SDEÚ prejednáva prípad prenosu údajov medzi EÚ a USA (štandardné zmluvné doložky a štít na ochranu súkromia)

This page has been translated automatically. Read the original or leave us a message if something is not right.
Tue, 17. 09. 2019 - 09:40
Thumbnail

Na stiahnutie: Tlačová správa

Na základe viacerých žiadostí sme zhrnuli kľúčové skutočnosti prípadu, ktorý sa prejednáva na Súdnom dvore Európskej únie (SDEÚ) a ktorý sa týka prenosu údajov medzi EÚ a USA a masového sledovania zo strany vlády USA. Prípad sa bude zajtra (v utorok 9. júla o 9.00 hod.) prejednávať pred veľkou komorou Súdneho dvora.

Bežné nedorozumenia týkajúce sa prípadu

  • Týka sa tento prípad všetkých prenosov údajov medzi EÚ a USA? Nie, ide len o prenosy do USA, ktoré sú predmetom "masového sledovania". Vo väčšine situácií existujú jednoduché spôsoby, ako sa vyhnúť hromadnému sledovaniu, a mnohé priemyselné odvetvia (napr. banky, letecké spoločnosti, obchod a bankovníctvo) nespadajú pod žiadny takýto zákon o hromadnom sledovaní. Sťažnosť pána Schremsa sa zameriava len na spoločnosť Facebook, ktorá je v Snowdenovom dokumente uvedená ako subjekt, ktorý pomáha NSA pri masovom sledovaní v rámci programu "PRISM".
  • Týka sa tento prípad všetkých medzinárodných prenosov údajov v EÚ? Z účastníkov konania je len írsky komisár pre ochranu údajov toho názoru, že "štandardné zmluvné doložky" (SCC) sú neplatné. Pán Schrems zastáva názor, že (ak sa správne uplatňujú a presadzujú zo strany DPC) SCCs poskytujú správne riešenie. Žiadny iný účastník írskeho konania okrem DPC nevzniesol žiadne otázky týkajúce sa platnosti.
  • všetky prenosy údajov do USA problematické? Nie. Zákony o dohľade, ako napríklad FISA 702, sa vzťahujú len na "poskytovateľov elektronických komunikačných služieb". Európske právo tiež rozlišuje medzi nevyhnutnými prenosmi (počúvajte v odchýlkach) a nepotrebným "outsourcingom" spracovania. V kombinácii s tým vzniká problém najmä v prípade poskytovateľov cloudových služieb a komunikácie, na ktorých sa vzťahujú zákony o dohľade (napr. Facebook, Google, Apple, Amazon Web Services), ale nie v prípade iných priemyselných odvetví alebo "nevyhnutných" prenosov údajov (napr. e-maily, rezervácie a podobne).
  • Argumentuje pán Schrems neplatnosťou SCC? Nie. Pán Schrems tvrdí, že SCCs umožňujú írskemu komisárovi pre ochranu údajov zastaviť jednotlivé prenosy údajov, ako napríklad prenos zo strany Facebooku. Keďže existuje zjavné riešenie tohto problému, podľa jeho názoru neexistuje otázka platnosti.
  • Je "štít na ochranu súkromia" na stole? Áno. Spoločnosť Facebook sa v rámci "štítu na ochranu súkromia" opiera o posúdenie práva USA Európskou komisiou a tvrdí, že toto posúdenie by sa malo vzťahovať aj na "štandardné zmluvné doložky". Pán Schrems zasa tvrdil, že toto posúdenie Komisie je nesprávne. Keďže "Štít na ochranu súkromia" je založený na nesprávnom výklade práva USA, mal by byť zrušený.
  • Budete môcť aj naďalej posielať e-maily do USA alebo si rezervovať let? Áno. V článku 49 GDPR sa predpokladajú "výnimky", ktoré povoľujú všetky prenosy údajov, ak sú napríklad "nevyhnutné na poskytnutie zmluvy" alebo ak s nimi používateľ výslovne súhlasil. Napríklad: Je potrebné poslať e-mail do USA, ak sa tam nachádza príjemca, ale nie je potrebné posielať e-maily cez USA, ak sa odosielateľ a príjemca nachádzajú v Európe.
  • Aký typ prenosov môže byť potom potrebné zastaviť? V podstate "outsourcing" spracovania údajov, ktorý by sa mohol vykonávať aj v Európe alebo iných krajinách, ktoré poskytujú náležité normy ochrany údajov.

