SDEÚ dostal jedenásť otázok, ktoré predložil írsky najvyšší súd. SDEÚ mohol otázky preformulovať a zaoberať sa len niektorými z nich. Tento FAQ poskytuje jednoduchý prehľad rozsudku a zodpovedaných otázok. Zaoberá sa najdôležitejšími otázkami, ktoré môžu mať ľudia a spoločnosti v súvislosti s rozsudkom SDEÚ.
(I) Rozsah veci
Ktorých prenosov údajov medzi EÚ a USA sa tento prípad netýka?
Zjednodušene povedané: "Nevyhnutné" prenosy osobných údajov nie sú dotknuté.
Tento prípad sa týka najmä dobrovoľného "outsourcingu" spracovania osobných údajov do Spojených štátov.
Prípad sa netýka: 1) údajov, ktoré nie sú "osobnými údajmi", a 2) "nevyhnutných" prenosov údajov do Spojených štátov (napr. e-mailov do USA, rezervácií v USA atď.) - vo väčšine prípadov sa na tieto prenosy vzťahuje "výnimka" stanovená v článku 49 GDPR.
Tento prípad teda neznamená, že nemožno posielať e-maily alebo správy z EÚ do USA. Akékoľvek tvrdenie, ktoré to naznačuje, je jednoducho nesprávne.
Napriek tomu bude musieť mnoho spoločností v EÚ aj tak prehodnotiť svoje postupy outsourcingu, ak ich osobné údaje spracúvajú poskytovatelia z USA. Príjemcovia týchto údajov v USA budú musieť takisto vykonať podobné preskúmanie, ak sa na nich vzťahujú povinnosti podľa príslušných zákonov USA o sledovaní, ako napríklad FISA 702.
Aký je rozdiel medzi "outsourcingom" spracovania a absolútne "nevyhnutnými" prenosmi údajov do USA vrátane zasielania e-mailov, rezervácií hotelov alebo obchodných transakcií?
"Nevyhnutné" prenosy údajov: Vo väčšine prípadov, keď je potrebné preniesť údaje do USA (napr. rezervácia hotela, odoslanie e-mailu niekomu do USA, štandardné obchodné transakcie medzi EÚ a USA atď. Tieto druhy prenosov údajov sú povolené nezávisle od platnosti iných právnych nástrojov používaných pri prenose údajov, ako sú štandardné zmluvné doložky (SCC), štít na ochranu súkromia alebo záväzné podnikové pravidlá (BCR).
Outsourcing: Outsourcing znamená, že osobné údaje sa uchovávajú v USA len preto, že je jednoduchšie, lacnejšie alebo praktickejšie uchovávať ich u poskytovateľa služieb v USA ako v Európe, hoci technicky by sa údaje mohli uchovávať v EÚ/EHP. V tomto prípade zvyčajne neexistuje všeobecná výnimka ("výnimka") podľa článku 49 GDPR pre prenos údajov do USA. Namiesto toho sa musí použiť právny nástroj, ako je SCC, Privacy Shield alebo BCR, ale tieto nástroje môže Súdny dvor EÚ v určitých situáciách vyhlásiť za neplatné alebo nepoužiteľné. Dnes bol štít na ochranu súkromia vyhlásený za neplatný. Okrem toho SCCs nemôže používať Facebook a iné americké spoločnosti, ktoré spadajú pod dohľad USA.
Týka sa tento prípad prenosu údajov do iných krajín ako USA?
Tento prípad sa priamo netýka žiadnych takýchto prenosov.
Prípad má však nepriame dôsledky. Spoločnosti budú musieť oveľa pozornejšie ako doteraz preskúmať skutočnú úroveň ochrany poskytovanú v krajinách mimo EÚ. Pokiaľ ide o SCC, napríklad konflikt so zákonmi o dohľade má rovnaký význam, pokiaľ ide o zákony v krajinách, ako je Čína alebo Rusko.
(II) Dôsledky pre spotrebiteľov
Môžu spotrebitelia z EÚ/EHP naďalej priamo využívať služby USA (alebo iných tretích krajín)?
Z praktického hľadiska môžu používatelia vedome posielať svoje vlastné osobné údaje priamo do tretej krajiny, napríklad pri používaní čínskej webovej stránky.
Nie je však možné priamo zdieľať údaje iných osôb (napr. priateľov, kolegov) s poskytovateľom z USA, pokiaľ ste na to nezískali ich slobodný, konkrétny, informovaný a jednoznačný súhlas.
Môžu spotrebitelia z EÚ/EHP naďalej používať služby USA (alebo iných tretích krajín) nepriamo (prostredníctvom dcérskej spoločnosti v EÚ)?
