SDEU obdržel jedenáct otázek předložených irským Nejvyšším soudem. SDEU mohl otázky přeformulovat a zabývat se pouze některými z nich. V tomto FAQ je uveden jednoduchý přehled rozsudku a zodpovězených otázek. Zabývá se nejdůležitějšími otázkami, které mohou mít lidé a společnosti v souvislosti s rozsudkem SDEU.
(I) Oblast působnosti případu
Kterých předávání údajů mezi EU a USA se tento případ netýká?
Zjednodušeně řečeno: "Nezbytná" předávání osobních údajů nejsou dotčena.
Tento případ se týká především dobrovolného "outsourcingu" zpracování osobních údajů do Spojených států.
Případ se netýká: (1) údajů, které nejsou "osobními údaji", a (2) "nezbytných" předávání údajů do Spojených států (např. e-mailů do USA, rezervací v USA atd.) - ve většině případů se na tato předávání vztahuje "výjimka" stanovená v článku 49 GDPR.
Tento případ tedy neznamená, že nelze posílat e-maily nebo zprávy z EU do USA. Jakékoli tvrzení, které to naznačuje, je jednoduše nesprávné.
Přesto bude muset mnoho společností v EU přezkoumat své postupy outsourcingu, pokud jejich osobní údaje zpracovávají poskytovatelé z USA. Podobnou revizi budou muset provést i příjemci těchto údajů v USA, pokud se na ně vztahují povinnosti podle příslušných amerických zákonů o sledování, jako je FISA 702.
Jaký je rozdíl mezi "outsourcingem" zpracování a naprosto "nezbytným" předáváním údajů do USA, včetně zasílání e-mailů, rezervací hotelů nebo obchodních transakcí?
"Nezbytné" předávání údajů: Ve většině případů, kdy je nutné předat údaje do USA (např. rezervace hotelu, zaslání e-mailu někomu do USA, standardní obchodní transakce mezi EU a USA atd.), se uplatní výjimky ("odchylky") uvedené v článku 49 GDPR. Tyto druhy předávání údajů jsou povoleny nezávisle na platnosti jiných právních nástrojů používaných pro předávání údajů, jako jsou standardní smluvní doložky (SCC), štít na ochranu soukromí nebo závazná podniková pravidla (BCR).
Outsourcing: Outsourcing znamená, že osobní údaje jsou v USA uchovávány pouze proto, že je snazší, levnější nebo praktičtější je uchovávat u amerického poskytovatele služeb než v Evropě, i když by technicky mohly být údaje uchovávány v EU/EHP. V tomto případě obvykle neexistuje obecná výjimka ("výjimka") podle článku 49 GDPR pro předávání údajů do USA. Místo toho je třeba použít právní nástroj, jako jsou SCC, Privacy Shield nebo BCR, které však mohou být v určitých situacích prohlášeny Soudním dvorem EU za neplatné nebo nepoužitelné. Dnes byl štít na ochranu soukromí prohlášen za neplatný. Navíc SCCs nemůže používat Facebook a další americké společnosti, které spadají pod dohled USA.
Týká se tento případ předávání údajů do jiných zemí než do USA?
Případ se žádného takového předávání přímo netýká.
Případ má však nepřímé důsledky. Společnosti budou muset mnohem pečlivěji než dosud přezkoumávat skutečnou úroveň ochrany poskytovanou v zemích mimo EU. Pokud jde například o SCC, konflikt se zákony o dohledu má stejný význam s ohledem na zákony v zemích, jako je Čína nebo Rusko.
(II) Důsledky pro spotřebitele
Mohou spotřebitelé v EU/EHP nadále využívat služby USA (nebo jiných třetích zemí) přímo?
Z praktického hlediska mohou uživatelé vědomě odesílat své osobní údaje přímo do třetí země, například při používání čínských internetových stránek.
Není však možné přímo sdílet údaje jiných osob (např. přátel, kolegů) s americkým poskytovatelem, pokud jste k tomu nezískali jejich svobodný, konkrétní, informovaný a jednoznačný souhlas.
