Předávání osobních údajů z EU do USA ve světle rozsudku SD EU sp. zn. C-362/14 ve věci M. Schrems

Základní právní rámec ochrany osobních údajů v EU představuje směrnice 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „Směrnice“). Směrnice stanoví členským státům EU povinnost zajišťovat v souvislosti se zpracováním osobních údajů ochranu základních práv a svobod fyzických osob, zejména práva na ochranu soukromí.[1]

Zásady a podmínky předávání osobních údajů do třetích zemí upravuje Směrnice ve čl. 25. Směrnice umožňuje předávání zpracovávaných osobních údajů z EU do třetích zemí, pouze pokud třetí země zajišťuje odpovídající úroveň ochrany osobních údajů. Úroveň ochrany se přitom posuzuje s ohledem na všechny okolnosti související s jejich předáním, zejména se přihlédne k povaze údajů, účelu a trvání předpokládaného zpracování, zemi původu a zemi určení, právním předpisům platným v třetí zemi, jakož i profesním pravidlům a bezpečnostním opatřením, která jsou ve třetí zemi dodržována.

Nad rámec uvedeného umožňuje Směrnice Komisi vydat rozhodnutí, že konkrétní třetí země zajišťuje na základě svých vnitrostátních předpisů a mezinárodních závazků odpovídající úroveň ochrany zpracovávaných osobních údajů s cílem zajistit ochranu soukromí fyzických osob.[2] V takovém případě lze osobní údaje z EU do takové třetí země předávat za podmínek stanovených v rozhodnutí Komise, aniž by byly nezbytné další záruky a prověřování ze strany dané korporace.

Rozhodnutí Komise

Na základě čl. 25 odst. 6 Směrnice přijala Komise dne 26. 7. 2000 rozhodnutí 2000/520/ES o odpovídající ochraně osobních údajů poskytované v USA podle zásad „bezpečného přístavu“[3] a s tím souvisejících často kladených otázek a odpovědí vydaných Ministerstvem obchodu USA (dále jako „Rozhodnutí“). Dle Rozhodnutí je odpovídající úrovně ochrany osobních údajů požadované Směrnicí při předávání osobních údajů z EU do USA dosaženo vždy, jestliže korporace v USA dodržuje zásady „bezpečného přístavu“ pro ochranu osobních údajů předávaných z EU do USA a podmínky stanovené v odpovědích na často kladené otázky, které představují prováděcí pokyny těchto zásad (dále společně jako „zásady bezpečného přístavu“).

V případě, že korporace přijímající osobní údaje v USA oznámila Ministerstvu obchodu USA svůj závazek dodržovat zásady bezpečného přístavu, byla na základě Rozhodnutí Komise považována z pohledu EU za osobu zajišťující dostatečnou úroveň ochrany předávaných osobních údajů a ty jí mohly být z EU neomezeně předávány ke zpracování. Organizace v USA, které přijaly zásady bezpečného přístavu, jsou zařazeny do veřejně přístupné databáze vedené Ministerstvem obchodu USA.[4]

Rozhodnutí výrazně usnadnilo situaci nadnárodním korporacím působícím v EU a předávajícím osobní údaje klientů a zaměstnanců do datových úložišť v USA, když tyto korporace nemusely zjišťovat, zda jsou splněny podmínky pro předání stanovené Směrnicí.

Od roku 2013 se zejména v souvislosti s aférou Edwarda Snowdena[5] na půdě EU zintenzivnily diskuze na téma, zda je skutečně fyzickým osobám při předávání jejich osobních údajů z EU do USA na základě Rozhodnutí Komise dostatečně garantováno zachování práva na soukromí ve smyslu čl. 7, 8, a 47 Listiny základních práv EU (dále jako „Listina“).[6] Dohoda na nových pravidlech však dosud nebyla mezi EU[7] a USA uzavřena.

Rozsudek SD EU sp. zn. C-362/14 ve věci M. Schrems

Zásadní průlom do diskuzí o standardu ochrany osobních údajů předávaných z EU do USA přinesl dne 6. 10. 2015 Soudní dvůr Evropské unie (dále jako „SD EU“) v rozsudku sp. zn. C-362/14 ve věci Schrems proti Data Protection Commissioner (dále jako „Rozsudek“).

Rakouský absolvent práv M. Schrems je uživatelem sociální sítě Facebook. Jako každý Evropan uzavřel v rámci registrace smlouvu se společností Facebook Ireland Ltd., která je dceřinou společností Facebook Inc. inkorporované v USA. Osobní údaje evropských uživatelů sítě Facebook jsou předávány společností Facebook Ireland Ltd. mateřské společnosti Facebook Inc., resp. na servery náležející společnosti Facebook Inc. umístěné na území USA, kde jsou údaje zpracovávány.

