V jadre tohto prípadu ide o konflikt medzi americkými zákonmi o sledovaní, ktoré vyžadujú sledovanie, a zákonmi EÚ o ochrane údajov, ktoré vyžadujú ochranu súkromia.
Od roku 2013 prebieha konanie o masovom sledovaní v USA a o spoločnostiach EÚ, ktoré sa na ňom podieľajú. Dvakrát sa dostal na írsky najvyšší súd a na Súdny dvor Európskej únie (SDEÚ) a dokonca krátko zavítal aj na írsky najvyšší súd. História tohto prípadu je v mnohých aspektoch jedinečná.
Pozadie
V jadre tohto prípadu ide o konflikt právnych predpisov medzi zákonmi USA o sledovaní, ktoré vyžadujú sledovanie, a zákonmi EÚ o ochrane údajov, ktoré vyžadujú súkromie.
Problém: zákony USA o dohľade
V roku 2013 Edward Snowden verejne odhalil, že spravodajské agentúry USA majú prístup k osobným údajom európskych používateľov pomocou programov dohľadu, ako je napríklad PRISM. Tento prístup bol uľahčený zákonom USA, o ktorom nie je známe, že by sa používal na povolenie takéhoto rozsiahleho dohľadu, ktorý sa nazýva 50 U.S.C. §1881a (alebo FISA 702). Zákon FISA 702 bol prijatý v roku 2008 a zásadne rozšíril možnosti sledovania a prístupu k údajom pre orgány USA. Súčasne s týmto rozšírením poskytovatelia elektronických komunikačných služieb v USA (ako napríklad Apple, Microsoft, Facebook, Google a Yahoo) zhromažďovali čoraz viac osobných údajov. V kombinácii to viedlo k čoraz škodlivejšiemu vplyvu na súkromie európskych používateľov.
Podľa zákona FISA 702 môžu byť americkí "poskytovatelia elektronických komunikačných služieb" (ako sú definovaní v 50 U.S.C. §1881 ods. 4) nútení poskytnúť americkým bezpečnostným orgánom prístup k osobným údajom "neamerických osôb", ktoré sú definované ako každý, kto nie je občanom USA alebo nemá trvalý pobyt v USA. Príkazy na sledovanie podľa tohto zákona nemusia byť špecifické pre konkrétny cieľ, ale umožňujú celý program plošného sledovania, ako je PRISM alebo Upstream. V prípade osôb, ktoré nie sú občanmi USA, neexistuje individuálne súdne schválenie. Zákon FISA 702 tiež umožňuje sledovanie na pomerne široké účely, ako napríklad "informácie, ktoré ... sa týkajú ... vedenia zahraničných záležitostí Spojených štátov"(pozri 50 U.S.C. §1801(e)).
Existujú aj právomoci USA v oblasti sledovania založené na "prirodzenej právomoci prezidenta USA" a bližšie vymedzené vo výkonnom nariadení(EO 12.333), pričom ďalšie prvky sú opísané v prezidentskej politickej smernici 28(PPD-28). V oboch prípadoch ide o interné príkazy v rámci výkonnej moci, ktoré nevytvárajú žiadne povinnosti ani práva pre súkromné subjekty, ale umožňujú sledovanie osôb, ktoré nie sú občanmi USA.
V dokumentoch, ktoré zverejnil Edward Snowden, je uvedených niekoľko amerických spoločností, ktoré na základe týchto ustanovení poskytujú údaje vláde USA na účely programov sledovania, ako sú PRISM alebo Upstream, vrátane spoločností Apple, Microsoft, Facebook, Google a Yahoo.
Reakcia: GDPR obmedzuje prenosy údajov
Európske zákony o ochrane osobných údajov (predtým smernica 95/46 a teraz GDPR) sú založené na koncepcii voľného toku osobných údajov, ale len v rámci sféry, ktorá chráni súkromie používateľov. Ak by boli osobné údaje chránené len v rámci Európskej únie, ale mohli by sa bez akýchkoľvek obmedzení prenášať mimo jurisdikcie EÚ, vysoká úroveň ochrany osobných údajov potrebná v rámci EÚ by sa mohla ľahko narušiť.
