V rámci příprav na předání nezávazného poradního stanoviska generálního advokáta, které se uskuteční 19. prosince přibližně v 9:45 v Lucemburku, jsme vypracovali následující přípravný dokument. Případ se projednává již 6,5 roku, zabývá se složitými zákony EU o ochraně soukromí a zákony USA o sledování a byl předmětem čtyř jednání před různými soudy. Je tedy velmi složitý.
I. Souvislosti případu
Sledování v USA. Jak potvrdila odhalení Edwarda Snowdena, mnoho velkých amerických internetových společností (v tomto případě Facebook) spadá pod povinnost umožnit vládě USA masový přístup k údajům evropských uživatelů pro účely "zahraničního zpravodajství" (včetně boje proti terorismu a špionáže). Takové využívání údajů Evropanů může být v rozporu s národními zájmy EU a jejích členských států (například při prosazování amerických sankcí vůči společnostem v EU nebo při špehování občanů a vlád EU).
Případ "bezpečného přístavu" z roku 2015. Na základě těchto skutečností podal pan Schrems v roce 2013 stížnost na společnost Facebook u irského komisaře pro ochranu osobních údajů ("DPC"). DPC stížnost nejprve zamítl jako "frivolní a šikanózní". Pan Schrems se proti rozhodnutí DPC odvolal a nakonec vyhrál: V tomto případě, C-362/14 SchremssDEU ("Soudní dvůr Evropské unie", nejvyšší soud EU) potvrdil jeho názor a rozhodl, že hromadné sledování porušuje evropská základní práva. SDEU zrušil předchozí systém "bezpečného přístavu", který usnadňoval předávání údajů mezi EU a USA. Tento systém byl v roce 2016 urychleně nahrazen systémem "Privacy Shield". Schrems: "Štít soukromí je aktualizovanou verzí nezákonného "bezpečného přístavu". V americkém zákoně o dohledu se nic nezměnilo ani nenapravilo."
Standardní smluvní doložky ("SCC"). Po prvním rozhodnutí Soudního dvora EU o "Safe Harbor" společnost Facebook prohlásila, že nebude používat "Privacy Shield", ale tzvStandardní smluvní doložky" (SCC).
SCCs je smlouva mezi společností z EU (zde Facebook Ireland) a společností mimo EU (zde Facebook Inc., v Kalifornii), ve které se zahraniční společnost zavazuje respektovat soukromí Evropanů. Zákon připouští, že takové smlouvy dostatečně chrání evropské údaje při jejich přenosu do zahraničí.
Hlavní problém: právo EU na ochranu soukromí je v rozporu s americkým právem na sledování. Podle zákonů EU o ochraně osobních údajů ("GDPR") a SCC je "vývoz údajů" do třetí země legální pouze tehdy, pokud je vyvážející společnost (v tomto případě Facebook Ireland Ltd) schopna zajistit "odpovídající ochranu" v USA. V praxi se ukázalo, že to není možné, protože americké zákony o sledování (například FISA 702 a EO 12.333) vedou k tomu, že americká vláda "hromadně zpracovává" osobních údajů pro účely sledování. Schrems: "Jednoduše řečeno: Zákony EU vyžadují ochranu soukromí, zatímco zákony USA vyžadují masové sledování. Otázkou je, co se stane, když se společnost v EU bude řídit právem USA, a nikoliv EU."
Žádost pana Schremse a reakce irské DPC. Vzhledem k výše uvedené situaci a rozhodnutí Soudního dvora EU ve věci "Safe Harbor" pan Schrems následně v roce 2015 požádal irskou DPC o využití článku 4 SCC, který DPC umožňuje nařídit společnosti Facebook, aby v jednotlivých případech "pozastavila" předávání údajů. Ačkoli DPC nyní souhlasila s panem Schremsem, že americké zákony o sledování porušují právo EU, nepodnikla žádné přímé kroky. Schrems: "Žádali jsme o cílené řešení, a to pouze pro společnosti, které spadají pod tyto zákony o sledování. DPC mohla takové rozhodnutí vydat během jednoho dne."
Irská DPC chce zrušit platnost SCC. DPC se však žádostí pana Schremse neřídila, ale místo toho podala žalobu na Facebook a pana Schremse k irskému Nejvyššímu soudu s cílem vrátit věc k Soudnímu dvoru EU - tentokrát ve věci platnosti SCC. Irský vrchní soud vyhověl žádosti DPC a postoupil věc Soudnímu dvoru EU jedenáct otázek sDEU, a to i přes odpor pana Schremse a společnosti Facebook (oba se proti postoupení z různých důvodů postavili). Gerard Rudden (ze společnosti ARQ Solicitors, která zastupuje pana Schremse): "Můj klient požádal o cílené řešení pro společnosti, které spadají pod americké zákony o hromadném sledování. DPC mohla takové rozhodnutí vydat již dávno. Místo toho po sedmi letech a dvou postoupeních věci Soudnímu dvoru EU stále nemáme žádné formální rozhodnutí DPC."
noyb.eu & Právní tým Pan Schrems podal tento případ pro-bono a je podporován týmem právníků z Irska, USA a Lucemburska. Případ podporuje také evropská nezisková organizace noyb.eu, jejíž je rovněž čestným předsedou. Pana Schremse zastupuje Eoin McCullhan, pověřený společností Ahern Rudden Quigley Solicitors. Prof. Herwig Hofmann podpořil případ v otázkách evropského práva. Ashley Gorski z Americké unie občanských svobod (ACLU.org) pomáhala jako soudní znalec v oblasti amerického práva týkajícího se sledování.
