V rámci príprav na vyhlásenie nezáväzného poradného stanoviska generálneho advokáta, ktoré sa uskutoční 19. decembra približne o 9:45 v Luxemburgu, sme vypracovali tento prípravný dokument. Prípad sa rieši už 6,5 roka, zaoberá sa komplexnými zákonmi EÚ o ochrane súkromia a sledovaní v USA a bol predmetom štyroch pojednávaní na rôznych súdoch. Je preto veľmi zložitý.
I. Súvislosti prípadu
Sledovanie v USA. Ako potvrdili odhalenia Edwarda Snowdena, mnohé veľké americké internetové spoločnosti (v tomto prípade Facebook) podliehajú povinnosti umožniť vláde USA hromadný prístup k údajom európskych používateľov na účely "zahraničného spravodajstva" (vrátane boja proti terorizmu a špionáže). Takéto využívanie údajov Európanov môže byť v rozpore s národnými záujmami EÚ a jej členských štátov (napríklad pri presadzovaní sankcií USA voči spoločnostiam EÚ alebo pri špehovaní občanov a vlád EÚ).
Prípad "bezpečného prístavu" z roku 2015. Na základe týchto skutočností podal pán Schrems v roku 2013 sťažnosť na spoločnosť Facebook írskemu komisárovi pre ochranu údajov (ďalej len "DPC"). DPC najprv sťažnosť zamietol ako "neopodstatnenú a šikanóznu". Pán Schrems sa proti rozhodnutiu DPC odvolal a nakoniec vyhral: V tomto prípade, C-362/14 Schrems, SDEÚ ("Súdny dvor Európskej únie", najvyšší súd EÚ) potvrdil jeho názor a rozhodol, že masové sledovanie porušuje európske základné práva. SDEÚ zrušil predchádzajúci systém "bezpečného prístavu", ktorý uľahčoval prenos údajov medzi EÚ a USA. Tento systém bol v roku 2016 urýchlene nahradený systémom "Privacy Shield". Schrems: "Privacy Shield je aktualizovanou verziou nezákonného "bezpečného prístavu". Nič v zákone USA o dohľade sa nezmenilo ani neupravilo."
Štandardné zmluvné doložky ("SCC"). Po prvom rozhodnutí Súdneho dvora EÚ o "Safe Harbor" spoločnosť Facebook vyhlásila, že nebude používať "Privacy Shield", ale tzvŠtandardné zmluvné doložky" (SCC).
SCC sú zmluvou medzi spoločnosťou z EÚ (v tomto prípade Facebook Ireland) a spoločnosťou mimo EÚ (v tomto prípade Facebook Inc. v Kalifornii), v ktorej sa zahraničná spoločnosť zaväzuje rešpektovať súkromie Európanov. Zákon akceptuje, že takéto zmluvy dostatočne chránia európske údaje pri prenose do zahraničia.
Hlavný problém: Právo EÚ v oblasti ochrany súkromia je v rozpore s právom USA v oblasti dohľadu. Podľa zákonov EÚ o ochrane osobných údajov ("GDPR") a SCC je "vývoz údajov" do tretej krajiny legálny len vtedy, ak vyvážajúca spoločnosť (v tomto prípade Facebook Ireland Ltd) môže zabezpečiť "primeranú ochranu" v USA. V praxi sa to ukázalo ako nemožné, pretože zákony USA o sledovaní (ako napríklad FISA 702 a EO 12.333) vedú k tomu, že vláda USA "hromadne spracúva" osobných údajov na účely dohľadu. Schrems: "Jednoducho povedané: Právo EÚ vyžaduje ochranu súkromia, zatiaľ čo právo USA vyžaduje masové sledovanie. Otázkou je, čo sa stane, keď sa spoločnosť z EÚ bude riadiť právom USA a nie EÚ."
