Súdny dvor EÚ zrušil platnosť "štítu na ochranu súkromia" v prípade sledovania v USA. Facebook a podobné spoločnosti nemôžu používať SCC.
Facebook a podobné spoločnosti tiež nemôžu používať "SCC" na prenos údajov, pretože DPC musí zastaviť prenosy podľa tohto nástroja. Schrems: "Potrebujeme reformu dohľadu v USA. Súdny dvor objasnil, že nemôže dôjsť k žiadnemu prenosu údajov v rozpore s právom EÚ."
Prvá reakcia Maxa Schremsa (predsedu noyb.eu a účastníka konania) na rozsudok:
Schrems: "Z rozsudku mám veľkú radosť. Zdá sa, že Súdny dvor nás sledoval vo všetkých aspektoch. Je to úplná rana pre írsku DPC a spoločnosť Facebook. Je jasné, že USA budú musieť vážne zmeniť svoje zákony o sledovaní, ak chcú americké spoločnosti naďalej zohrávať významnú úlohu na trhu EÚ."
Reforma dohľadu v USA je nevyhnutná - SDEÚ to práve povedal nahlas
Súdny dvor sa jasne vyjadril, že ďalekosiahle americké zákony o sledovaní sú v rozpore so základnými právami EÚ. USA obmedzujú väčšinu ochrany na "osoby z USA", ale nechránia údaje zahraničných zákazníkov amerických spoločností pred NSA. Keďže neexistuje spôsob, ako zistiť, či ste vy alebo vaša firma sledovaní, ľudia nemajú ani možnosť obrátiť sa na súd. SDEÚ zistil, že sa tým porušuje "podstata" niektorých základných práv EÚ.
Schrems: "Súdny dvor už po druhýkrát objasnil, že existuje rozpor medzi právom EÚ v oblasti ochrany súkromia a právom USA v oblasti dohľadu. Keďže EÚ nezmení svoje základné práva, aby vyhovela NSA, jediný spôsob, ako prekonať tento rozpor, je, aby USA zaviedli pevné práva na súkromie pre všetkých ľudí - vrátane cudzincov. Reforma dohľadu sa tak stáva kľúčovou pre obchodné záujmy Silicon Valley."
"Tento rozsudok nie je príčinou obmedzenia prenosu údajov, ale dôsledkom amerických zákonov o dohľade. Nemôžete obviňovať súd, že povedal nevyhnutné - keď sa hovno dostane do ventilátora, nemôžete obviňovať ventilátor."
Európska komisia sa podvolila tlaku USA
Z rozsudku tiež jasne vyplýva, že Európska komisia nevykonala dôkladné a presné posúdenie amerických zákonov o sledovaní v rámci štítu na ochranu súkromia. Namiesto toho sa pri schvaľovaní štítu na ochranu súkromia podvolila tlaku USA.
Herwig Hofmann, profesor práva na Luxemburskej univerzite a jeden z právnikov, ktorí pred Súdnym dvorom EÚ obhajovali prípady Schrems: "SDEÚ zrušil druhé rozhodnutie Komisie, ktorým sa porušujú základné práva EÚ na ochranu údajov. Nemôže dôjsť k prenosu údajov do krajiny s formami masového sledovania. Pokiaľ právo USA dáva svojej vláde právomoc vysávať údaje EÚ prenášané do USA, takéto nástroje budú znovu a znovu zneplatňované. Tým, že Komisia v rozhodnutí o štíte na ochranu súkromia akceptovala americké zákony o dohľade, zostali bez obrany."
Orgány na ochranu údajov majú "povinnosť konať" - dôležité posilnenie pre GDPR
Súdny dvor tiež objasnil, že orgány EÚ na ochranu údajov (DPA) majú povinnosť konať. Súdny dvor zdôraznil, že orgány DPA sú "povinné vykonávať svoju zodpovednosť za zabezpečenie úplného presadzovania GDPR so všetkou náležitou starostlivosťou". Doteraz mnohé orgány DPA zastávali názor, že majú neobmedzený priestor na voľné uváženie a môžu sa na to pozerať inak. Súdny dvor teraz túto prax ukončil.
Schrems: "Súdny dvor nielenže po siedmich rokoch nečinnosti odkazuje írskemu orgánu na ochranu údajov, aby si plnil svoje povinnosti, ale zároveň všetkým európskym orgánom na ochranu údajov odkazuje, že majú povinnosť konať a nemôžu sa len tak prizerať. Ide o zásadný posun, ktorý ďaleko presahuje rámec prenosu údajov medzi EÚ a USA. Orgány ako írsky DPC doteraz podkopávali úspech GDPR tým, že jednoducho neriešili sťažnosti. Súdny dvor jasne povedal orgánom na ochranu údajov, aby začali konať a presadzovať zákon."