História prípadu

Prípad sa sústreďuje na sťažnosť právnika Maxa Schremsa na ochranu osobných údajov proti Facebooku z roku 2013(odkaz na sťažnosť). Pred viac ako šiestimi rokmi Edward Snowden zverejnil, že Facebook umožňuje spravodajským službám USA prístup k osobným údajom Európanov v rámci programov sledovania, ako je napríklad "PRISM" (pozri Wikipédiu). Cieľom sťažnosti je zastaviť prenos údajov spoločnosti Facebook medzi EÚ a USA. Írska DPC zatiaľ v tomto smere nepodnikla žiadne konkrétne kroky.

Prvé zamietnutie a rozsudok SDEÚ o bezpečnom prístave

Prípad prvýkrát zamietol írsky komisár pre ochranu údajov (DPC) v roku 2013, následne bol predmetom súdneho preskúmania v Írsku a postúpenia veci Súdnemu dvoru Európskej únie (SDEÚ). SDEÚ v roku 2015 rozhodol, že takzvaná dohoda "Safe Harbor", ktorá umožňovala prenos údajov medzi EÚ a USA, je neplatná(odkaz na rozsudok vo veci C-362/14) a že írsky DPC musí prípad prešetriť, čo pôvodne odmietol.

Informácie o používaní "štandardných zmluvných doložiek"

Koncom roka 2015 DPC prekvapivo informovala pána Schremsa, že spoločnosť Facebook sa v skutočnosti nikdy nespoliehala na teraz už neplatnú dohodu "Safe Harbor", ale namiesto toho sa už v roku 2013 spoliehala na "štandardné zmluvné doložky" (ďalší mechanizmus prenosu údajov z EÚ do USA). DPC túto skutočnosť nezverejnila a namiesto toho naznačila, že "Safe Harbor" im bráni v pokračovaní v konaní. Táto "obchádzka" spôsobila, že prvé rozhodnutie SDEÚ bolo pre vec irelevantné.

Druhé vyšetrovanie a žaloba

Pán Schrems prispôsobil svoju sťažnosť prenosom uskutočňovaným na základe "štandardných zmluvných doložiek" a rovnako požadoval ukončenie prenosu údajov do spoločnosti Facebook USA na základe argumentu, že tieto údaje sprístupňujú NSA. Vyšetrovanie DPC trvalo len niekoľko mesiacov od decembra 2015 do jari 2016. Namiesto toho, aby DPC o sťažnosti rozhodla, podala v roku 2016 na írskom najvyššom súde žalobu proti Facebooku a pánovi Schremsovi (obaja sú teraz žalovaní) s cieľom predložiť ďalšie otázky Súdnemu dvoru EÚ. Po viac ako šiestich týždňoch pojednávaní, ktoré sa konali prevažne v roku 2017, írsky najvyšší súd konštatoval, že vláda USA sa zapája do "hromadného spracúvania" európskych osobných údajov, a v roku 2018 po druhý raz predložil SDEÚ jedenásť otázok(odkaz na rozsudok).

Ďalšie kroky

SDEÚ zaradil vec do zoznamu pod číslom C-311/18 a druhýkrát sa ňou bude zaoberať 9. júla 2019 - približne šesť rokov od podania pôvodnej sťažnosti. Rozsudok sa očakáva do konca roka. Po vynesení rozsudku SDEÚ by DPC musel definitívne rozhodnúť o sťažnosti po prvýkrát. Proti tomuto rozhodnutiu by sa opäť mohla odvolať spoločnosť Facebook alebo pán Schrems.

