Předávání osobních údajů do USA

Soudní dvůr prohlašuje rozhodnutí 2016/1250 o odpovídající úrovni ochrany poskytované štítem EU–USA na ochranu soukromí za neplatné. Naproti tomu rozhodnutí Komise 2010/87 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích je platné.

Foto: Shutterstock

Obecné nařízení o ochraně osobních údajů[1] (GDPR) stanoví, že k předávání takových údajů do třetí země může dojít v zásadě jen tehdy, pokud dotyčná třetí země zajistí odpovídající úroveň ochrany těchto údajů. Podle uvedeného nařízení může Komise konstatovat, že určitá třetí země zajišťuje na základě svých vnitrostátních předpisů nebo mezinárodních závazků odpovídající úroveň ochrany[2] . Jestliže takové rozhodnutí o odpovídající ochraně neexistuje, mohou být osobní údaje předávány jen tehdy, pokud jejich vývozce usazený v Unii poskytl vhodné záruky, které mohou vyplývat zejména ze standardních doložek o ochraně osobních údajů přijatých Komisí, a za podmínky, že subjekty údajů mají k dispozici vymahatelná práva a účinnou právní ochranu[3] . GDPR dále přesně stanoví podmínky, za kterých mohou být údaje předávány v situaci, kdy neexistuje ani rozhodnutí o odpovídající ochraně, ani vhodné záruky[4] .

Maximillian Schrems, rakouský státní příslušník s bydlištěm v Rakousku, je od roku 2008 uživatelem sociální sítě Facebook. Osobní údaje M. Schremse jsou – stejně jako osobní údaje ostatních uživatelů, kteří mají bydliště na území Unie – zcela nebo zčásti přenášeny společností Facebook Ireland na servery ve vlastnictví společnosti Facebook Inc. umístěné na území Spojených států, kde jsou zpracovávány. Maximillian Schrems podal u irského dozorového úřadu stížnost, kterou se v zásadě domáhal zákazu těchto přenosů. Tvrdil, že právní předpisy a praxe ve Spojených státech neposkytují dostatečnou ochranu před přístupem orgánů veřejné moci k osobním údajům předávaným do této země. Tato stížnost byla zamítnuta, a to zejména proto, že Komise ve svém rozhodnutí 2000/520[5] (tzv. rozhodnutí o bezpečném přístavu) konstatovala, že Spojené státy zajišťují odpovídající úroveň ochrany. Rozsudkem ze dne 6. října 2015 Soudní dvůr na základě žádosti o rozhodnutí o předběžné otázce podané High Court (vrchní soud, Irsko) rozhodl, že toto rozhodnutí je neplatné (dále jen „rozsudek Schrems I“)[6].

Po vydání rozsudku Schrems I a poté, co irský soud zrušil rozhodnutí o zamítnutí stížnosti M. Schremse, irský dozorový úřad M. Schremse vyzval, aby s ohledem na to, že Soudní dvůr prohlásil rozhodnutí 2000/520 za neplatné, svou stížnost přeformuloval. Maximillian Schrems v přeformulované stížnosti setrval na tom, že Spojené státy neposkytují dostatečnou ochranu osobních údajů předávaných do této země. Žádal, aby irský dozorový úřad do budoucna dočasně nebo trvale zakázal předávání jeho osobních údajů z Unie do Spojených států, které společnost Facebook Ireland nově uskutečňovala na základě standardních doložek o ochraně uvedených v příloze rozhodnutí 2010/87[7]. Irský dozorový úřad dospěl k názoru, že vyřízení stížnosti M. Schremse závisí mimo jiné na platnosti rozhodnutí 2010/87, a tak podal k High Court (vrchní soud) návrh na to, aby Soudnímu dvoru předložil žádost o rozhodnutí o předběžné otázce. V době, kdy uvedené řízení již probíhalo, přijala Komise rozhodnutí 2016/1250 o odpovídající úrovni ochrany poskytované štítem EU–USA na ochranu soukromí[8] (tzv. rozhodnutí o štítu na ochranu soukromí).

Předkládající soud se prostřednictvím své žádosti o rozhodnutí o předběžné otázce Soudního dvora táže, zda se na předávání osobních údajů prováděné na základě standardních doložek o ochraně uvedených v rozhodnutí 2010/87 použije GDPR, jaká je úroveň ochrany vyžadovaná tímto nařízením při takovém předávání a jaké povinnosti mají v tomto kontextu dozorové úřady. High Court také vznáší otázku platnosti rozhodnutí 2010/87 a rozhodnutí 2016/1250.

Dnešním rozsudkem Soudní dvůr konstatuje, že přezkum rozhodnutí 2010/87 vzhledem k Listině základních práv neodhalil žádnou skutečnost, která by mohla mít dopad na jeho platnost. Rozhodnutí 2016/1250 naopak prohlašuje za neplatné.

Soudní dvůr má předně za to, že unijní právo, a zejména GDPR, se uplatní na předávání osobních údajů prováděné pro obchodní účely hospodářským subjektem usazeným v členském státě jinému hospodářskému subjektu usazenému ve třetí zemi i tehdy, když tyto údaje mohou být při tomto předávání nebo po něm zpracovány orgány dotyčné třetí země pro účely veřejné bezpečnosti, obrany a bezpečnosti státu. Upřesňuje, že takové zpracování údajů orgány třetí země nemůže toto předávání vyloučit z působnosti GDPR.

K úrovni ochrany vyžadované při takovém předávání Soudní dvůr rozhodl, že požadavky, které pro tyto účely stanoví GDPR a které souvisejí s vhodnými zárukami, vymahatelným právy a účinnou právní ochranou, musí být vykládány v tom smyslu, že na osoby, jejichž osobní údaje jsou předávány do třetí země na základě standardních doložek o ochraně osobních údajů, se musí vztahovat úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené v Unii tímto nařízením ve spojení s Listinou. V tomto kontextu upřesňuje, že při posuzování této úrovně ochrany je třeba vzít v úvahu jednak smluvní ujednání mezi vývozcem osobních údajů usazeným v Unii a příjemcem předávaných údajů usazeným v dotyčné třetí zemi a jednak – v souvislosti s případným přístupem orgánů veřejné moci této třetí země k takto předávaným osobním údajům – relevantní prvky právního řádu této země.

Co se týče povinností, které při takovém předávání mají dozorové úřady, Soudní dvůr rozhodl, že pokud neexistuje rozhodnutí o odpovídající ochraně platně přijaté Komisí, jsou tyto dozorové úřady zejména povinny dočasně nebo trvale zakázat předávání osobních údajů do třetí země, jestliže na základě všech okolností daného předávání dospějí k názoru, že standardní doložky o ochraně osobních údajů nejsou nebo nemohou být v této třetí zemi dodrženy a že ochrana předaných údajů vyžadovaná unijním právem nemůže být v případě, že předávání nepozastavil nebo neukončil sám vývozce osobních údajů usazený v Unii, zajištěna jinými prostředky.

Soudní dvůr se dále zabývá platností rozhodnutí 2010/87. Podle Soudního dvora nelze platnost tohoto rozhodnutí zpochybnit jen na základě skutečnosti, že v něm obsažené standardní doložky o ochraně osobních údajů nemohou v důsledku své smluvní povahy zavazovat orgány třetí země, do které mohou být osobní údaje předány. Tato platnost naproti tomu závisí podle Soudního dvora na tom, zda uvedené rozhodnutí obsahuje účinné mechanismy, které v praxi umožní zajistit dodržování úrovně ochrany vyžadované unijním právem a v případě, že by došlo k porušení takových doložek nebo k nemožnosti je dodržet, dočasně nebo trvale zakázat předávání osobních údajů na jejich základě. Soudní dvůr konstatuje, že rozhodnutí 2010/87 takové mechanismy zavádí. V této souvislosti vyzdvihuje především skutečnost, že toto rozhodnutí stanoví povinnost vývozce osobních údajů a příjemce předávaných údajů předem ověřit, že v dotyčné třetí zemi bude tato úroveň ochrany dodržena, a dále povinnost příjemce případně informovat vývozce osobních údajů, pokud nebude moci zajistit dodržování standardních doložek o ochraně, přičemž vývozce musí v takovém případě pozastavit předávání údajů nebo odstoupit od smlouvy s příjemcem.

