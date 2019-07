Jsou data Evropanů ve Spojených státech v bezpečí a kam až sahá úsilí irských regulátorů, aby naše osobní údaje ochránili? I to řeší právě probíhající řízení před Soudním dvorem EU, které může dostat zahraniční online společnosti působící v unii do velkých problémů. Právě v Irsku totiž mají internetoví giganti v čele se sociální sítí Facebook svá evropská sídla, přes která se pak data evropských uživatelů mohou dostat do rukou amerických tajných služeb.

Sociální síť Facebook, jejíž evropské sídlo se nachází v Irsku, o svých uživatelích generuje obrovské množství dat, které následně zasílá ke zpracování do mateřské společnosti ve Spojených státech. Podle aktivistů pro ochranu osobních údajů tak mohou data milionů evropských uživatelů této sociální sítě skončit u amerických tajných služeb. O tom, že by nemusely být tyto obavy liché, svědčí aféra kolem Edwarda Snowdena – díky ní bylo odhaleno, že americké úřady získávaly od poskytovatelů internetových služeb informace o uživatelích a docházelo tak k jejich masovému sledování.

Možné zneužívání dat obyvatel Evropy už dva roky řeší také Soudní dvůr Evropské unie (SDEU), který má vydat verdikt do konce letošního roku. Slyšení u soudu pokračovalo tento týden v úterý, pod ostrou palbu kritiky se během něj dostal zejména irský úřad pro ochranu osobních údajů, který se v minulosti zbavil odpovědnosti spor rozsoudit. O co v případu jde? A co všechno může verdikt ovlivnit? Nabízíme základní otázky a odpovědi.

O co jde?

Případ sahá až do roku 2013, kdy si rakouský právník a aktivista za ochranu osobních dat Max Schrems stěžoval u Irské komise pro ochranu osobních údajů (DPC), že Facebook jeho osobní údaje ve Spojených státech chrání nedostatečným způsobem a předává je americkým tajným službám. Úřad se však odmítl stížností zabývat a obrátil se na irský nejvyšší soud, který následně věc posunul k Soudnímu dvoru EU. Ten se však v roce 2015 postaral o překvapení, když rozhodl o zrušení režimu Safe Harbor, podle něhož předávání dat Evropanů do USA probíhalo.

Co znamenalo zrušení Safe Harboru?

Safe Harbor – neboli bezpečný přístav – byla dohoda o předávání osobních údajů přes Atlantik, kterou mezi sebou v roce 2000 uzavřely Spojené státy a Evropská unie. V říjnu roku 2015 ale dal Soudní dvůr EU zapravdu stížnosti Maxe Schremse a tím dohodu zneplatnil. V té době již probíhala jednání mezi Bruselem a Washingtonem o novém mechanismu předávání dat s názvem Privacy Shield (štít na ochranu soukromí), který měl dosavadní systém nahradit.

Po zneplatnění Safe Harboru nebylo jasné, jakými pravidly se mají americké společnosti působící v Evropě při předávání dat řídit. Facebook se následně přiklonil k takzvaným standardním smluvním doložkám (SCC) a právě o ně se v současnosti u Soudního dvora EU hraje. Jde o zvláštní smlouvu mezi irskou pobočkou Facebooku a mateřskou společností v USA, v níž se americká strana zavazuje, že se o ochranu dat Evropanů postará. Podle Schremsova tvrzení však americký Facebook nedokáže data Evropanů dostatečně ochránit, protože má podle amerických zákonů povinnost je za určitých podmínek předávat tamním bezpečnostním úřadům.

Rakouský právník proto k úřadu na ochranu osobních údajů znovu vznesl stížnost a vyzval ho, aby Facebooku zakázal předávání dat do Spojených států. To však irský regulátor odmítl s tím, že by to Facebook znevýhodnilo, a namísto vlastního rozhodnutí se obrátil na irský nejvyšší soud, který měl rozhodnout o zneplatnění standardních smluvních doložek pro všechny firmy, nejen pro Facebook. Na podzim roku 2017 však nejvyšší soud přenesl rozhodnutí na Soudní dvůr Evropské unie, jenž se nyní případem zabývá.

Co se odehrálo u soudu?

Během úterního soudního slyšení u evropského soudu v Lucemburku se na stranu Schremse postavily unijní instituce i členské státy včetně irské vlády, podle kterých měl dublinský úřad pro ochranu osobních dat ve věci rozhodnout. „Komise pro ochranu údajů má pravomoc toky dat pozastavit, nebo je zakázat,“ uvedl zástupce irské vlády s tím, že to nicméně neznamená, že by měly být zneplatněny všechny smluvní doložky. Irský úřad se během slyšení stal terčem ostré kritiky.

