně stanovilo výjimky z této zásady omezení předávání, například v případech, kdy osobní údaje musí být nutně předány (např. při rezervaci služby v zahraničí nebo při zasílání e-mailu) nebo když uživatel s předáním dobrovolně souhlasí. Tyto výjimky pro nestrukturální předávání jsou v současné době kodifikovány v článku 49 GDPR.

Kromě toho právo EU uznává, že mohou nastat situace, kdy společnosti mimo EU poskytují rovnocennou úroveň ochrany osobních údajů. V některých zemích je vnitrostátní právo podobné právu EU (např. Švýcarsko, Izrael, Kanada nebo Japonsko) a v jiných zemích se mohou společnosti dobrovolně zavázat k dodržování zásad EU podpisem občanskoprávních ujednání, jako jsou standardní smluvní doložky (SCC), závazná podniková pravidla nebo štít EU-USA na ochranu soukromí. Posledně jmenované právní základy lze nalézt v článcích 46 až 48 GDPR a jsou z velké části využívány pro situace, které lze nejlépe popsat jako "outsourcing" zpracování osobních údajů společnostmi do zemí mimo EU.

Vzhledem k tomu, že USA nemají souhrnný ani federální zákon o ochraně osobních údajů, musí se americké společnosti při outsourcingu spoléhat na jednu z těchto smluvních možností uvedených v článcích 46 až 48 GDPR. Pro společnosti, které spadají pod americké zákony o dohledu, je však využití těchto smluvních možností v praxi nemožné , protože americké zákony vyžadují, aby porušily své povinnosti podle práva EU. Tento problém je jádrem všech případů mezi panem Schremsem, irským komisařem pro ochranu údajů (DPC) a společností Facebook, protože společnost Facebook jednoznačně spadá pod americké zákony o dohledu a účastnila se programů, jako je PRISM, přičemž v rozporu s nimi podepsala dohody SCC, Safe Harbor a nyní Privacy Shield (rozhodnutí o předávání údajů mezi EU a USA, které nahrazuje Safe Harbor).

První odkaz na SDEU v letech 2013-2015 ("Safe Harbor")

Řízení před irským komisařem pro ochranu údajů (DPC)

Po Snowdenových odhaleních podal pan Schrems (tehdy rakouský student práv) stížnost na společnost Facebook Ireland Ltd. u irského komisaře pro ochranu údajů (DPC). Ve stížnosti tvrdil, že podle Rozhodnutí EU a USA o bezpečném přístavu 2000/520/ES (výkonné rozhodnutí Evropské komise z roku 2000) by osobní údaje pana Schremse neměly být zasílány ze společnosti Facebook Ireland Ltd. (sloužící uživatelům Facebooku mimo USA a Kanadu) společnosti Facebook Inc. (mateřské společnosti v USA) vzhledem k tomu, že Facebook musí umožnit přístup k těmto údajům americké Národní bezpečnostní agentuře.

Irská DPC zamítla stížnost pana Schremse jako "neopodstatněnou a šikanózní" s odůvodněním, že společnost Facebook se při předávání údajů do USA opírá o rozhodnutí o bezpečném přístavu. Podle názoru DPC Evropská komise v rozhodnutí z roku 2000 (8 let před přijetím § 1881a zákona 50 U.S.C.) uznala, že právo USA je adekvátní a že DPC je rozhodnutím Komise absolutně vázána.

Soudní přezkum proti DPC

V říjnu 2013 podal pan Schrems žádost o soudní přezkum rozhodnutí DPC s odůvodněním, že DPC mohla využít "nouzovou doložku" v rozhodnutí o bezpečném přístavu k pozastavení předávání údajů a že rozhodnutí o bezpečném přístavu je v každém případě neplatné. V rozsudku ze dne 18. 6. 2014 [2014] IEHC 310 irský Nejvyšší soud řízení pozastavil a věc postoupil Soudnímu dvoru Evropské unie (SDEU). Irský vrchní soud se do značné míry shodl na tom, že podle amerického práva existuje "hromadné sledování", ale zaujal stanovisko, že nemůže ve věci pana Schremse přijmout konečné rozhodnutí, aniž by nejprve určil platnost rozhodnutí o bezpečném přístavu. Podle práva EU může o platnosti aktů EU, jako je rozhodnutí o bezpečném přístavu, rozhodovat pouze Soudní dvůr EU, což znamenalo, že irský vrchní soud musel věc postoupit Soudnímu dvoru EU.

Rozsudek SDEU ze dne 6. října 2015 (C-362/14)

Ve věci sp. zn průlomovém rozsudku (C-362/14 Schrems) sDEU prohlásil rozhodnutí o "bezpečném přístavu" za neplatné, přičemž se do značné míry řídil argumenty pana Schremse. Soudní dvůr rozhodl, že třetí země, jako jsou USA, musí poskytovat"v zásadě rovnocennou" úroveň ochrany, jakou poskytuje právo EU, a že"právní předpisy umožňující orgánům veřejné moci přístup na obecném základě" porušují podstatu základního práva EU na soukromí podle článku 7 Listiny základních práv EU (LZPS). Stejně tak absence jakéhokoli právního prostředku nápravy v USA pro osoby, které nejsou občany USA, porušuje základní právo na soudní ochranu podle článku 47 Úmluvy o ochraně osobních údajů.

V návaznosti na rozsudek SDEU irský vrchní soud řízení u irských soudů zastavil, neboť DPC se zavázala k urychlenému provedení rozhodnutí SDEU.

Druhé předložení věci SDEU v letech 2015-20 (SCC a štít na ochranu soukromí)

Informace o tom, že se Facebook skutečně opírá o SCCs

K velkému překvapení pana Schremse jej DPC v listopadu 2015 informovala, že rozsudek SDEU ve věci rozhodnutí Safe Harbor je pro jeho původní stížnost irelevantní, protože Facebook se při předávání údajů ve skutečnosti vždy spoléhal na tzv. standardní smluvní doložky (SCC). DPC tuto informaci panu Schremsovi nesdělila, což ho vedlo k domněnce, že se Facebook spoléhal na Safe Harbor, přestože tuto informaci od Facebooku obdržel již v e-mailové odpovědi na stížnost v roce 2013.

Pan Schrems proto přeformuloval svou stížnost tak, aby nyní zahrnovala SCC a jakýkoli jiný právní základ pro předávání údajů, na který by se společnost Facebook mohla spoléhat, a dne 1. prosince 2015 poskytl DPC aktualizovanou stížnost. Pan Schrems tvrdil, že by DPC měl k pozastavení předávání údajů použít článek 4 rozhodnutí SCC, protože článek 4 umožňuje DPC pozastavit předávání údajů, pokud jsou porušena základní práva uživatelů.

Žaloba DPC proti společnosti Facebook a panu Schremsovi

Namísto rychlého rozhodnutí ve věci podala DPC překvapivě žalobu proti společnosti Facebook Ireland Ltd a panu Schremsovi krátce po zahájení "vyšetřování" přeformulované stížnosti týkající se těchto dvou stran. Podle názoru DPC byly tyto dvě strany v tomto případě "přirozenými žalovanými" a DPC byla nucena vyzvat Vrchní soud, aby vydal další rozhodnutí o postoupení věci Soudnímu dvoru EU. Pan Schrems se proti tomu ohradil s tím, že DPC se může podruhé obrátit na Soudní dvůr EU až poté, co budou prošetřeny všechny skutečnosti a otázky.

Několik stran požádalo, aby se k případu připojily jako amicus (neutrální pomocníci soudu); připojila se k němu vláda USA, EPIC.org a dvě průmyslové lobbistické skupiny.