Právo EÚ však vždy súčasne stanovovalo výnimky z tejto zásady obmedzenia prenosu, napríklad v prípadoch, keď sa osobné údaje musia nevyhnutne preniesť (napr. pri rezervácii služby v zahraničí alebo pri odoslaní e-mailu) alebo keď používateľ s prenosom dobrovoľne súhlasí. Tieto výnimky pre neštrukturálne prenosy sú v súčasnosti kodifikované v článku 49 GDPR.
Okrem toho právo EÚ uznáva, že môžu nastať situácie, keď spoločnosti mimo EÚ poskytujú rovnocennú úroveň ochrany osobných údajov. V niektorých krajinách je vnútroštátne právo podobné právu EÚ (napr. Švajčiarsko, Izrael, Kanada alebo Japonsko) a v iných krajinách sa spoločnosti môžu dobrovoľne zaviazať dodržiavať zásady EÚ podpísaním občianskoprávnych dohôd, ako sú štandardné zmluvné doložky (SCC), záväzné podnikové pravidlá alebo štít EÚ a USA na ochranu súkromia. Tieto posledné právne základy možno nájsť v článkoch 46 až 48 GDPR a zväčša sa používajú v situáciách, ktoré sa najlepšie opisujú ako "outsourcing" spracúvania osobných údajov spoločnosťami do krajín mimo EÚ.
Keďže USA nemajú súhrnný ani federálny zákon o ochrane osobných údajov, americké spoločnosti sa pri outsourcingu musia spoliehať na jednu z týchto zmluvných možností uvedených v článkoch 46 až 48 GDPR. Pre spoločnosti, na ktoré sa vzťahujú zákony USA o dohľade, je však využitie týchto zmluvných možností v praxi nemožné , pretože zákony USA od nich vyžadujú, aby porušili svoje povinnosti podľa práva EÚ. Tento problém je jadrom všetkých prípadov medzi pánom Schremsom, írskym komisárom pre ochranu údajov (DPC) a spoločnosťou Facebook, keďže spoločnosť Facebook jednoznačne spadá pod americké zákony o dohľade a zúčastňovala sa na programoch, ako je PRISM, pričom protirečivo podpísala SCC, Safe Harbor a teraz Privacy Shield (rozhodnutie o prenose údajov medzi EÚ a USA, ktoré nahradilo Safe Harbor).
Prvý odkaz na SDEÚ v rokoch 2013 - 2015 ("Safe Harbor")
Konanie pred írskym komisárom pre ochranu údajov (DPC)
Po Snowdenových zverejneniach podal pán Schrems (vtedy rakúsky študent práva) sťažnosť proti spoločnosti Facebook Ireland Ltd. na írskeho komisára pre ochranu údajov (DPC). V sťažnosti tvrdil, že podľa Rozhodnutia o bezpečnom prístave medzi EÚ a USA 2000/520/ES (výkonné rozhodnutie Európskej komisie z roku 2000) by osobné údaje pána Schremsa nemali byť odosielané z Facebook Ireland Ltd. (slúžiacej používateľom Facebooku mimo USA a Kanady) do Facebook Inc. (materskej spoločnosti v USA) vzhľadom na to, že Facebook musí poskytnúť prístup k týmto údajom Národnej bezpečnostnej agentúre USA.
Írska DPC zamietla sťažnosť pána Schremsa ako "neopodstatnenú a šikanóznu" s odôvodnením, že spoločnosť Facebook sa pri uskutočňovaní prenosov údajov do USA spoliehala na rozhodnutie o bezpečnom prístave. Podľa názoru DPC Európska komisia uznala, že právo USA je primerané v rozhodnutí z roku 2000 (8 rokov pred prijatím § 1881a zákona 50 U.S.C.) a že DPC je absolútne viazaná rozhodnutím Komisie.
Súdny prieskum proti DPC
V októbri 2013 podal pán Schrems návrh na súdne preskúmanie rozhodnutia DPC, pričom tvrdil, že DPC mohla použiť "núdzovú doložku" v rozhodnutí o bezpečnom prístave na pozastavenie prenosu údajov a že rozhodnutie o bezpečnom prístave je v každom prípade neplatné. V rozsudku z 18. 6. 2014 [2014] IEHC 310 írsky najvyšší súd pozastavil konanie a postúpil vec Súdnemu dvoru Európskej únie (SDEÚ). Írsky najvyšší súd sa vo veľkej miere zhodol na skutočnosti, že podľa práva USA existuje "hromadný dohľad", ale zastával názor, že nemôže prijať konečné rozhodnutie vo veci pána Schremsa bez toho, aby najprv určil platnosť rozhodnutia o bezpečnom prístave. Podľa práva EÚ môže o platnosti aktov EÚ, ako je rozhodnutie o bezpečnom prístave, rozhodovať len SDEÚ, čo znamenalo, že írsky najvyšší súd musel vec postúpiť SDEÚ.
