Důležitý právní mechanismus, který umožňuje americkým firmám přenášet osobní data svých evropských uživatelů do USA, je potenciálně v ohrožení. O jeho legálnosti bude rozhodovat Soudní dvůr Evropské unie (SDEU). Ten přitom na podzim 2015 zrušil už jeden mechanismus, který přenos dat z EU do USA upravoval – tzv. Safe Harbour.
Na SDEU se dnes obrátil irský nejvyšší soud, který řeší spor mezi tamním úřadem na ochranu osobních údajů, Facebookem a rakouským právníkem Maxem Schremsem. Ten si původně v roce 2013 úřadu postěžoval, že Facebook jeho osobní data v USA nedostatečně chrání a předává je například NSA.
Úřad se nejprve odmítl jeho stížností zabývat. Schrems se tak obrátil na soud, který případ posunul k SDEU. Ten v říjnu 2015 k všeobecnému překvapení rozhodl o zrušení Safe Harbour. Když padl tento mechanismus, který americkým firmám dovoloval přenášet osobní data Evropanů do USA, uchýlil se Facebook k jiné variantě: tou jsou tzv. standardní smluvní doložky (Standard Contractual Clauses, SCC).
Jde vlastně o speciální smlouvu mezi irskou pobočkou Facebooku a mateřským Facebookem v USA o tom, že může data z EU přenášet a že se americká společnost postará o jejich ochranu. Modelové smlouvy firmám poskytla sama Evropská komise.
Schrems pak svou stížnost aktualizoval a po irském úřadu na ochranu osobních údajů požadoval, aby na základě SCC zakázal Facebooku data z Evropy do USA přenášet. Americký Facebook podle něj nedokáže jeho data ochránit, neboť má podle amerických zákonů povinnost předávat je za určitých podmínek tamním úřadům. Irský ochránce dat ale odmítl zákaz vydat jen pro Facebook, protože by to znamenalo jeho znevýhodnění, a místo toho se obrátil na soud s tím, aby zneplatnil SCC pro všechny firmy. A irský nejvyšší soud teď rozhodnutí přenesl na Soudní dvůr EU (celý verdikt v angličtině, PDF).
SDEU tak bude v krátké době rozhodovat už o druhém mechanismu, který americkým online firmám umožňuje přenášet data Evropanů do zámoří. Pokud by SCC zrušil, mohlo by to znamenat problémy pro řadu amerických online firem, které na evropském trhu působí.
Evropská komise se sice pokusila zrušený Safe Harbour nahradit novou dohodou, tzv. Privacy Shield, ale ani po měsících nefunguje na sto procent.
Čtěte dále: Souhrn případu a stanovisko Maxe Schremse