 M. Schrems se dne 25. 6. 2013 obrátil na irský Data Protection Commissioner[8] (dále jako „Úřad“) se stížností na společnost Facebook Ireland Ltd. a domáhal se, aby tento Úřad využil svých pravomocí a zakázal společnosti Facebook Ireland Ltd. předávat osobní údaje uživatelů mateřské společnosti do USA. Ve stížnosti argumentoval, že právní předpisy a praxe užívaná v USA nezajišťují dostatečnou ochranu osobních údajů zpracovávaných na jejím území před sledováním prováděným v USA orgány veřejné moci. Odvolával se přitom na zjištění učiněná v rámci Snowdenovy aféry. Úřad však tuto stížnost zamítl jako neopodstatněnou.[9]

M. Schrems podal proti rozhodnutí Úřadu žalobu k irskému High Court[10], který přerušil řízení a předložil SD EU předběžnou otázku, v níž se dotázal, zda je národní úřad členského státu EU pro ochranu osobních údajů vázán zjištěním učiněným Komisí v Rozhodnutí, podle něhož USA zajišťují odpovídající úroveň ochrany přijímaných osobních údajů, nebo zda se Úřad může od tohoto závěru na základě vlastního šetření odchýlit.

SD EU posuzoval, zda je Rozhodnutí Komise v souladu s požadavky Směrnice. SD EU uvedl ve shodě s generálním advokátem Y. Botem, že výraz „odpovídající úroveň ochrany“ musí být skutečně chápán tak, že vyžaduje, aby třetí země (USA) skutečně zajišťovala na základě svých předpisů a mezinárodních závazků takovou úroveň ochrany základních lidských práv a svobod, jaká je garantována v rámci EU Směrnicí vykládanou ve světle Listiny.[11]

SD EU konstatoval, že Komise je povinna při přezkumu úrovně ochrany osobních údajů posoudit obsah předpisů platných v dané třetí zemi, jakož i praxi směřující k zajištění jejich dodržování, přičemž musí Komise přihlédnout ke všem okolnostem souvisejícím s předáním osobních údajů do třetí země. Současně je Komise povinna pravidelně ověřovat, zda zjištění ohledně odpovídající úrovně ochrany zajišťované dotyčnou třetí zemí je stále skutkově a právně podložené.[12]

SD EU v Rozsudku uvedl, že systém vlastního prohlášení korporací v USA o dodržování zásad bezpečného přístavu sice není sám o sobě v rozporu se Směrnicí, avšak nezbytné pro naplnění požadavku náležité úrovně ochrany je v takovém případě vytvoření systému dohledu a sankcí.

Legislativa EU klade velký důraz na ochranu osobních údajů (práva na soukromí) a vyžaduje, aby výjimky z ochrany osobních údajů a její omezení byly činěny pouze v naprosto nezbytných případech.[13] Dle SD EU právní úprava USA globálně dovoluje uchování všech osobních údajů všech osob, jejichž údaje byly předány z EU do USA bez jakéhokoli rozlišení, omezení nebo výjimky činěných v závislosti na sledovaném cíli a bez stanovení objektivního kritéria umožňujícího vymezit přístup veřejných orgánů k těmto údajům a jejich využití pro konkrétní účely. Taková právní úprava nenaplňuje dle SD EU kritérium „naprosté nezbytnosti“. SD EU uzavřel, že právní úprava, která veřejným orgánům USA umožňuje globální přístup k obsahu elektronických komunikací, musí být považována za zasahující do podstaty základního práva na respektování soukromého života.

SD EU vytkl Komisi, že v Rozhodnutí neuvedla, že USA skutečně v praxi zajišťují odpovídající úroveň ochrany osobních údajů na základě svých vnitrostátních právních předpisů a mezinárodní závazků. V důsledku toho SD EU rozhodl, že Rozhodnutí je neplatné. V návaznosti na uvedené závěry SD EU uvedl, že orgány dohledu členských států EU (např. Úřad pro ochranu osobních údajů v ČR) jsou oprávněny posoudit žádost fyzické osoby týkající se ochrany jejích práv a svobod (práva na soukromí) v souvislosti se zpracováním osobních údajů a jejich předáním do třetí země.