DPC v žalobě uvedla, že se nejen připojuje k názorům pana Schremse v jeho obavách ohledně amerického zákona o sledování, ale kromě toho má také vážné obavy ohledně platnosti SCC používaných společností Facebook. DPC zastávala názor, že SCC neposkytují zákonný mechanismus pro předávání údajů, pokud třetí země, jako jsou USA, přijala zákony, které jsou v rozporu s SCC. Společnost Facebook a pan Schrems neměli námitky proti samotným SCC a shodli se, že v takovém případě by řešení umožňoval článek 4 rozhodnutí (EU) 2010/87 o SCC.

Na rozdíl od pana Schremse a DPC společnost Facebook neviděla žádný problém v amerických zákonech o sledování a zastávala názor, že EU nemá pravomoc rozhodovat o otázkách "národní bezpečnosti". Společnost Facebook se rovněž opírala o rozhodnutí Evropské komise o štítu na ochranu soukromí (EU) 2016/1250, které nahradilo zrušené rozhodnutí o bezpečném přístavu. V tomto rozhodnutí Evropská komise konstatovala, že mezi americkými zákony o dohledu a základními právy EU neexistuje žádný rozpor. Podle společnosti Facebook se toto zjištění v rozhodnutí o štítu na ochranu soukromí musí vztahovat i na předávání podle SCC. Pan Schrems zastával názor, že rozhodnutí o štítu na ochranu soukromí je samo o sobě neplatné, protože zásadně zkresluje americké zákony o dohledu, a není proto autoritou pro výklad SCCs.

Po několika procesních krocích a více než pěti týdnech slyšení za účasti mnoha odborníků na americké zákony o sledování irský Nejvyšší soud uznal existenci amerických vládních programů hromadného sledování. V rozsudku ze dne 3. října 2017 [2017] IEHC 545 irský Nejvyšší soud shrnul všechna skutková zjištění a zdůraznil, že USA provádějí "hromadné zpracování" osobních údajů, když například filtrují veškerý internetový provoz, který protéká částí páteřní sítě internetu. Dne 13. dubna 2018 předložil Soudnímu dvoru EU k posouzení jedenáct výkladových otázek. Otázky byly z velké části vypracovány DPC.

V návaznosti na toto předložení se společnost Facebook obrátila na irský Nejvyšší soud ve snaze zastavit předložení věci Vrchním soudem, ale odvolání bylo nakonec 31. května 2019 zamítnuto.

Řízení před Soudním dvorem EU (C-311/18)

Dne 30. srpna 2018 měly strany předložit svá písemná vyjádření.

Dne 19. července 2019 projednal věc SDEU ve velkém senátu (nejpočetnější složení Soudního dvora s 15 soudci), který vyslechl tři strany, čtyři amicus, Evropskou komisi, Evropský parlament, Evropský sbor pro ochranu osobních údajů (EDPB) a velký počet vlád členských států EU. Otázky soudců se týkaly zejména otázek souvisejících s americkými zákony o dohledu a platnosti rozhodnutí o štítu na ochranu soukromí.

Dne 19. prosince 2019 vydal generální advokát Soudního dvora nezávazné poradní stanovisko k případu, v němž se do značné míry připojil ke stanovisku pana Schremse. Podle stanoviska jsou americké zákony o dohledu neslučitelné se základními právy EU, ale řešení neslučitelnosti spočívá v tom, že DPC nařídí pozastavení předávání údajů podle článku 4 rozhodnutí SCCs. Ačkoli AG výslovně kritizoval rozhodnutí o štítu na ochranu soukromí, zastával názor, že otázka jeho platnosti netvoří nedílnou součást případu.

Dne 16. července 2020 vydal Soudní dvůr rozhodnutí "Schrems II", v němž se plně přiklonil k postoji stěžovatele, zrušil platnost rozhodnutí "Privacy Shield", uložil DPC povinnost zastavit předávání údajů a konstatoval, že americké zákony o sledování porušují článek 7 (právo na soukromí), článek 8 (právo na ochranu údajů) a článek 47 (právo na nápravu) Listiny základních práv Evropské unie.