II. Možné výsledky
Velmi pravděpodobný rozdíl mezi stanoviskem generálního advokáta a konečným rozsudkem. V případu bylo vzneseno jedenáct částečně propojených otázek s mnoha dalšími problémy, které s každou otázkou souvisejí. Na rozdíl od mnoha jiných případů nelze očekávat binární odpověď. Stanovisko i konečný rozsudek mohou některé otázky dále rozvést a o jiných bodech mlčet. Schrems: "Tento případ má jedenáct vzájemně propojených otázek. Je velmi nepravděpodobné, že od generálního advokáta dostaneme jedinou jasnou odpověď 'ano, nebo ne'. Vzhledem k mnoha možnostem je ještě méně pravděpodobné, že soudci ve svém konečném rozsudku přistoupí k těmto jedenácti otázkám stejným způsobem."
Kromě mnoha různých možností v tomto případě mohlo být ústní projednávání věci ukazatelem poněkud odlišných názorů mezi AG a soudci. Schrems: "Během soudního jednání kladl generální advokát otázky zcela jiným směrem než soudci. Zdálo se, že soudci jsou k právu USA a k posouzení ze strany Evropské komise mnohem kritičtější než generální advokát. Očekávám proto, že konečný rozsudek může poskytnout přísnější ochranu soukromí než čtvrteční stanovisko."
Je zapotřebí dlouhodobé řešení. Z dlouhodobého hlediska se zásadní střet mezi zákony EU o ochraně soukromí a americkými zákony o sledování v tomto případě velmi pravděpodobně nevyřeší. Schrems: "Pokud chtějí USA zpracovávat údaje cizinců, budou muset cizincům poskytnout alespoň stejnou základní ochranu soukromí. V tuto chvíli se USA chovají trochu jako Švýcarsko, které by řeklo 'uložte si u nás všechno své zlato, ale ve skutečnosti nemáte žádná práva, jakmile je tady'. Pokud bude situace taková, kdo na světě bude USA svěřovat svá data?"
III. Postoj stran k "hlavnímu sporu"
Jakmile je orgán pro ochranu údajů toho názoru, že příjemce údajů má právní povinnosti ve třetí zemi, která není v souladu s právem EU (jako v tomto případě), vyvstává otázka, jak toto dilema řešit. Tři účastníci řízení navrhli tři různé odpovědi:
|
|
Irská DPC |
Max Schrems |
|
|
Sledování ze strany USA není v rozporu s právem EU ("žádný problém k řešení") |
Ne |
Ne |
Ano |
|
Článek 4 SCC umožňuje pozastavit ("cílené řešení" pro společnosti FISA) |
Ne |
Ano |
Ano, pokud by nastal problém |
|
SCCs jsou neplatné globálně ("radikální řešení") |
Ano |
Ne |
Ne |
- Společnost Facebook se domnívá, že premisa otázky je nesprávná, protože sledování v USA je v souladu s právem EU (z různých důvodů) a případ se neřídí právem EU.
- Pan Schrems je toho názoru, že článek 4 SCC umožňuje DPC pozastavit toky údajů v jednotlivých případech, ale DPC toto "cílené řešení" podle zákona nevyužívá.
- DPC spatřuje "systematický" problém, který by měl vést k celosvětovému zrušení platnosti SCC, a nemělo by být na DPC, aby v každém jednotlivém případě jednal individuálně.
IV. Často kladené otázky a častá nedorozumění
- Nesnažil se pan Schrems zrušit standardní smluvní doložky?
Pan Schrems nikdy netvrdil, že SCCs mohou být neplatné. Ze všech stran a všech intervencí u Soudního dvora EU pouze DPC zaujala stanovisko, že SCCs by měly být neplatné. Všichni (orgány EU, členské státy, lobbistické skupiny, Facebook a pan Schrems) jsou toho názoru, že SCCs neplatné nejsou.
- Nebrání EU pouze volnému obchodu?
K tomuto střetu jurisdikcí vedou dva zákony: (1) americké zákony o sledování, které umožňují masové sledování cizinců a špionáž bez souhlasu jednotlivých soudů, a (2) evropské základní právo na soukromí. Je velmi racionální zakázat tok dat na cizí území, pokud mohou být tato data zneužita. USA mají podobné obavy v souvislosti s aplikacemi, jako je "TikTok", nebo 5G hardwarem společnosti Huawei.