Mohou spotřebitelé z EU/EHP nadále využívat služby USA (nebo jiných třetích zemí) nepřímo (prostřednictvím dceřiné společnosti v EU)?
V mnoha případech mají uživatelé z EU/EHP uzavřenou smlouvu s dceřinou společností americké společnosti v EU. Příkladem jsou Google Ireland, Facebook Ireland, Microsoft Luxembourg nebo Amazon Luxembourg.
V těchto případech jsou společnosti v EU odpovědné za to, že "vnitropodnikové" toky osobních údajů do USA jsou v souladu s GDPR. Společnosti se nyní budou muset důkladně zabývat všemi takovými toky dat a tím, zda je třeba data hostovat v Evropě nebo v jiné zemi, která poskytuje lepší ochranu soukromí, namísto toho, aby byla předávána do USA společnosti, která je pod dohledem USA.
(III) Důsledky pro společnosti
Mohou společnosti z EU/EHP nadále provádět "nezbytné" předávání osobních údajů do USA?
Ve většině případů ano: Ano.
Článek 49 GDPR obsahuje seznam "výjimek", které takové předávání údajů umožňují. Obvykle se to týká zadávání objednávek od podniků v USA, rezervací v amerických hotelech, zasílání e-mailů do USA a obecně jakéhokoli poskytování služeb, které logicky vyžaduje předávání údajů mezi EU a USA. Taková předávání nejsou součástí tohoto případu a rozsudek se jich nedotýká.
Mohou společnosti z EU/EHP i nadále "outsourcovat" zpracování osobních údajů do USA?
Ve většině případů ano: Pravděpodobně ne.
Na většinu běžně používaných amerických zpracovatelů údajů se vztahují i americké zákony o sledování, jako je FISA 702, které vyžadují, aby poskytovali osobní údaje vládě USA bez odpovídající ochrany. Předávání údajů zpracovatelům na základě takových povinností je v rozporu s GDPR, jak určil Soudní dvůr EU.
Mohou společnosti z EU/EHP i nadále zadávat zpracování osobních údajů v jiných zemích než v USA?
Ano, pokud v dané zemi neexistují protichůdné zákony.
Tento případ nemění pravidla GDPR pro předávání údajů. Stejně jako dříve musí každá společnost z EU ověřit, zda ve třetí zemi neexistují zákony, které mohou mít přednost před zákony EU o ochraně osobních údajů. V takových případech nelze osobní údaje do této třetí země předávat.
Pokud je například zpracování osobních údajů zadáváno do země A, musí správce z EU zajistit, aby příjemce měl zavedena potřebná opatření, ale také aby neexistovaly žádné protichůdné zákony, které platí v zemi A a mají před těmito opatřeními přednost.
Je nyní zakázáno veškeré předávání údajů z EU/EHP do USA?
Ne, vůbec ne - ze dvou důvodů:
- Většina předávání údajů neobsahuje "osobní údaje", ale jinou formu údajů. Takové předávání údajů není upraveno ani nařízením GDPR.
- Na většinu "nezbytných" přenosů osobních údajů (např. při zasílání e-mailu, zprávy nebo rezervace v hotelu) se stále vztahuje výjimka podle článku 49. Tato předávání mohou pokračovat i po vynesení rozsudku a nejsou jím dotčena.
Týká se případ všech amerických příjemců údajů z EU?
Ne. týká se pouze společností, které podléhají zákonům USA o sledování, nebo společností, které využívají poskytovatele služeb, na něž se tyto zákony USA o sledování vztahují.
Například zákon FISA 702 se vztahuje pouze na "poskytovatele služeb elektronických komunikací". Odvětví, jako jsou banky, letecké společnosti, hotely, přepravní společnosti, prodej zboží a podobně, se obvykle nechápou tak, že se na ně tyto zákony vztahují. Existují však určité nejasnosti ohledně těchto pojmů a amerického práva. Zdá se, že je nezbytné, aby vláda USA podala vysvětlení.
V praxi však banka (na kterou se nevztahuje FISA) může sama využívat "poskytovatele služeb elektronické komunikace" (na kterého se vztahuje FISA). To znamená, že k údajům banky lze přistupovat prostřednictvím "poskytovatele služeb elektronické komunikace". Nebo může přenášet data, která jsou nesprávně zašifrována, což by například umožnilo "odposlouchávat" data při jejich přenosu po podvodních kabelech (jak povoluje EO 12.333). Proto je třeba posoudit celý tok dat.
Jak lze rozhodnutí Soudního dvora EU prosadit v praxi?
Po vynesení rozsudku musí společnosti individuálně přezkoumat, zda musí změnit své postupy. Mají povinnost zastavit předávání údajů, které je nezákonné. To není nic nového. Po rozsudku ve věci "Safe Harbor" mnoho společností z EU přešlo od poskytovatelů z USA.
Společnosti, které nyní předávají údaje příjemcům v USA nezákonně, budou muset všechna taková předávání co nejrychleji zastavit, aby jim podle GDPR nehrozila pokuta až do výše 20 milionů eur nebo 4 % jejich celosvětového obratu. Vnitrostátní orgány pro ochranu osobních údajů (DPA) mají povinnost tyto pokuty vymáhat.
Uživatelé společností z EU mohou tyto společnosti požádat, aby přestaly předávat jejich osobní údaje do USA. Pokud společnosti tyto žádosti nesplní, mohou uživatelé podat stížnost orgánu pro ochranu údajů nebo podat žalobu k místnímu soudu. To může vést k vydání předběžných soudních příkazů a/nebo k náhradě citové újmy. V mnoha zemích EU mohou skupiny spotřebitelů, rady zaměstnanců a další subjekty rovněž podat kolektivní nebo hromadnou žalobu, pokud společnost pokračuje v předávání osobních údajů bez právního základu.
Co mohou dělat společnosti v EU/EHP?
Společnosti musí posoudit, zda je třeba jejich zpracování osobních údajů zadat zpracovatelům v USA. Pokud ano, musí určit právní základ pro předávání údajů (např. odchylky v článku 49 GDPR, SCC, Privacy Shield nebo BCR).
Většina amerických poskytovatelů cloudových služeb se kvalifikuje jako "poskytovatelé služeb elektronické komunikace", a proto se na ně vztahují příslušné americké zákony o sledování, jako je FISA 702.
Většina ostatních průmyslových odvětví sice pod tyto zákony nespadá, ale může využívat "poskytovatele služeb elektronických komunikací", kteří pod ně spadají, což v podstatě umožňuje nepřímý přístup k údajům. Je třeba vzít v úvahu i další nástroje sledování, jako je EO 12.333. EO 12.333 umožňuje "sledování při přepravě", například přístup k údajům, které nejsou řádně zašifrovány, zatímco procházejí transatlantickými kabely.
Pokud nemohou využít žádný z právních nástrojů umožňujících předání podle článků 44-50 GDPR, budou muset společnosti předat všechny příslušné osobní údaje zpět do EU/EHP a najít zpracovatele v EU/EHP nebo v jiné zemi, kde je zajištěna odpovídající ochrana osobních údajů.
Co mohou dělat americké společnosti?
Americké společnosti musí zkontrolovat, zda se na ně nebo na jejich subdodavatele nevztahují příslušné americké zákony o dohledu a zda jsou jejich přenosy údajů šifrovány na takové úrovni, která zajišťuje, že "odposlech" během přenosu není možný. Po tomto přezkoumání budou muset svým zákazníkům z EU/EHP sdělit, zda je jejich zpracování osobních údajů rozsudkem dotčeno.
Z dlouhodobého hlediska může být vhodné přesunout některá zpracování mimo USA nebo si promluvit se zvolenými zástupci o dopadech, které mají americké zákony o sledování na schopnost amerických společností obchodovat se zahraničními zákazníky. Doufáme také, že americké podniky budou hovořit s americkými zákonodárci o nedostatečné ochraně poskytované jejich zahraničním zákazníkům.
(IV) POLITICKÉ DŮSLEDKY
Jak lze konflikt mezi americkými zákony o sledování a zákony EU o ochraně soukromí dlouhodobě vyřešit?
Pokud si USA chtějí udržet své postavení hlavního poskytovatele IT služeb ve světě, bude třeba americké zákony o dohledu urychleně reformovat. USA budou muset zavést základní ochranu soukromí, která bude přinejmenším rovnocenná té, která je již poskytována občanům USA. Jinak je velmi nepravděpodobné, že by zahraniční zákazníci nadále využívali služeb amerických poskytovatelů.
Jakmile budou americké zákony o dohledu tímto způsobem reformovány, budou moci společnosti z EU opět obnovit předávání údajů mezi EU a USA a Evropská komise bude moci vydat nové stabilní nástroje, které to umožní.
Jak by mohlo předávání údajů mezi EU a USA pokračovat v budoucnu?
V jádru čelíme konfliktu mezi zákony EU o ochraně soukromí a zákony USA o dohledu: Zákony EU vyžadují ochranu osobních údajů, zatímco zákony USA vyžadují sledování.
Právo na soukromí a ochranu údajů jsou v Evropě základními právy, jak je zakotveno v článcích 7 a 8 Listiny základních práv EU. Na jakékoli změně těchto základních práv by se muselo jednomyslně shodnout všech 27 členských států. Evropská komise se pokusila schválit výjimky, jako je "bezpečný přístav" a "štít na ochranu soukromí", ale bez nezbytné reformy amerických zákonů o dohledu tyto výjimky neustále nesplňují základní práva EU. Výsledkem jsou rozhodnutí, jako je toto, která činí tyto výjimky neplatnými.
USA zavedly v roce 2008 dalekosáhlé zákony o sledování osob mimo USA. Pokud by USA tyto zákony o sledování zrušily nebo zaručily stejnou ochranu pro neamerické osoby, jaká platí pro osoby z USA, pak by bylo velmi pravděpodobné, že USA budou považovány za zemi, která zajišťuje "přiměřenou ochranu" osobních údajů podle práva EU, pokud dojde k odpovídající nápravě.
Může EU jednoduše přijmout jiné rozhodnutí, pokud bude štít na ochranu soukromí prohlášen za neplatný?
Teoreticky by Evropská komise mohla (vědomě) vydat další neplatné rozhodnutí, pokud Soudní dvůr EU "štít na ochranu soukromí" zneplatní. Vzhledem k tomu, že problém spočívá v právu USA, vedlo by to s největší pravděpodobností k právnímu napadení, které by vedlo k tomu, že by SDEU nové rozhodnutí rovněž zrušil. Je velmi nepravděpodobné, že by to bylo politicky přijatelné. Podniky rovněž potřebují právně stabilní řešení.
Tento rozsudek i předchozí rozsudek týkající se "bezpečného přístavu" vycházejí z Listiny základních práv. Ke změně smluv EU, která by Evropské komisi umožnila vydat právně podložené rozhodnutí o předávání údajů mezi EU a USA, by byla nutná jednomyslná dohoda všech 27 členských států EU.
Řešení je tedy v rukou zákonodárce USA, který musí upravit nebo zrušit stávající americké zákony o sledování.
Nejedná se ze strany EU pouze o protekcionismus?
Ne. Tento případ je ve skutečnosti veden proti Evropské komisi. Právo EU umožňuje mnoho možností mezinárodního předávání údajů - pokud je dodržena základní ochrana soukromí.
Ve skutečnosti politická složka EU (Evropská komise a členské státy) předávání údajů mezi EU a USA podporuje, ale Soudní dvůr EU již dříve vyjádřil pochybnosti o zákonnosti těchto dohod s USA vzhledem k možnému porušení základních práv EU. Stejně tak Evropský parlament vyjádřil pochybnosti o těchto dohodách.
Porovnáme-li "štít na ochranu soukromí" v podobě, v jaké se vztahuje na americké společnosti, s interním nařízením EU o ochraně osobních údajů (GDPR), je zřejmé, že americké společnosti mohou získat přístup na velký trh EU při dodržování mnohem slabších pravidel, než jaká musí dodržovat společnosti v EU. To poskytuje americkým společnostem konkurenční výhodu.