Rozsudok SDEÚ zo 6. októbra 2015 (C-362/14)
V prelomovom rozsudku (C-362/14 Schrems) sDEÚ vyhlásil rozhodnutie o bezpečnom prístave za neplatné, pričom sa do veľkej miery riadil argumentmi pána Schremsa. Súdny dvor rozhodol, že tretia krajina, ako sú USA, musí poskytovať"v podstate rovnocennú" úroveň ochrany, akú poskytuje právo EÚ, a že"právne predpisy, ktoré umožňujú orgánom verejnej moci prístup na všeobecnom základe", porušujú podstatu základného práva EÚ na súkromie podľa článku 7 Charty základných práv EÚ (CFR). Rovnako absencia akéhokoľvek právneho prostriedku nápravy v USA pre osoby, ktoré nie sú občanmi USA, porušuje základné právo na súdnu ochranu podľa článku 47 CFR.
V nadväznosti na rozsudok SDEÚ írsky najvyšší súd ukončil konanie na írskych súdoch, keďže DPC sa zaviazala urýchlene vykonať rozhodnutie SDEÚ.
Druhé podanie na SDEÚ v rokoch 2015 - 20 (SCC a štít na ochranu súkromia)
Informácie o tom, že spoločnosť Facebook sa skutočne spoliehala na SCCs
Na veľké prekvapenie pána Schremsa ho DPC v novembri 2015 informovala, že rozsudok SDEÚ o rozhodnutí o bezpečnom prístave je pre jeho pôvodnú sťažnosť irelevantný, pretože spoločnosť Facebook sa pri prenose údajov v skutočnosti vždy spoliehala na tzv. štandardné zmluvné doložky (SCC). DPC túto informáciu pánovi Schremsovi nesprístupnila, čo ho viedlo k presvedčeniu, že Facebook sa spoliehal na Safe Harbor, napriek tomu, že túto informáciu dostal od Facebooku už v e-mailovej odpovedi na sťažnosť v roku 2013.
Pán Schrems preto preformuloval svoju sťažnosť tak, aby teraz obsahovala SCC a akýkoľvek iný právny základ pre prenosy údajov, na ktorý by sa spoločnosť Facebook mohla spoliehať, a 1. decembra 2015 poskytol DPC aktualizovanú sťažnosť. Pán Schrems tvrdil, že DPC by mal na pozastavenie prenosov použiť článok 4 rozhodnutia SCC, keďže článok 4 umožňuje DPC pozastaviť prenosy údajov, ak sú porušené základné práva používateľov.
Žaloba DPC proti spoločnosti Facebook a pánovi Schremsovi
Namiesto rýchleho rozhodnutia vo veci DPC prekvapivo podala žalobu proti spoločnosti Facebook Ireland Ltd a pánovi Schremsovi krátko po začatí "vyšetrovania" preformulovanej sťažnosti týkajúcej sa týchto dvoch strán. Podľa názoru DPC boli tieto dve strany v tomto prípade "prirodzenými žalovanými" a DPC bola nútená vyzvať High Court, aby vydal ďalšie rozhodnutie o postúpení veci Súdnemu dvoru EÚ. Pán Schrems proti tomu namietal, pričom tvrdil, že DPC sa môže obrátiť na Súdny dvor EÚ druhýkrát až po preskúmaní všetkých skutočností a otázok.
Niekoľko strán požiadalo o pripojenie sa k prípadu ako amicus (neutrálni pomocníci súdu); k prípadu sa pripojila vláda USA, EPIC.org a dve priemyselné lobistické skupiny.