Schremsův právní zástupce zároveň zopakoval, že problémem ochrany soukromí Evropanů jsou americké zákony, podle kterých mají společnosti povinnost data za určitých podmínek předávat tamním bezpečnostním úřadům. „Když Facebook předává data do USA, ochrana dat je americkým právem oslabena. To platí pro všechny mechanismy včetně Privacy Shieldu,“ uvedl právník, podle něhož jde o systematický problém a systém Privacy Shield by měl být soudem zneplatněn.

Je Privacy Shield funkční?

Systém Privacy Shield, který se Spojenými státy za Evropskou unii vyjednávala česká eurokomisařka pro ochranu spotřebitele Věra Jourová, začal platit v roce 2016. Nový mechanismus přináší americkým společnostem přísnější pravidla pro nakládání s osobními údaji Evropanů a zároveň zajišťuje jejich důslednější vynucování. Na to dohlíží zejména nezávislý ombudsman, jehož úkolem je i řešit stížnosti na zpracování osobních údajů americkými zpravodajskými službami. Od června tento post zastává podnikatel v oblasti technologií Keith Krach, kterého nominovala americká vláda a následně potvrdil i Senát.

Podle odbornice na ochranu osobních dat Hany Gawlasové je Privacy Shield, stejně jako jako předchůdce Safe Harbor, „těžce vydobytý kompromis mezi USA a EU“, a to se odráží i na jejich struktuře. „Na programu Privacy Shield je vidět, že je novější a že byl tvořen v době, kdy s přenosy dat na globální úrovni byla už poměrně velká zkušenost. Zároveň obsahuje řadu prvků, které Safe Harbor neměl a které zajišťují lepší ochranu pro přenášení osobních údajů, a tak i pro práva osob, jichž se tyto osobní údaje týkají,“ popsala pro INFO.CZ.

Někteří kritici tvrdí, že Privacy Shield sice znamená pokrok, ochrana osobních dat Evropanů však stále není dostatečná. V únorové vyhodnocující zprávě to uvádí například Evropský sbor pro ochranu osobních údajů (EDPB), podle kterého má systém i nadále „očividné problémy, pokud jde o ochranu základních práv“ – nedokáže účinně zabránit tomu, aby osobní údaje Evropanů nebyly americkými úřady shromažďovány. Navzdory kritice však Komise trvá na tom, že systém v praxi funguje a během úterního slyšení u lucemburského soudu to zopakoval i mluvčí Evropské komise.

Co může verdikt Soudního dvora EU znamenat?

Evropský soudní dvůr už jednou mechanismus předávání dat Evropanů do Spojených států zneplatnil a je velká otázka, zda k podobnému kroku přistoupí i podruhé. Co by se stalo, pokud by standardní soudní doložky poslal k ledu? Jisté je jedno – znamenalo by to obrovský problém pro americké online společnosti, které na evropském trhu působí a nakládají s daty obyvatel Evropské unie.

„Rozhodnutí, které by zneplatnilo standardní smluvní doložky, by mělo dalekosáhlé důsledky. Safe Harbor se totiž týkal ‚jen‘ USA, standardní smluvní doložky však zahrnují celý svět,“ vysvětluje Gawlasová. Pokud by Soudní dvůr doložky zneplatnil, společnosti by v podstatě s okamžitou platností začaly porušovat legislativu týkající se ochrany osobních údajů, za což by jim hrozily sankce.

„Pokud Soudní dvůr Evropské unie zasáhne do rozhodnutí Komise, které se týká Privacy Shield, vyvolá to právní nejistotu ohledně probíhajícího předávání osobních údajů, které v danou chvíli nebudou předávány v souladu s platnou právní úpravou. Firmy spoléhající se na Privacy Shield tak budou muset velmi rychle najít alternativní řešení a využít jiné nástroje předvídané GDPR,“ dodává odbornice s odkazem na nařízení o ochraně osobních údajů, které v Evropské unii začalo platit loni v květnu.

„Tento případ je ohromně důležitý,“ podotýká viceprezident Mezinárodní asociace odborníků na ochranu soukromí Omer Tene pro server Politico a dodává, že může vést k dalekosáhlému narušení obchodních vztahů s firmami, které v Evropě působí. Na verdikt Soudního dvora si však firmy budou muset počkat – soud by neměl rozhodnout dříve než koncem letošního roku.