V mnohých prípadoch majú používatelia z EÚ/EHP zmluvu s dcérskou spoločnosťou americkej spoločnosti v EÚ. Príkladmi sú Google Ireland, Facebook Ireland, Microsoft Luxembourg alebo Amazon Luxembourg.
V týchto prípadoch sú spoločnosti z EÚ zodpovedné za zabezpečenie toho, aby "vnútropodnikové" toky osobných údajov do USA boli v súlade s nariadením GDPR. Spoločnosti sa teraz budú musieť dôkladne pozrieť na všetky takéto toky údajov a na to, či je potrebné umiestniť údaje v Európe alebo v inej krajine, ktorá poskytuje lepšiu ochranu osobných údajov, namiesto toho, aby boli prenesené do USA spoločnosti, ktorá sleduje dohľad USA.
(III) Dôsledky pre spoločnosti
Môžu spoločnosti z EÚ/EHP naďalej vykonávať "nevyhnutné" prenosy osobných údajov do USA?
Vo väčšine prípadov: Áno.
Článok 49 GDPR obsahuje zoznam "výnimiek", ktoré umožňujú takéto prenosy údajov. Zvyčajne sa to vzťahuje na zadávanie objednávok od podnikov v USA, rezervácie v amerických hoteloch, zasielanie e-mailov do USA a vo všeobecnosti na akékoľvek poskytovanie služieb, ktoré si logicky vyžadujú prenos údajov z EÚ do USA. Takéto prenosy nie sú súčasťou tohto prípadu a rozsudok sa ich netýka.
Môžu spoločnosti z EÚ/EHP naďalej "outsourcovať" spracovanie osobných údajov do USA?
Vo väčšine prípadov: Pravdepodobne nie.
Na väčšinu bežne používaných spracovateľov údajov v USA sa vzťahujú aj americké zákony o sledovaní, ako napríklad FISA 702, ktoré od nich vyžadujú, aby poskytovali osobné údaje vláde USA bez primeranej ochrany. Prenos údajov spracovateľom na základe takýchto povinností porušuje GDPR, ako to určil Súdny dvor EÚ.
Môžu spoločnosti z EÚ/EHP naďalej zadávať spracovanie osobných údajov externým dodávateľom v iných krajinách ako v USA?
Áno, ak v danej krajine neexistujú protichodné zákony.
Tento prípad nemení pravidlá GDPR týkajúce sa prenosu údajov. Tak ako predtým, každá spoločnosť z EÚ musí skontrolovať, či v tretej krajine neexistujú zákony, ktoré môžu mať prednosť pred zákonmi EÚ o ochrane osobných údajov. V takýchto prípadoch nemožno osobné údaje do tejto tretej krajiny preniesť.
Ak sa napríklad spracúvanie osobných údajov zadáva do krajiny A, prevádzkovateľ z EÚ musí zabezpečiť, aby príjemca mal zavedené potrebné opatrenia, ale aj to, že v krajine A neplatia žiadne protichodné zákony, ktoré by mali prednosť pred týmito opatreniami.
Sú teraz všetky prenosy údajov z EÚ/EHP do USA zakázané?
Nie, vôbec nie - z dvoch dôvodov:
- Väčšina prenosov údajov neobsahuje "osobné údaje", ale inú formu údajov. Takéto prenosy údajov nie sú upravené ani v nariadení GDPR.
- Na väčšinu "nevyhnutných" prenosov osobných údajov (napr. pri zasielaní e-mailu, správy alebo rezervácie v hoteli) sa stále vzťahuje výnimka v článku 49. Tieto prenosy môžu pokračovať aj po vynesení rozsudku a nie sú ním dotknuté.
Týka sa prípad všetkých príjemcov údajov z EÚ v USA?
Nie. týka sa len spoločností, na ktoré sa vzťahujú zákony USA o sledovaní, alebo spoločností, ktoré využívajú poskytovateľov služieb, na ktorých sa vzťahujú tieto zákony USA o sledovaní.
Napríklad zákon FISA 702 sa vzťahuje len na "poskytovateľov elektronických komunikačných služieb". Odvetvia ako banky, letecké spoločnosti, hotely, prepravné spoločnosti, predaj tovaru a podobne sa zvyčajne nechápu tak, že sa na ne tieto zákony vzťahujú. V súvislosti s týmito pojmami a právnymi predpismi USA však existujú určité nejasnosti. Zdá sa, že je potrebné objasnenie zo strany vlády USA.