SCC už nemôžu využívať Facebook a americké spoločnosti, ktoré spadajú pod dohľad USA
Súdny dvor sa tiež pridal k názoru pána Schremsa, že v prvom kroku musia spoločnosti z EÚ a príjemcovia údajov mimo EÚ preskúmať právo v príslušnej tretej krajine. Len v prípade, že neexistuje žiadne protichodné právo, môžu potom využiť SCC. Ako druhú úroveň ochrany musí príslušný orgán na ochranu údajov (DPA) použiť "núdzovú doložku" zabudovanú do SCC (článok 4 rozhodnutia o štandardných zmluvných doložkách). V prípadoch, keď zákony USA o sledovaní porušovali zásady ochrany údajov EÚ, spoločnosti nepodnikli žiadne kroky. DPC proti tejto myšlienke bojuje od roku 2016 s nepravdivým tvrdením, že má diskrečnú právomoc nerobiť nič v prípade masového sledovania cudzími mocnosťami. V súhrne to znamená, že spoločnosť Facebook už nesmie využívať SCC na prenos údajov medzi EÚ a USA a ak bude naďalej porušovať zákon, DPC musí urýchlene konať - v rozpore s niektorými tvrdeniami uvedenými v prvých reakciách na rozsudok.
Schrems: "Z rozsudku jasne vyplýva, že spoločnosti nemôžu SCC len podpísať, ale musia aj skontrolovať, či sa dajú dodržiavať v praxi. V prípadoch, ako je Facebook, keď nekonajú, mala DPC riešenie tohto prípadu po celý čas vo vlastných rukách. Už pred rokmi mohla Facebooku nariadiť, aby zastavil prenosy. V našej sťažnosti sme požadovali, aby vydala oznámenie o zákaze s primeranou lehotou na vykonanie, aby spoločnosť Facebook mohla prijať všetky potrebné opatrenia. Namiesto toho sa obrátila na SDEÚ, aby zrušil platnosť SCC, ktoré sú platné. Je to ako kričať na európsky hasičský zbor, pretože sa vám nechce samým sfúknuť sviečku.
Používatelia sa musia zjednotiť & extrémne vysoké náklady
Skutočnosť, že tento prípad trvá už 7 rokov a len DPC vynaložil na boj proti sťažnosti pána Schremsa takmer 3 mil namiesto toho, aby podnikol rozhodné kroky na ochranu práv Európanov, tiež poukazuje na niektoré zásadné nedostatky v systéme presadzovania GDPR. V súčasnosti je pre normálneho človeka nemožné zabezpečiť, aby práva GDPR neboli len prázdnym sľubom, ale aby sa stali bežnou súčasťou nášho digitálneho života.
Schrems: "DPC proti nám investovalo 2,9 mil. eur - a v podstate prehralo. Ani nechcem vedieť, koľko miliónov do tohto prípadu hodil Facebook. O finančných dôsledkoch tohto prípadu teraz rozhodnú írske súdy. Podľa práva EÚ musí byť sťažnosť občana vybavená slobodne a rýchlo. V tomto prípade sme však na súdoch už 7 rokov a predložili sme viac ako 45 000 strán dokumentov. Mýtus, že študent práva to môže jednoducho urobiť sám, je, žiaľ, nesprávny."
"Potrebné" toky údajov do USA môžu pokračovať
Napriek zrušeniu platnosti rozsudku môžu absolútne "nevyhnutné" toky údajov podľa článku 49 GDPR pokračovať. Akákoľvek situácia, keď používatelia chcú, aby ich údaje prúdili do zahraničia, je stále legálna, pretože to môže byť založené na informovanom súhlase používateľa, ktorý môže byť kedykoľvek odvolaný. Rovnako zákon umožňuje toky údajov v prípade toho, čo je "nevyhnutné" na splnenie zmluvy. To je pevný základ pre väčšinu právnych transakcií s USA. Jednoducho povedané: USA sa teraz vrátili do "normálnej" situácie, akú má EÚ s väčšinou ostatných tretích krajín, ale stratili osobitný prístup na trh EÚ v súvislosti s dohľadom USA.
Schrems:"Súdny dvor výslovne zdôraznil, že zrušenie platnosti štítu na ochranu súkromia nevytvorí "právne vákuum", pretože rozhodujúce potrebné toky údajov sa môžu naďalej uskutočňovať. USA sa teraz jednoducho vrátia do pozície priemernej krajiny bez osobitného prístupu k údajom EÚ."
v1