- Neznamená tento případ, že do USA už nelze posílat e-maily?
Zjednodušeně řečeno, GDPR hovoří o dvou typech datových toků: (1) Nezbytné datové toky (jako jsou e-maily nebo rezervace hotelu v zahraničí), pro které existují výjimky v článku 49 GDPR, a (2) případy "outsourcingu" zpracování údajů do třetí země, které nejsou nezbytně nutné. I kdyby byly SCC zrušeny, mělo by to důsledky pouze pro druhou kategorii případů, v nichž se žádná "výjimka" neuplatňuje.
V případě e-mailů by to znamenalo, že poštovní schránka Gmailu jako celek již nesmí být outsourcována do USA, ale jednotlivé e-maily, které jdou americkému příteli nebo kolegovi, budou stále doručovány (stejně jako se dnes e-maily posílají do Číny, Ruska nebo dokonce Severní Koreje).
- Týká se tento případ všech datových toků do USA?
Podle argumentů pana Schremse se jádro problému omezuje na společnosti, které spadají pod zvláštní zákon o sledování nazvaný "FISA 702". Tento zákon se vztahuje pouze na "poskytovatele služeb elektronické komunikace" (jako je Facebook, Google nebo Microsoft), ale nevztahuje se na "tradiční podniky", jako jsou letecké společnosti, hotely, obchod, finančnictví a podobně.
Další problém se týká povolení ke sledování nazvaného "EO 12.333", které umožňuje USA provádět sledování v jakémkoli odvětví podnikání, včetně transatlantických kabelů mimo území Spojených států. To se týká především posouzení "štítu na ochranu soukromí".
Celkově je pozastavení předávání údajů v rámci SCC nutné pouze pro společnosti, které spadají pod FISA 702, který byl zaveden v roce 2007. Problém lze vyřešit opravou tohoto zákona v USA.
- Zažaloval pan Schrems společnost Facebook dvakrát?
Zatímco pan Schrems podal původní stížnost k DPC v roce 2013, DPC toto řízení pozastavila a podala žalobu na Facebook a pana Schremse. Ti jsou žalovaní a nezahájili toto (druhé) řízení před Soudním dvorem EU. Pan Schrems i společnost Facebook se totiž proti předložení věci Soudnímu dvoru EU postavili z různých důvodů.
- Co má tento případ společného se "štítem na ochranu soukromí"?
Společnost Facebook v tomto případě vznesla námitku týkající se "štítu na ochranu soukromí", neboť tvrdí, že Evropská komise schválila americké zákony o dohledu v rámci štítu na ochranu soukromí a toto posouzení by mělo být závazné i při posuzování amerických zákonů o dohledu podle SCC. Pan Schrems namítl, že toto posouzení je věcně nesprávné, a štít na ochranu soukromí je proto neplatný.
Není jasné, zda se generální advokát bude zabývat oběma argumenty, soudci se během ústního jednání intenzivně dotazovali Evropské komise na štít na ochranu soukromí.
- Proč říkáte, že SCC jsou v pořádku, ale štít na ochranu soukromí nikoli?
SCC je obecný nástroj pro přibližně 200 zemí světa. Nezabývá se americkými zákony o dohledu. Pokud existuje zákon, který je s ním v rozporu, článek 4 SCCs umožňuje DPC zastavit předávání údajů. SCC tedy má odpověď na problém, který je před Soudním dvorem. V rozhodnutí o štítu na ochranu soukromí Evropská komise výslovně uvedla, že americké zákony o sledování jsou v souladu s právem EU, s čímž zásadně nesouhlasíme.
- Co podle vás měla DPC udělat?
Podle článku 4 nařízení o ochraně osobních údajů může kterýkoli orgán pro ochranu osobních údajů (jako je DPC) zastavit předávání údajů, pokud nařízení o ochraně osobních údajů není fakticky dodržováno. Společnost Facebook Ireland věděla o sledování ze strany NSA nejméně od roku 2013, ale nepřijala žádná opatření k zastavení nebo omezení předávání údajů. V takových případech musí zasáhnout regulační orgán a přijmout opatření.
- Jak mohou společnosti vyhovět příznivému rozhodnutí?
Nejprve by musely zjistit, zda některá jejich data putují k americkému "poskytovateli služeb elektronické komunikace", na kterého se vztahuje zákon FISA 702. Většina tradičních průmyslových odvětví pod tyto zákony o sledování nespadá, ale velké technologické společnosti, které mnozí z nás používají (jako Facebook, Google, Amazon nebo Microsoft), ano.
I když údaje putují k jednomu z těchto poskytovatelů, většinu základních přenosů údajů (např. zasílání e-mailů, přímých zpráv nebo údajů o rezervacích) lze stále přenášet na základě tzv. výjimek v GDPR. V případech pouhého "outsourcingu" však evropské společnosti budou možná muset hledat alternativy mimo USA.