Hlavné argumenty strán

  • Írsky komisár pre ochranu údajov sa pripája k názoru pána Schremsa, že americké zákony o sledovaní porušujú základné práva na súkromie, ochranu údajov a nápravu podľa európskeho práva. DPC však tvrdí, že nemá žiadne právomoci na riešenie tejto otázky. Keďže mechanizmus prenosu údajov, ktorý Facebook používa (štandardné zmluvné doložky), s takouto situáciou nepočíta, samotné doložky musia byť vyhlásené za neplatné. To by znamenalo, že prenosy údajov do akejkoľvek krajiny mimo EÚ na základe tohto nástroja by sa museli zastaviť.
  • Spoločnosť Facebook zastáva názor, že právo USA nepresahuje rámec toho, čo je legálne podľa práva EÚ. Facebook tiež spochybňuje, či má EÚ nejakú právomoc v prípadoch "národnej bezpečnosti". V súhrne spoločnosť Facebook nevidí žiadny problém v tom, aby pokračovala v prenose údajov do Spojených štátov na základe zákonov o hromadnom sledovaní, ako je FISA. Facebook sa tiež spolieha na posúdenie práva USA Európskou komisiou v takzvanom rozhodnutí o štíte na ochranu súkromia, v ktorom sa uvádza, že americké zákony o sledovaní sú v súlade s požiadavkami EÚ.
  • Schrems súhlasí s DPC v tomto probléme, ale navrhuje miernejšie riešenie. Zákon (článok 4 SCC) umožňuje DPC zastaviť jednotlivé prenosy údajov (ako napríklad prenosy Facebooku). Pán Schrems hovorí, že írska DPC má povinnosť konať namiesto toho, aby prípad vrátila späť na SDEÚ. Pokiaľ ide o spoliehanie sa Facebooku na "štít na ochranu súkromia", pán Schrems zastáva názor, že rozhodnutie Európskej komisie o štíte na ochranu súkromia nedostatočne opisuje americké zákony o dohľade, nie je ani zďaleka schopné poskytnúť primeranú ochranu súkromia, a preto musí byť neplatné.
  • Európska komisia: Očakáva sa, že Európska komisia bude obhajovať obe svoje rozhodnutia: Štandardné zmluvné doložky a Štít na ochranu súkromia. Pravdepodobne sa postaví na stranu Spojených štátov a spoločnosti Facebook, pokiaľ ide o názor, že v Spojených štátoch nedochádza k porušovaniu základných práv, ale zároveň uzná, že DPC má právomoc vyriešiť túto otázku sama, ak SDEÚ vidí porušovanie základných práv v USA.

Vyhlásenie pána Schremsa

Max Schrems, predseda noyb: "Navrhujeme uvážené riešenie: Írska DPC musí jednoducho riadne presadzovať pravidlá namiesto toho, aby prípad stále dokola vracala do Luxemburgu. Tento prípad sa rieši už šesť rokov. Počas týchto šiestich rokov DPC skutočne rozhodol len v 2 - 3 % prípadov, ktoré mu boli predložené. Nemáme problém so "štandardnými zmluvnými doložkami", máme problém s ich presadzovaním."

noyb

noyb je nová európska nezisková organizácia, ktorá presadzuje právo na súkromie prostredníctvom súdnych sporov. Podporuje tento prípad a sama je podporovaná viac ako 3 500 darujúcimi členmi.

Kľúčové údaje

Účastníkmi konania pred súdom sú írsky komisár pre ochranu údajov, spoločnosť Facebook Ireland Ltd a Max Schrems. Írsky súd tiež povolil štyrom "amicus curiae" (neutrálni pomocníci súdu), aby sa pripojili k prípadu, a to vláde USA, Informačnému centru pre elektronické súkromie (epic.org) a dvom priemyselným lobistickým organizáciám.

Všetky členské štáty EÚ, Európska komisia, Európsky parlament a Európsky výbor pre ochranu údajov (EDPB) mohli predložiť svoje pripomienky.

Uploads

MakePrivacyReal

#Become a member
Našu prácu umožňuje viac ako 3 100 podporujúcich členov - možno niektorý z vás?

Share