V praxi však banka (na ktorú sa FISA nevzťahuje) môže sama využívať "poskytovateľa elektronických komunikačných služieb" (na ktorého sa FISA vzťahuje). To znamená, že k údajom banky je možné získať prístup prostredníctvom "poskytovateľa elektronických komunikačných služieb". Alebo môže prenášať údaje, ktoré sú nesprávne zašifrované, čo by napríklad umožnilo "odpočúvanie" údajov pri ich odosielaní cez podmorské káble (ako to povoľuje EO 12.333). V takomto prípade sa musí posúdiť celý tok údajov.
Ako sa dá rozhodnutie SDEÚ presadiť v praxi?
Po vynesení rozsudku musia spoločnosti individuálne preskúmať, či musia zmeniť svoje postupy. Majú povinnosť zastaviť prenosy údajov, ktoré sú nezákonné. Nie je to nič nové. Po rozsudku vo veci "Safe Harbor" sa mnohé spoločnosti z EÚ odklonili od poskytovateľov z USA.
Spoločnosti, ktoré teraz nezákonne prenášajú údaje príjemcom v USA, budú musieť všetky takéto prenosy čo najrýchlejšie zastaviť, aby im podľa GDPR nehrozila pokuta až do výšky 20 miliónov eur alebo 4 % ich celosvetového obratu. Za vymáhanie týchto pokút sú zodpovedné vnútroštátne orgány na ochranu údajov (DPA).
Používatelia spoločností z EÚ môžu tieto spoločnosti požiadať, aby zastavili prenos ich osobných údajov do USA. Ak spoločnosti tieto žiadosti nerešpektujú, používatelia môžu podať sťažnosť orgánu na ochranu údajov alebo podať žalobu na miestny súd. To môže viesť k vydaniu predbežných súdnych príkazov a/alebo k náhrade citovej ujmy. V mnohých krajinách EÚ môžu skupiny spotrebiteľov, zamestnanecké rady a iné orgány tiež podať kolektívne alebo hromadné žaloby, ak spoločnosť pokračuje v prenose osobných údajov bez právneho základu.
Čo môžu robiť spoločnosti v EÚ/EHP?
Spoločnosti musia posúdiť, či je potrebné ich spracovanie osobných údajov zveriť spracovateľom z USA. Ak áno, musia určiť právny základ na prenos údajov (napr. výnimky v článku 49 GDPR, SCC, Privacy Shield alebo BCR).
Väčšina poskytovateľov cloudových služieb v USA sa kvalifikuje ako "poskytovatelia elektronických komunikačných služieb", a preto sa na nich vzťahujú príslušné zákony USA o sledovaní, ako napríklad FISA 702.
Zatiaľ čo väčšina ostatných priemyselných odvetví nespadá pod tieto zákony, môžu využívať "poskytovateľov elektronických komunikačných služieb", ktorí spadajú, čo v skutočnosti umožňuje nepriamy prístup k údajom. Do úvahy treba brať aj ďalšie nástroje dohľadu, ako napríklad EO 12.333. EO 12.333 povoľuje "sledovanie pri tranzite", napríklad prístup k údajom, ktoré nie sú riadne zašifrované, keď prechádzajú cez transatlantické káble.
Ak nemôžu využiť žiadny z právnych nástrojov umožňujúcich prenos podľa článkov 44 až 50 GDPR, spoločnosti budú musieť preniesť všetky príslušné osobné údaje späť do EÚ/EHP a nájsť spracovateľa v rámci EÚ/EHP alebo v akejkoľvek inej krajine, kde je zabezpečená primeraná ochrana osobných údajov.
Čo môžu robiť americké spoločnosti?
Americké spoločnosti musia skontrolovať, či sa na ne alebo na ich subdodávateľov nevzťahujú príslušné zákony USA o dohľade a či sú ich prenosy údajov šifrované na takej úrovni, ktorá zabezpečí, že "odpočúvanie" počas prenosu nie je možné. Po takomto preskúmaní budú musieť informovať svojich zákazníkov z EÚ/EHP, či je ich spracúvanie osobných údajov ovplyvnené rozsudkom.
Z dlhodobého hľadiska môže byť vhodné presunúť určité spracovanie mimo USA alebo sa porozprávať so zvolenými zástupcami o dôsledkoch, ktoré majú americké zákony o sledovaní na schopnosť amerických spoločností obchodovať so zahraničnými zákazníkmi. Dúfame tiež, že americké podniky budú hovoriť s americkými zákonodarcami o nedostatočnej ochrane poskytovanej ich medzinárodným zákazníkom.
(IV) POLITICKÉ DÔSLEDKY
Ako sa dá konflikt medzi zákonmi USA o sledovaní a zákonmi EÚ o ochrane súkromia vyriešiť z dlhodobého hľadiska?
Ak si USA chcú udržať svoje postavenie hlavného poskytovateľa IT služieb vo svete, bude potrebné urýchlene reformovať americké zákony o dohľade. USA budú musieť zaviesť základnú ochranu súkromia, ktorá bude aspoň rovnocenná s ochranou, ktorá sa už poskytuje občanom USA. V opačnom prípade je veľmi nepravdepodobné, že by zahraniční zákazníci naďalej využívali služby amerických poskytovateľov.
Hneď ako sa takto zreformujú zákony USA o dohľade, spoločnosti EÚ budú môcť opäť obnoviť prenos údajov medzi EÚ a USA a Európska komisia bude môcť vydať nové stabilné nástroje, ktoré to umožnia.
Ako by mohol prenos údajov medzi EÚ a USA pokračovať v budúcnosti?
V jadre čelíme konfliktu medzi zákonmi EÚ o ochrane súkromia a zákonmi USA o dohľade: Zákony EÚ vyžadujú ochranu osobných údajov, zatiaľ čo zákony USA vyžadujú sledovanie.
Právo na súkromie a ochranu údajov sú v Európe základnými právami, ktoré sú zakotvené v článkoch 7 a 8 Charty základných práv EÚ. Na akejkoľvek zmene týchto základných práv by sa muselo jednomyseľne dohodnúť všetkých 27 členských štátov. Európska komisia sa pokúsila prijať výnimky ako "Safe Harbor" a "Privacy Shield", ale bez potrebnej reformy amerických zákonov o dohľade tieto neustále nespĺňajú základné práva EÚ. Výsledkom sú rozhodnutia, ako je toto, v dôsledku ktorých sú tieto výnimky neplatné.
USA zaviedli v roku 2008 ďalekosiahle zákony o sledovaní osôb, ktoré nie sú občanmi USA. Ak by USA tieto zákony o sledovaní zrušili alebo zaručili rovnakú ochranu pre osoby mimo USA, aká sa uplatňuje na osoby z USA, potom by bolo veľmi pravdepodobné, že USA budú považované za krajinu, ktorá zabezpečuje "primeranú ochranu" osobných údajov podľa práva EÚ, ak dôjde k primeranej náprave.
Môže EÚ jednoducho prijať ďalšie rozhodnutie, ak sa štít na ochranu súkromia zruší?
Teoreticky by Európska komisia mohla (vedome) vydať ďalšie neplatné rozhodnutie, ak Súdny dvor EÚ zruší platnosť "štítu na ochranu súkromia". Vzhľadom na to, že problém spočíva v práve USA, viedlo by to s najväčšou pravdepodobnosťou k právnej námietke, ktorá by viedla k tomu, že aj nové rozhodnutie by SDEÚ vyhlásil za neplatné. Je veľmi nepravdepodobné, že by to bolo politicky prijateľné. Podniky tiež potrebujú právne stabilné riešenie.
Toto rozhodnutie a predchádzajúce rozhodnutie v súvislosti s "bezpečným prístavom" vychádzajú z Charty základných práv. Na zmenu zmlúv EÚ by bola potrebná jednomyseľná dohoda všetkých 27 členských štátov EÚ, ktorá by Európskej komisii umožnila vydať právne podložené rozhodnutie o prenose údajov medzi EÚ a USA.
Riešenie je preto v rukách zákonodarcu USA, ktorý musí upraviť alebo zrušiť súčasné zákony USA o sledovaní.
Nie je to len protekcionizmus zo strany EÚ?
Nie. Tento prípad je v skutočnosti vedený proti Európskej komisii. Právo EÚ umožňuje mnoho možností medzinárodného prenosu údajov - pokiaľ sa dodržiava základná ochrana súkromia.
V skutočnosti politická zložka EÚ (Európska komisia a členské štáty) podporuje prenosy údajov medzi EÚ a USA, ale Súdny dvor EÚ už predtým vyjadril pochybnosti o zákonnosti týchto dohôd s USA vzhľadom na možné porušenie základných práv EÚ. Rovnako aj Európsky parlament vyjadril pochybnosti o týchto dohodách.
Pri porovnaní "štítu na ochranu súkromia", ktorý sa vzťahuje na americké spoločnosti, s interným nariadením EÚ o ochrane osobných údajov (GDPR) je zrejmé, že americké spoločnosti môžu získať prístup na veľký trh EÚ, pričom musia dodržiavať oveľa slabšie pravidlá, ako musia dodržiavať spoločnosti v EÚ. To poskytuje americkým spoločnostiam konkurenčnú výhodu.