V žalobe DPC uviedla, že sa nielenže pripája k názorom pána Schremsa v jeho obavách týkajúcich sa amerického zákona o sledovaní, ale okrem toho má aj vážne obavy o platnosť SCC, ktoré používa spoločnosť Facebook. DPC zastávala názor, že SCC neposkytujú zákonný mechanizmus na prenos údajov, ak tretia krajina ako USA prijala zákony, ktoré sú v rozpore s SCC. Spoločnosť Facebook a pán Schrems nemali námietky voči samotným SCC a zhodli sa na tom, že v takomto prípade by riešenie umožňoval článok 4 rozhodnutia (EÚ) 2010/87 o SCC.
Na rozdiel od pána Schremsa a DPC spoločnosť Facebook nevidela žiadny problém so zákonmi USA o sledovaní a zastávala názor, že EÚ nemá právomoc rozhodovať o otázkach "národnej bezpečnosti". Spoločnosť Facebook sa tiež opierala o rozhodnutie Európskej komisie o štíte na ochranu súkromia (EÚ) 2016/1250, ktoré nahradilo neplatné rozhodnutie o bezpečnom prístave. V tomto rozhodnutí Európska komisia konštatovala, že medzi americkými zákonmi o sledovaní a základnými právami EÚ neexistuje konflikt. Podľa spoločnosti Facebook sa toto zistenie v rozhodnutí o štíte na ochranu súkromia musí vzťahovať aj na prenosy podľa SCC. Pán Schrems zastával názor, že samotné rozhodnutie o štíte na ochranu súkromia je neplatné, pretože zásadne skresľuje americké zákony o dohľade, a preto nie je autoritou na výklad SCCs.
Po niekoľkých procesných krokoch a viac ako piatich týždňoch pojednávaní, na ktorých sa zúčastnili viacerí odborní svedkovia na právo USA v oblasti dohľadu, írsky najvyšší súd uznal existenciu vládnych programov masového dohľadu USA. V rozsudku z 3. októbra 2017 [2017] IEHC 545 írsky najvyšší súd zhrnul všetky skutkové zistenia a zdôraznil, že USA vykonávajú "hromadné spracovanie" osobných údajov, keď napríklad filtrujú celú internetovú prevádzku, ktorá prúdi cez časti chrbticovej siete internetu. Dňa 13. apríla 2018 predložil Súdnemu dvoru EÚ na rozhodnutie jedenásť výkladových otázok. Otázky do veľkej miery vypracovala DPC.
Po predložení prejudiciálnych otázok sa spoločnosť Facebook obrátila na írsky najvyšší súd v snahe zastaviť predloženie prejudiciálnych otázok najvyšším súdom, ale odvolanie bolo nakoniec 31. mája 2019 zamietnuté.
Konanie pred SDEÚ (C-311/18)
Dňa 30. augusta 2018 mali účastníci konania predložiť svoje písomné pripomienky.
Dňa 19. júla 2019 sa SDEÚ zaoberal vecou vo veľkej komore (najväčšie zloženie Súdneho dvora s 15 sudcami), ktorá vypočula tri strany, štyri amicus, Európsku komisiu, Európsky parlament, Európsky výbor pre ochranu údajov (EDPB) a veľký počet vlád členských štátov EÚ. Otázky sudcov sa zameriavali najmä na otázky týkajúce sa amerických zákonov o dohľade a platnosti rozhodnutia o štíte na ochranu súkromia.
Generálny advokát (AG) Súdneho dvora vydal 19. decembra 2019 nezáväzné poradné stanovisko k veci, v ktorom sa do veľkej miery pripojil k stanovisku pána Schremsa. Podľa stanoviska sú americké zákony o dohľade nezlučiteľné so základnými právami EÚ, ale riešenie nezlučiteľnosti spočíva v tom, že DVO nariadi pozastavenie prenosu údajov podľa článku 4 rozhodnutia DVO. Hoci AG výslovne kritizoval rozhodnutie o štíte na ochranu súkromia, zastával názor, že otázka jeho platnosti netvorí neoddeliteľnú súčasť prípadu.
Dňa 16. júla 2020 vydal Súdny dvor rozhodnutie "Schrems II", v ktorom sa plne priklonil k stanovisku sťažovateľa, zrušil platnosť rozhodnutia "Privacy Shield", nariadil, aby DPC zastavila prenosy údajov, a rozhodol, že zákony USA o sledovaní porušujú článok 7 (právo na súkromie), článok 8 (právo na ochranu údajov) a článok 47 (právo na nápravu) Charty základných práv Európskej únie.