Data z Facebooku nemohou chránit jen USA, rozhodl evropský soud
Přelomový verdikt?
Soudní dvůr Evropské unie v úterý označil za neplatné rozhodnutí Evropské komise z roku 2000, podle kterého Spojené státy zajišťují odpovídající úroveň ochrany osobních údajů předávaných do USA z Evropy. Posoudit a rozhodnout, zda předání takových dat odpovídá pravidlům jejich ochrany, mohou jednotlivé státy EU, uvedl zároveň soud. Verdikt může mít podle agentury AP dalekosáhlé následky pro komunikační společnosti podnikající v Evropě. Reuters označil výrok za historický. EK slibuje vytvořit nový rámec pro bezpečné předávání dat do USA.
Soud se zabýval případem Rakušana Maxe Schremse, který si stěžoval na internetový portál Facebook, že nerespektuje soukromý život uživatelů. Podle Schremse sociální síť uchovává i ta osobní data, o jejichž vymazání uživatelé požádali, a také údaje o lidech, kteří se k sociální síti nikdy nepřipojili. Schrems s odvoláním na informace o činnosti amerických tajných služeb, které zveřejnil jejich bývalý spolupracovník Edward Snowden, tvrdí, že v USA není dostatečná ochrana před sledováním ze strany orgánů státní moci.
Pro české společnosti, zejména dceřiné firmy mezinárodních společností, to podle advokáta bpv Braun Partners Arthura Brauna znamená, že jejich osobní data již nemohou být nadále legálně uložena na amerických serverech, kde byla dosud. „Právě koncerny s centralizovanou agendou HR, ale i zákaznickými databázemi, si musejí s rozsudkem dělat starosti. A užívání běžných sociálních sítí jako je LinkedIn nebo Facebook personalisty je také na hraně, protože i tyto servery shromažďují a zpracovávají osobní údaje. V konečném důsledku se však rozsudek týká každé firmy, která nemá vlastní server na územi EU, například v cloudu to všechno může být považováno za porušení práva na ochranu osobních údajů,“ komentoval rozsudek.
Faceboook vyzval vlády zemí EU a USA, aby našly řešení a metody, které by zaručily, že se transfery osobních údajů uskutečňují legálně a s ohledem na národní bezpečnost.
Místopředseda EK Frans Timmermans řekl, že EU bude po dnešním rozhodnutí soudu více usilovat o vylepšení transferů osobních údajů do Spojených států. „Pracujeme s americkými úřady na tom, aby předávání dat bylo pro evropské občany bezpečnější. V duchu rozhodnutí budeme v této práci pokračovat s cílem mít nový a bezpečný rámec pro transfer osobních údajů přes Atlantik,“ sdělil Timmermans na společné tiskové konferenci s českou eurokomisařkou Věrou Jourovou v Bruselu.
Rakouský student Schrems svého času neuspěl u irských úřadů, na které se obrátil vzhledem k působení evropské centrály společnostiFacebook v Irsku. Irský úřad pro ochranu údajů Schremsovy stížnosti zamítl zejména s odvoláním na rozhodnutí Evropské komise z 26. července 2000. Komise tehdy konstatovala, že USA odpovídající úroveň ochrany předávaných osobních údajů zajišťují, a to v rámci režimu takzvaného „bezpečného přístavu“. Tento režim zavedl řadu zásad týkajících se ochrany osobních údajů, podle nichž americké firmy, u kterých tyto údaje nakonec „zakotví“, se dobrovolně zavazovaly k dodržování určitých standardů.
Irský vrchní soud, u něhož kauza Schrems-Facebook nakonec skončila, se obrátil na unijní soud, aby ve věci zaujal stanovisko. Evropský soudní dvůr dospěl k závěru, že Evropská komise posuzovala pouze režim „bezpečného přístavu“, místo aby konstatovala, zda USA na základě svých předpisů či mezinárodních závazků zajišťují ochranu práv na úrovni rovnocenné s ochranou poskytovanou v EU. Soud konstatoval, že režim „bezpečného přístavu“ platí jen pro ty americké společnosti, které se k němu připojí, ale že mu nepodléhají americké státní instituce. Navíc požadavky související s bezpečností státu, veřejným zájmem či s dodržováním amerických zákonů mají v USA přednost před režimem „bezpečného přístavu“.
Soud EU rovněž dospěl k závěru, že žádné ustanovení unijní směrnice nebrání vnitrostátním orgánům členských zemí EU v dohledu nad předáváním osobních údajů do třetích zemí. „Tedy i v případě, že existuje rozhodnutí Evropské komise, vnitrostátní orgány dozoru, k nimž je podána žádost, musí mít možnost nezávisle posoudit, zda předání osobních údajů dotyčné osoby do třetí země dodržuje požadavky stanovené směrnicí,“ uvedl unijní soud.
Na základě verdiktu z Lucemburku bude muset Irsko znovu posoudit Schremsovu stížnost a rozhodnout, zda je či není třeba zastavit předávání údajů o evropských uživatelích Facebooku do USA. Předávání by se mělo zastavit, pokud irský soud uzná, že USA neposkytují odpovídající úroveň ochrany osobních údajů.
Režim „bezpečného přístavu“ měl podle AP umožnit volný transfer informací od nejrůznějších společností z Evropské unie do Spojených států. Bez něj se výrazně ztíží rychlá a bezproblémová výměna údajů po internetu, domnívá se AP.
„Toto rozhodnutí je výraznou ranou pro celosvětový dohled ze strany USA, který se hodně spoléhá na soukromé partnery (jako Facebook). Rozsudek jasně říká, že americké podniky prostě nemohou pomáhat špionážnímu úsilí USA v rozporu se základními evropskými právy,“ řekl podle AP Schrems. Je přesvědčen, že rozhodnutí nebude mít vážný dopad na fungování komunikačních sítí.
Zajištění patřičné ochrany ze strany amerických soukromých společností se podle soudu EU má v unijních zemích posuzovat především na základě vnitrostátních předpisů a příslušné směrnice EU z roku 1995.