Edward Snowden a Max Schrems. Dvě jména, která se postarala o zásadní změnu přístupu Evropy k ochraně osobních údajů. Ten první odhalil masivní sledování uživatelů ze strany americké NSA, a ten druhý teď s odkazem na tato zjištění vyhrál u Soudního dvora Evropské unie (SDEU) důležitý spor o ochranu osobních dat.
Soud ve svém verdiktu zrušil platnost rozhodnutí Evropské komise z roku 2000 (2000/520/ES), podle kterého mohly firmy z USA při nakládání s osobními daty Evropanů postupovat podle jednotných celoevropských pravidel nazývaných „Safe Harbour“.
Společnost jako je třeba Facebook se tak nemusela řídit odlišnými zákony v jednotlivých členských zemích, stačilo jí, když dodržovala obecná pravidla stanovená Komisí. Ta totiž ve svém rozhodnutí (zjednodušeně) paušálně stanovila, že považuje USA za zemi, která chrání osobní data uživatelů, takže je bezpečné do ní údaje Evropanů předávat.
Případ Schrems
Rakouský právník Max Schrems s tím ale nesouhlasil. V červnu 2013 podal irskému komisaři na ochranu osobních údajů stížnost, ve které se domáhal zákazu předávání jeho osobních dat nasbíraných Facebookem do USA. S odvoláním na Snowdenova odhalení argumentoval tím, že americké zákony jeho osobní data nechrání dostatečně.
Komisař ale jeho stížnost zamítl jako neopodstatněnou s tím, že Komise už paušálně rozhodla, že USA data chrání dostatečně, a národní regulátoři tak ve věci nemají žádné pravomoce. Schrems se odvolal k irskému Vrchnímu soudu. Ten pak případ posunul k SDEU.
Dnešní verdikt soudu (C‑362/14 - kompletní znění najdete zde) je jasný: rozhodnutí Komise „…nemůže popřít ani omezit pravomoci, jimiž jsou nadány vnitrostátní orgány dozoru podle Listiny základních práv Evropské unie a podle směrnice.“
SDEU také v rozsudku výslovně potvrdil, že rozhodnutí Evropské komise o tzv. Safe Harbour je neplatné. Komise podle něj neměla pravomoc takto omezit pravomoci národních ochránců osobních dat (v ČR tuto roli plní Úřad na ochranu osobních údajů).
Irský orgán dozoru je v důsledku tohoto rozsudku povinen posoudit stížnost M. Schremse s veškerou náležitou péčí a po provedení šetření musí rozhodnout, zda je podle směrnice třeba zastavit předávání údajů o evropských uživatelích Facebooku do Spojených států z důvodu, že tato země neposkytuje odpovídající úroveň ochrany osobních údajů.
Soudní dvůr sám nehodnotil, zda jsou osobní data v USA v bezpečí. Připomněl ale, že sama Evropská komise ve svých oficiálních sděleních (např. COM(2013) 846 final) konstatovala, že důvěra byla narušena.
Komise totiž konstatovala, že orgány Spojených států měly přístup k osobním údajům předaným z členských států do Spojených států a mohly tyto údaje zpracovat způsobem, který není v souladu zejména s cíli jejich předání a překračuje meze toho, co je nezbytně nutné a přiměřené pro ochranu bezpečnosti státu.
Kromě pochybností o tom, jak USA s osobními daty zacházely, soud zmínil také fakt, že evropští uživatelé nemají kvůli rozhodnutí Komise možnost se bránit v případě, že se obávají, že jsou například jejich data sbírána neoprávněně:
Právní úprava, která nestanoví procesním subjektům žádnou
možnost využít právních prostředků s cílem získat přístup k osobním údajům, které se jich týkají, nebo dosáhnout opravy či výmazu těchto údajů, nerespektuje podstatu základního práva na účinnou právní ochranu, přičemž takováto možnost je inherentní existenci právního státu.
Důsledky pro tisíce amerických firem
Rozhodnutí má zásadní důsledky pro fungování řady amerických internetových firem v Evropě. Safe Harbour zjednodušoval přístup na evropský trh nejen Facebooku, ale i Googlu, Amazonu, Twitteru a řadě dalších společností, včetně malých podnikatelů či startupů. Celkem jde o více než 4 400 firem (jejich seznam najdete na této stránce).
Nemusely totiž místo přenosu dat do USA draze stavět vlastní datacentra v Evropě, zakládat samostatné evropské pobočky nebo se na ochraně dat domlouvat s regulátory v každé unijní zemi zvlášť. Data mohla jednoduše přenést na své (či pronajaté) servery v USA.
A to se po verdiktu SDEU mění. Národní regulátoři získali pravomoc přenášení osobních dat do USA třeba i úplně zakázat, pokud usoudí, že je dotyčná firma není schopná dostatečně chránit.
Výslovný souhlas
Dá se předpokládat, že velké společnosti typu Google, Amazon či Facebook se s novou situací vyrovnají poměrně snadno. Už dnes mají datacentra po celém světě, včetně Evropy (byť by v budoucnu mohlo být zajímavé, jak se bude v případě sporů určovat, kde přesně jsou údaje uživatele uloženy).
Menší firmy a startupy ovšem mají méně prostředků a tím pádem i méně možností. Safe Harbour ale není jediným způsobem, jak mohou přenášení osobních dat ošetřit.
Mohou například začít vyžadovat od každého uživatele výslovný souhlas s tím, že jeho osobní data budou přenesena do USA. Kolik uživatelů si tím odradí, se dá těžko odhadovat.
Dá se také očekávat, že na konec „bezpečného přístavu“ budou Evropská unie a USA zřejmě reagovat uzavřením nějaké nové dohody, například v rámci připravované kontroverzní smlouvy Transatlantic Trade and Investment Partnership (TTIP).