Žiadosť pána Schremsa a reakcia írskej DPC. Vzhľadom na uvedenú situáciu a rozhodnutie SDEÚ vo veci "Safe Harbor" pán Schrems následne v roku 2015 požiadal írsku DPC, aby využila článok 4 SCC, ktorý DPC umožňuje nariadiť Facebooku, aby v jednotlivých prípadoch "pozastavil" prenosy údajov. Hoci DPC teraz súhlasil s pánom Schremsom, že americké zákony o sledovaní porušujú právo EÚ, nepodnikol priame kroky. Schrems: "Žiadali sme o cielené riešenie len pre spoločnosti, na ktoré sa vzťahujú tieto zákony o sledovaní. DPC mohla takéto rozhodnutie vydať v priebehu jedného dňa."
Írska DPC chce zrušiť platnosť SCC. DPC sa však žiadosťou pána Schremsa neriadila, ale namiesto toho podala na írsky najvyšší súd žalobu proti Facebooku a pánovi Schremsovi s cieľom vrátiť vec na SDEÚ - tentoraz vo veci platnosti SCC. Írsky najvyšší súd vyhovel žiadosti DPC a postúpil jedenásť otázok na SDEÚ, a to napriek odporu pána Schremsa a spoločnosti Facebook (ktorí sa proti postúpeniu postavili z rôznych dôvodov). Gerard Rudden (zo spoločnosti ARQ Solicitors, ktorá zastupuje pána Schremsa): "Môj klient požiadal o cielené riešenie pre spoločnosti, na ktoré sa vzťahujú americké zákony o hromadnom sledovaní. DPC mohla takéto rozhodnutie vydať už dávno. Namiesto toho po siedmich rokoch a dvoch postúpeniach na SDEÚ stále nemáme žiadne oficiálne rozhodnutie DPC."
noyb.eu & Právny tím Pán Schrems podal túto žalobu pro-bono a podporuje ho tím právnikov z Írska, USA a Luxemburska. Prípad podporuje aj európska nezisková organizácia noyb.eu, ktorej je zároveň čestným predsedom. Pána Schremsa zastupuje Eoin McCullhan, ktorého inštruovala spoločnosť Ahern Rudden Quigley Solicitors. Prof. Herwig Hofmann ho podporoval v otázkach európskeho práva. Ashley Gorski z Americkej únie občianskych slobôd (ACLU.org) pomáhala ako súdny znalec v oblasti práva USA v oblasti dohľadu.
II. Možné výsledky
Rozdiel medzi stanoviskom generálnej prokuratúry a konečným rozsudkom je veľmi pravdepodobný. Prípad nastolil jedenásť čiastočne prepojených otázok s mnohými ďalšími otázkami, ktoré sú spojené s každou otázkou. Na rozdiel od mnohých iných prípadov nemožno očakávať binárnu odpoveď. Stanovisko aj konečný rozsudok môžu niektoré otázky ďalej rozšíriť a o iných bodoch mlčať. Schrems: "Tento prípad má jedenásť vzájomne prepojených otázok. Je veľmi nepravdepodobné, že od generálneho advokáta dostaneme jedinú jasnú odpoveď 'áno alebo nie'. Vzhľadom na množstvo možností je ešte menej pravdepodobné, že sudcovia budú k týmto jedenástim otázkam pristupovať vo svojom konečnom rozhodnutí rovnako."
Okrem mnohých rôznych možností v tomto prípade mohlo byť ústne prejednávanie veci ukazovateľom trochu odlišných názorov medzi AG a sudcami. Schrems: "Počas súdneho pojednávania generálny advokát kládol otázky úplne iným smerom ako sudcovia. Zdalo sa, že sudcovia boli oveľa kritickejší k právu USA a k hodnoteniu Európskej komisie ako generálny advokát. Preto očakávam, že konečný rozsudok môže poskytnúť prísnejšiu ochranu súkromia ako štvrtkové stanovisko."
Potrebné je dlhodobé riešenie. Z dlhodobého hľadiska sa v tomto prípade veľmi pravdepodobne nevyrieši zásadný rozpor medzi zákonmi EÚ o ochrane súkromia a zákonmi USA o sledovaní. Schrems: "Ak chcú USA spracúvať údaje cudzincov, budú musieť cudzincom poskytnúť aspoň rovnakú základnú ochranu súkromia. V súčasnosti sa USA správajú trochu tak, ako keby Švajčiarsko povedalo 'uložte si u nás všetko svoje zlato, ale v skutočnosti nemáte žiadne práva, keď je tu'. Ak je situácia takáto, kto na svete bude USA dôverovať so svojimi údajmi?"
III. Pozícia strán k "hlavnému sporu"
Keď orgán na ochranu údajov zastáva názor, že príjemca údajov má právne povinnosti v tretej krajine, ktorá nie je v súlade s právom EÚ (ako v tomto prípade), vzniká otázka, ako túto dilemu vyriešiť. Tri strany v konaní navrhli tri rôzne odpovede:
|
|
Írska DPC |
Max Schrems |
|
|
Sledovanie zo strany USA neporušuje právo EÚ ("nie je potrebné riešiť žiadny problém") |
Nie |
Nie |
Áno |
|
Článok 4 SCCs umožňuje pozastavenie ("cielené riešenie" pre spoločnosti FISA) |
Nie |
Áno |
Áno, ak by nastal problém |
|
SCCs sú neplatné globálne ("radikálne riešenie") |
Áno |
Nie |
Nie |
- Spoločnosť Facebook zastáva názor, že predpoklad otázky je nesprávny, pretože sledovanie v USA je v súlade s právom EÚ (z rôznych dôvodov) a tento prípad sa neriadi právom EÚ.
- Pán Schrems je toho názoru, že článok 4 NKÚ umožňuje Úradu pre ochranu údajov pozastaviť tok údajov v jednotlivých prípadoch, ale Úrad pre ochranu údajov toto "cielené riešenie" podľa zákona nevyužíva.
- DPC vidí "systematický" problém, ktorý by mal viesť k zrušeniu platnosti SCC globálne a nemalo by byť na DPC, aby konal v každom prípade individuálne.
IV. Často kladené otázky a časté nedorozumenia
- Nesnažil sa pán Schrems zrušiť štandardné zmluvné doložky?
Pán Schrems nikdy netvrdil, že VOP môžu byť neplatné. Zo všetkých strán a všetkých intervencií na SDEÚ len DPC zaujala stanovisko, že SCCs by mali byť neplatné. Všetci (inštitúcie EÚ, členské štáty, lobistické skupiny, Facebook a pán Schrems) sú toho názoru, že SCCs nie sú neplatné.
- Neblokuje EÚ len voľný obchod?
K tomuto stretu jurisdikcií vedú dva zákony: (1) americké zákony o sledovaní, ktoré umožňujú masové sledovanie cudzincov a špionáž bez súhlasu jednotlivých súdov, a (2) európske základné právo na súkromie. Je veľmi racionálne zakázať tok údajov na cudzie územie, ak sa tieto údaje môžu zneužiť. USA majú podobné obavy v súvislosti s aplikáciami, ako je "TikTok", alebo 5G hardvérom od spoločnosti Huawei.
- Neznamená tento prípad, že už nemôžete posielať e-maily do USA?
Zjednodušene povedané, nariadenie GDPR hovorí o dvoch typoch tokov údajov: (1) Nevyhnutné toky údajov (ako sú e-maily alebo rezervácia hotela v zahraničí), pre ktoré existujú výnimky v článku 49 GDPR, a (2) prípady "outsourcingu" spracovania údajov do tretej krajiny, ktoré nie sú striktne nevyhnutné. Aj keby sa zrušila platnosť SCC, malo by to dôsledky len pre druhú kategóriu prípadov, v ktorých sa neuplatňuje žiadna "výnimka".
V prípade e-mailov by to znamenalo, že poštová schránka Gmailu ako celok už nesmie byť outsourcovaná do USA, ale jednotlivé e-maily, ktoré idú priateľovi alebo kolegovi z USA, budú stále doručované (rovnako ako sa dnes e-maily posielajú do Číny, Ruska alebo dokonca Severnej Kórey).
- Týka sa tento prípad všetkých tokov údajov do USA?
Podľa argumentov pána Schremsa sa jadro problému obmedzuje na spoločnosti, na ktoré sa vzťahuje osobitný zákon o sledovaní s názvom "FISA 702". Tento zákon sa vzťahuje len na "poskytovateľov elektronických komunikačných služieb" (ako Facebook, Google alebo Microsoft), ale nevzťahuje sa na "tradičné podniky", ako sú letecké spoločnosti, hotely, obchod, financie a podobne.
Ďalšia otázka sa týka povolenia na sledovanie s názvom "EO 12.333", ktoré umožňuje USA vykonávať sledovanie v akomkoľvek obchodnom sektore vrátane transatlantických káblov mimo Spojených štátov. To sa týka najmä hodnotenia "štítu na ochranu súkromia".
Celkovo je pozastavenie prenosu údajov v rámci SCC potrebné len pre spoločnosti, ktoré spadajú pod FISA 702, ktorá bola zavedená v roku 2007. Problém sa dá vyriešiť opravou tohto zákona v USA.
- Zažaloval pán Schrems spoločnosť Facebook dvakrát?
Zatiaľ čo pán Schrems podal pôvodnú sťažnosť na DPC v roku 2013, DPC toto konanie pozastavil a podal žalobu na spoločnosť Facebook a pána Schremsa. Títo sú žalovanými a nezačali toto (druhé) konanie pred SDEÚ. Pán Schrems aj spoločnosť Facebook sa totiž postavili proti postúpeniu veci na SDEÚ z rôznych dôvodov.
- Čo má tento prípad spoločné so "štítom na ochranu súkromia"?
Facebook v tomto prípade nastolil otázku "štítu na ochranu súkromia", keďže tvrdí, že Európska komisia schválila americké zákony o sledovaní v rámci štítu na ochranu súkromia a toto posúdenie by malo byť záväzné aj pri posudzovaní amerických zákonov o sledovaní podľa SCC. Pán Schrems tvrdil, že toto posúdenie je vecne nesprávne, a preto je Štít súkromia neplatný.
Nie je jasné, či sa generálny advokát bude zaoberať niektorým z týchto argumentov, sudcovia sa počas ústneho pojednávania intenzívne pýtali Európskej komisie na štít na ochranu súkromia.
- Prečo tvrdíte, že SCC sú v poriadku, ale štít na ochranu súkromia nie?
SCC je všeobecný nástroj pre približne 200 krajín sveta. Nezaoberá sa zákonmi USA o dohľade. Ak existuje konfliktný zákon, článok 4 SCCs umožňuje DPC zastaviť prenos údajov. SCC má teda odpoveď na problém, ktorý sa pred súdom rieši. V rozhodnutí o štíte na ochranu súkromia Európska komisia výslovne uviedla, že právo USA v oblasti dohľadu je v súlade s právom EÚ, s čím zásadne nesúhlasíme.
- Čo mal podľa vás urobiť DPC?
Podľa článku 4 DVO môže ktorýkoľvek orgán na ochranu údajov (ako napríklad DPC) zastaviť prenos údajov, ak DVO nie je fakticky dodržiavaný. Spoločnosť Facebook Ireland vedela o sledovaní NSA minimálne od roku 2013, ale neprijala žiadne opatrenia na zastavenie alebo obmedzenie prenosov údajov. V takýchto prípadoch musí zasiahnuť regulačný orgán a prijať opatrenia.
- Ako môžu spoločnosti splniť priaznivé rozhodnutie?
Najprv by museli identifikovať, či nejaké ich údaje smerujú k americkému "poskytovateľovi elektronických komunikačných služieb", na ktorého sa vzťahuje zákon FISA 702. Väčšina tradičných priemyselných odvetví nespadá pod tieto zákony o sledovaní, ale veľké technologické spoločnosti, ktoré mnohí z nás využívajú (ako Facebook, Google, Amazon alebo Microsoft), áno.
Aj keď údaje smerujú k jednému z týchto poskytovateľov, väčšinu základných prenosov údajov (napr. odosielanie e-mailov, priamych správ alebo údajov o rezerváciách) možno stále prenášať na základe tzv. výnimiek v nariadení GDPR. V prípadoch jednoduchého "outsourcingu" však európske spoločnosti možno budú musieť nájsť alternatívy mimo USA.
