Privacy Shield? Teď už ne!
Data Protection Commissioner proti Facebook Ireland Ltd, Maximillianu Schremsovi,
za účasti:
The United States of America, Electronic Privacy Information Centre, BSA Business Software Alliance Inc., Digitaleurope.
Rozhodnutí Soudního dvora Evropské unie ze dne 16. července 2020 ve věci C-311/18, Data Protection Commissioner v. Facebook Ireland a Schrems, mělo dva zásadní důsledky:
- prováděcí rozhodnutí Komise (EU) 2016/1250 ze dne 12. července 2016 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající úrovni ochrany poskytované štítem EU–USA na ochranu soukromí (tzv. rozhodnutí o štítu na ochranu soukromí, Privacy Shield) (dále jen „Privacy Shield“), je neplatné;
- rozhodnutí Komise 2010/87 ze dne 5. února 2010 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle směrnice Evropského parlamentu a Rady 95/46/ES (dále jen „rozhodnutí SSD“) zůstává v platnosti.
Východiskem pro výše uvedené závěry SDEU byly mimo jiné články 7 a 8 Listiny základních práv Evropské unie[1] (respektování soukromého a rodinného života a ochrana osobních údajů).
Úkolem SDEU bylo porovnat úroveň a účinné prostředky ochrany osobních údajů, které jsou předávány do třetích zemí ve smyslu čl. 45 a 46 obecného nařízení o ochraně osobních údajů GDPR[2], kdy k osobním údajům předaným do USA mají přístup i zpravodajské orgány USA.[3]
Soud konstatoval, že v rámci předávání osobních údajů do třetích zemí je zvlášť důležité, aby v takové třetí zemi existovaly možnosti dovolat se účinné ochrany ze strany subjektů údajů – tj. aby správní orgány a soudy třetí země měly dostatečné pravomoci k zajištění nezávislého dozoru nad ochranou osobních údajů. Taková funkce byla dle Privacy Shield realizována prostřednictvím mechanismu ombudsmana. K témuž SDEU však konstatuje, že:
„Mechanismus ombudsmana zmíněný v rozhodnutí o štítu na ochranu soukromí ... neposkytuje prostředek nápravy u orgánu, který by osobám, jejichž údaje jsou předávány do Spojených států, nabízel záruky, které jsou v zásadě rovnocenné zárukám vyžadovaným v článku 47 Listiny.“[4]
Co se týče přezkumu rozhodnutí SSD, tak zde SDEU zastává názor, že „neodhalil žádnou skutečnost, která by mohla mít dopad na platnost tohoto rozhodnutí.“[5] Platnost rozhodnutí SSD a smluvních doložek SDEU spojuje především se splněním požadavku na existenci účinných mechanismů, „které v praxi umožní zajistit dodržování úrovně ochrany vyžadované unijním právem a v případě, že by došlo k porušení takových doložek nebo k nemožnosti je dodržet, dočasně nebo trvale zakázat předávání osobních údajů na jejich základě.“[6] Takové požadavky jsou založeny na smluvním základě a vhodných zárukách bez nutnosti vázat předmětnými povinnostmi orgány veřejné moci.
Předávání osobních údajů do USA tak bude jistě vyžadovat revizi interních politik smluvních partnerů, a to včetně již uzavřených smluv, které se ve svých základních parametrech opírají o záruky Privacy Shieldu. Domnívám se však, že s ohledem na obchodní politiku EU a USA lze v brzké době očekávat nahrazení Privacy Shieldu jiným vhodnějším prostředkem pro transatlantické předávání osobních údajů.
[1] Rozhodnutí Soudního dvora Evropské unie ze dne 16. července 2020 ve věci C-311/18, Data Protection Commissioner v. Facebook Ireland a Schrems, dostupné on-line na (URL): https://eur-lex.europa.eu/legal-content/CS/ALL/?uri=celex%3A12012P%2FTXT.
[2] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), dostupné on-line na (URL): https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX:32016R0679.
[3] Srov. program UPSREAM, činnosti prováděné na základě Executive Order 123333 – United States intelligence activities, ze dne 4.12.1981, a the Foreign Intelligence Surveillance Act of 1978.
[4] Bod 197, op. cit. sub 1.
[5] Bod 149, op. cit. sub 1.
[6] Bod 137, op. cit. sub 1.