Soudní dvůr konečně zkoumá platnost rozhodnutí 2016/1250 vzhledem k požadavkům vyplývajícím z GDPR ve spojení s ustanoveními Listiny, která zaručují právo na respektování soukromého a rodinného života, právo na ochranu osobních údajů a právo na účinnou soudní ochranu. V tomto ohledu poukazuje Soudní dvůr na to, že toto rozhodnutí – stejně jako rozhodnutí 2000/520 – zakotvuje přednost požadavků národní bezpečnosti, veřejného zájmu nebo prosazování zákonů Spojených států, čímž umožňuje zásahy do základních práv osob, jejichž osobní údaje jsou předávány do této třetí země. Soudní dvůr má za to, že omezení ochrany osobních údajů, která plynou z vnitrostátních právních předpisů Spojených států upravujících přístup k takovým údajům předávaným z Unie do této třetí země a jejich použití orgány veřejné moci USA a která Komise posuzovala v rozhodnutí 2016/1250, nejsou upravena takovým způsobem, aby odpovídala požadavkům, které jsou v zásadě rovnocenné požadavkům vyžadovaným v unijním právu zásadou proporcionality, protože sledovací programy prováděné na základě těchto předpisů se neomezují na to, co je nezbytně nutné. Soudní dvůr na základě zjištění uvedených v tomto rozhodnutí poukazuje na to, že v souvislosti s některými sledovacími programy nevyplývá ze zmíněných právních předpisů, že by existovala sebemenší omezení pro jimi stanovené zmocnění k provádění těchto programů nebo že by existovaly záruky pro osoby, které nejsou osobami USA a na které se tyto programy mohou vztahovat. Soudní dvůr dodává, že tyto předpisy sice stanoví požadavky, které při provádění dotčených sledovacích programů musí americké orgány respektovat, avšak subjektům údajů nepřiznávají práva vymahatelná vůči orgánům USA před soudy.

K požadavku soudní ochrany Soudní dvůr uvedl, že mechanismus ombudsmana zmíněný v rozhodnutí 2016/1250 těmto osobám neposkytuje – přestože Komise dospěla v uvedeném rozhodnutí k opačnému závěru – prostředek nápravy u orgánu, jenž by skýtal záruky, které jsou v zásadě rovnocenné zárukám vyžadovaným v unijním právu, tak aby byla zajištěna nezávislost úřadu ombudsmana zřízeného tímto mechanismem i existence norem přiznávajících ombudsmanovi pravomoc přijímat rozhodnutí, která budou pro americké zpravodajské služby závazná. Ze všech těchto důvodů Soudní dvůr rozhodl, že rozhodnutí 2016/1250 je neplatné.

Celý text judikátu si můžete přečíst zde.

Převzato z tiskové zprávy Soudního dvora Evropské unie č. 91/20.


[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Úř. věst. 2016, L 119, s. 1; oprava Úř. věst. 2018, L 127, s. 2).

[2] Článek 45 GDPR.

[3] Článek 46 odst. 1 a odst. 2 písm. c) GDPR.

[4] Článek 49 GDPR.

[5] Rozhodnutí Komise ze dne 26. července 2000 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající ochraně poskytované podle zásad „bezpečného přístavu“ a s tím souvisejících „často kladených otázek“ vydaných Ministerstvem obchodu Spojených států (Úř. věst. 2000, L 215, s. 7; Zvl. vyd. 16/01, s. 119)

[6] Rozsudek Soudního dvora ze dne 6. října 2015, Schrems, C-362/14 (viz rovněž tiskovou zprávu č. 117/15).

[7] Rozhodnutí Komise ze dne 5. února 2010 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle směrnice Evropského parlamentu a Rady 95/46/ES (Úř. věst. 2010, L 39, s. 100), ve znění prováděcího rozhodnutí Komise (EU) 2016/2297 ze dne 16. prosince 2016 (Úř. věst. 2016, L 344, s. 100).

[8] Prováděcí rozhodnutí Komise (EU) 2016/1250 ze dne 12. července 2016 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající úrovni ochrany poskytované štítem EU–USA na ochranu soukromí (Úř. věst. 2016, L 207, s. 1).

Hodnocení článku
0%
Pro hodnocení článku musíte být přihlášen/a

Diskuze k článku ()

Pro přidání komentáře musíte být přihlášen/a

Související články

Další články