Důsledky Rozsudku SD EU

Vyslovení neplatnosti Rozhodnutí Komise přineslo značnou nejistotu do praxe předávání osobních údajů z EU do USA. V současné situaci se nadnárodní korporace předávající osobní údaje klientů a zaměstnanců z EU do USA nemohou opřít o Rozhodnutí a musí tak aplikovat právní řády jednotlivých dotčených členských států EU, které by měly být v souladu s účelem a cíli Směrnice. S tím je ve většině případů spojena povinnost žádat národní orgány dohledu o povolení poskytnutí osobních údajů do USA. Výsledek povolovacího řízení je přitom nejistý a pro praxi je takový postup neflexibilní a značně problematický. Alternativami pro korporace předávající osobní údaje ke zpracování do USA je pouze sepsání standardní smluvní doložky do smlouvy hlavní[14]  nebo přijetí závazných vnitropodnikových pravidel nadnárodními korporacemi[15].

Jak uvedl generální ředitel Konfederace evropského podnikání BUSINESSEUROPE Markus J. Beyrer: „Rozsudek může být zdrojem značné právní nejistoty, která by mohla mít velmi negativní důsledky pro fungování jednotného vnitřního trhu EU ve všech odvětvích. Narušení příhraničního toku dat by mohlo vážně ohrozit transatlantický obchod EU s USA. Je na místě důrazně vyzvat příslušné orgány EU a USA, aby urychleně přišly s revidovaným rámcem Safe Harbor.“[16]

Nezbývá, než očekávat s jakým řešením situace přijde EU. Na jedné straně je přitom třeba vidět legitimní snahu EU o zajištění náležité úrovně ochrany osobních údajů fyzických osob poskytovaných ke zpracování z EU do USA, na druhou stranu je však v zájmu zachování obchodních vztahů EU s USA a v zájmu korporací předávajících osobní údaje do datových úložišť v USA, aby byla situace komplexně vyřešena rozhodnutím Komise či právním předpisem přijatým na úrovni EU.                    

JUDr. Petr Novotný, LL.M.,
partner

JUDr. Jakub Jeřábek,
advokát

MT Legal s.r.o., advokátní kancelář

Karoliny Světlé 25
110 00 Praha 1

Tel.: +420 222 866 555
Fax: +420 222 866 546
e-mail: info@mt-legal.com

Jakubská 121/1
602 00 Brno 2

Tel.: +420 542 210 351
e-mail: info@mt-legal.com

Bukovanského 1345/30
710 00 Ostrava – Slezská Ostrava

Tel.: +420 596 629 503
e-mail: info@mt-legal.com

--------------------------------------------------------------------------------
[1] Článek 1 Směrnice.
[2] Článek 25 odst. 6 Směrnice
[3] Tradičně označováno jako Safe Harbor.
[4] Ke dni 26.9.2013 osvědčilo přijetí zásad bezpečného přístavu celkem 3.246 organizací v USA, např. Google, Facebook, Microsoft, Apple či Yahoo. Databáze organizací je dostupná na www, k dispozici >>> zde.  
[5] Edward Snowden je bývalý zaměstnanec CIA, který v roce 2013 odhalil, že americká Národní bezpečnostní agentura běžně získává informace poskytovatelů elektronických služeb v USA, jako jsou Facebook nebo Google, aniž by k poskytnutí těchto osobních údajů byl vydán souhlas příslušného soudu.
[6] Výsledkem diskuzí byla např. Sdělení Komise COM(2013) 846 a 847 o obnovení důvěry v toky údajů mezi EU a USA.
[7] V posledním roce vede jednání za EU eurokomisařka pro spravedlnost a ochranu spotřebitele Věra Jourová.
[8] Obdoba českého Úřadu pro ochranu osobních údajů.
[9] Článek 28 Rozsudku.
[10] Irský Nejvyšší soud.
[11] Bod 141 stanoviska generálního advokáta Y. Bota ve věci C – 362/14 Schrems
[12] Bod 75 a 76 Rozsudku SD EU.
[13] Např. Rozsudky SD EU sp. zn. C – 293/12 a C – 594/12 ve věci Digital Rights Ireland a další.
[14] Vzor standardní smluvní doložky je přílohou rozhodnutí Komise 2010/87/EU. Korporace ve smluvní doložce stanoví své konkrétní povinnosti, kterými zajišťuje ochranu osobních údajů.
[15] Nadnárodní korporace působící v EU a předávající osobní údaje do USA v takovém případě samostatně vytváří pravidla pro nakládání s osobními údaji a předává je k posouzení a schválení orgánům dohledu všech dotčených členských států EU. Celý proces obvykle trvá okolo jednoho roku.
[16] Beyrer, M. J. Veřejný dopis ze dne 6. 10. 2015. Konfederace evropského podnikání BUSINESSEUROPE. Dostupné na www, k dispozici >>> zde.

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz