Hlavní navigace

Schrems vs. Facebook 1:0. Konec bezpečného přístavu, řekl Soudní dvůr EU

David Slížek

Evropsko-americká dohoda, která dávala americkým firmám jednotná pravidla pro nakládání s osobními daty evropských uživatelů, je minulostí.

Edward Snowden a Max Schrems. Dvě jména, která se postarala o zásadní změnu přístupu Evropy k ochraně osobních údajů. Ten první odhalil masivní sledování uživatelů ze strany americké NSA, a ten druhý teď s odkazem na tato zjištění vyhrál u Soudního dvora Evropské unie (SDEU) důležitý spor o ochranu osobních dat.

Soud ve svém verdiktu zrušil platnost rozhodnutí Evropské komise z roku 2000 (2000/520/ES), podle kterého mohly firmy z USA při nakládání s osobními daty Evropanů postupovat podle jednotných celoevropských pravidel nazývaných „Safe Harbour“.

Společnost jako je třeba Facebook se tak nemusela řídit odlišnými zákony v jednotlivých členských zemích, stačilo jí, když dodržovala obecná pravidla stanovená Komisí. Ta totiž ve svém rozhodnutí (zjednodušeně) paušálně stanovila, že považuje USA za zemi, která chrání osobní data uživatelů, takže je bezpečné do ní údaje Evropanů předávat.

Případ Schrems

Rakouský právník Max Schrems s tím ale nesouhlasil. V červnu 2013 podal irskému komisaři na ochranu osobních údajů stížnost, ve které se domáhal zákazu předávání jeho osobních dat nasbíraných Facebookem do USA. S odvoláním na Snowdenova odhalení argumentoval tím, že americké zákony jeho osobní data nechrání dostatečně.

Komisař ale jeho stížnost zamítl jako neopodstatněnou s tím, že Komise už paušálně rozhodla, že USA data chrání dostatečně, a národní regulátoři tak ve věci nemají žádné pravomoce. Schrems se odvolal k irskému Vrchnímu soudu. Ten pak případ posunul k SDEU.

Dnešní verdikt soudu (C‑362/14 - kompletní znění najdete zde) je jasný: rozhodnutí Komise „…nemůže popřít ani omezit pravomoci, jimiž jsou nadány vnitrostátní orgány dozoru podle Listiny základních práv Evropské unie a podle směrnice.“ 

SDEU také v rozsudku výslovně potvrdil, že rozhodnutí Evropské komise o tzv. Safe Harbour je neplatné. Komise podle něj neměla pravomoc takto omezit pravomoci národních ochránců osobních dat (v ČR tuto roli plní Úřad na ochranu osobních údajů). 

Irský orgán dozoru je v důsledku tohoto rozsudku povinen posoudit stížnost M. Schremse s veškerou náležitou péčí a po provedení šetření musí rozhodnout, zda je podle směrnice třeba zastavit předávání údajů o evropských uživatelích Facebooku do Spojených států z důvodu, že tato země neposkytuje odpovídající úroveň ochrany osobních údajů.

Soudní dvůr sám nehodnotil, zda jsou osobní data v USA v bezpečí. Připomněl ale, že sama Evropská komise ve svých oficiálních sděleních (např. COM(2013) 846 final) konstatovala, že důvěra byla narušena.

Komise totiž konstatovala, že orgány Spojených států měly přístup k osobním údajům předaným z členských států do Spojených států a mohly tyto údaje zpracovat způsobem, který není v souladu zejména s cíli jejich předání a překračuje meze toho, co je nezbytně nutné a přiměřené pro ochranu bezpečnosti státu. 

Kromě pochybností o tom, jak USA s osobními daty zacházely, soud zmínil také fakt, že evropští uživatelé nemají kvůli rozhodnutí Komise možnost se bránit v případě, že se obávají, že jsou například jejich data sbírána neoprávněně:

Právní úprava, která nestanoví procesním subjektům žádnou
možnost využít právních prostředků s cílem získat přístup k osobním údajům, které se jich týkají, nebo dosáhnout opravy či výmazu těchto údajů, nerespektuje podstatu základního práva na účinnou právní ochranu, přičemž takováto možnost je inherentní existenci právního státu.

Důsledky pro tisíce amerických firem

Rozhodnutí má zásadní důsledky pro fungování řady amerických internetových firem v Evropě. Safe Harbour zjednodušoval přístup na evropský trh nejen Facebooku, ale i Googlu, Amazonu, Twitteru a řadě dalších společností, včetně malých podnikatelů či startupů. Celkem jde o více než 4 400 firem (jejich seznam najdete na této stránce). 

Nemusely totiž místo přenosu dat do USA draze stavět vlastní datacentra v Evropě, zakládat samostatné evropské pobočky nebo se na ochraně dat domlouvat s regulátory v každé unijní zemi zvlášť. Data mohla jednoduše přenést na své (či pronajaté) servery v USA.

A to se po verdiktu SDEU mění. Národní regulátoři získali pravomoc přenášení osobních dat do USA třeba i úplně zakázat, pokud usoudí, že je dotyčná firma není schopná dostatečně chránit.

Výslovný souhlas

Dá se předpokládat, že velké společnosti typu Google, Amazon či Facebook se s novou situací vyrovnají poměrně snadno. Už dnes mají datacentra po celém světě, včetně Evropy (byť by v budoucnu mohlo být zajímavé, jak se bude v případě sporů určovat, kde přesně jsou údaje uživatele uloženy).

Menší firmy a startupy ovšem mají méně prostředků a tím pádem i méně možností. Safe Harbour ale není jediným způsobem, jak mohou přenášení osobních dat ošetřit.

Mohou například začít vyžadovat od každého uživatele výslovný souhlas s tím, že jeho osobní data budou přenesena do USA. Kolik uživatelů si tím odradí, se dá těžko odhadovat.

Dá se také očekávat, že na konec „bezpečného přístavu“ budou Evropská unie a USA zřejmě reagovat uzavřením nějaké nové dohody, například v rámci připravované kontroverzní smlouvy Transatlantic Trade and Investment Partnership (TTIP).

Našli jste v článku chybu?

7. 10. 2015 7:29

◊►≈ (neregistrovaný)

Koukám další putinův užitečný idiot.

Proč podporovat zdravou konkurenci, když můžeme mít domácí šmejd jako je Seznam.

6. 10. 2015 17:22

Toto rozhodnutí vítám, snad se tím vyřeší i problém, kdy USA úřady vyžadují soukromá data a osobní informace uživatel z Evropy.
Pochopitelně se jedná o určitý technologický problém, ale myslím, že poměrně snadno řešitelný v rámci technologií, které všechny takové firmy už dávno používají.


Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

DigiZone.cz: Sat novinky: Je tu Sky Sport News HD

Sat novinky: Je tu Sky Sport News HD

DigiZone.cz: Zdeněk Gerlický: nový ředitel nangu.tv

Zdeněk Gerlický: nový ředitel nangu.tv

Podnikatel.cz: Zařízení pro EET zbytečně, vrátí vám peníze

Zařízení pro EET zbytečně, vrátí vám peníze

Root.cz: Firefox hodí za rok přes palubu stará rozšíření

Firefox hodí za rok přes palubu stará rozšíření

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph