Hlavní navigace

Soud zrušil "štít EU-USA", Spojené státy ztrácí nadstandardní přístup k osobním datům Evropanů

Sdílet

David Slížek 17. 7. 2020

Soudní dvůr Evropské unie (SDEU) zrušil právní mechanismu známý jako „štít EU-USA na ochranu soukromí“, díky kterému americké firmy získávají certifikaci pro zacházení s osobními údaji občanů Evropské unie a jejich transferu na servery v USA.

Reagoval tak na stížnost rakouského právníka Maxe Schremse. Ten už několik let po evropských úřadech a soudech požaduje, aby zakázaly předávání jeho osobních údajů z Facebooku do USA, protože podle něj Spojené státy osobní data občanů nedostatečně chrání.

SDEU mu dal už jednou za pravdu, když v roce 2015 zrušil předchozí mechanismus Safe Harbor. Evropská komise tehdy na verdikt reagovala vytvořením nového rámce (rozhodnutí 2016/1250). I tento „štít EU-USA“ ale soud nyní zrušil.

Podle verdiktu (věc C-311/18) USA nedávají dostatečné záruky, že budou osobní údaje Evropanů chránit stejně dobře jako jsou chráněny v EU (například prostřednictvím nařízení GDPR). Soud zejména zmiňuje nedostatečnou ochranu před sledováním ze strany amerických bezpečnostních služeb, jejichž „sledovací programy … se neomezují na to, co je nezbytně nutné.“

Podle SDEU vnitrostátní právní předpis USA „… sice stanoví požadavky, které při provádění dotčených sledovacích programů musí americké orgány respektovat, avšak subjektům údajů nepřiznávají práva vymahatelná vůči orgánům USA před soudy.“

Rozhodnutí soudu neznamená, že by americké firmy vůbec nesměly s osobními daty občany EU zacházet. Ztratí ale nadstandardní přístup a budou se muset řídit standardními pravidly EU. Jde o tzv. standardní smluvní doložky podle rozhodnutí Komise 2010/87. Schrems u soudu požadoval i jejich zrušení, v tomto případě mu ale SDEU nevyhověl a potvrdil, že standardní doložky i nadále platí.

Soud ale navíc konstatoval, že evropské úřady na ochranu osobních údajů musí předávání osobních dat do jiných zemí pečlivě posuzovat a pokud v dotyčných státech nebudou dostatečně chráněna, musí tento transfer zakázat.

Celý případ tak ještě zdaleka nekončí – stížností rakouského právníka se bude muset znovu zabývat irský úřad na ochranu osobních údajů, ke kterému Schrems podal svou původní stížnost.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.