Předávání osobních údajů. Bez svolení, resp. skrze obchodní podmínky, které nikdo nečte? Facebook. Problematická irská pobočka. Archivace údajů, které jsme smazali. Evropská legislativa. Soudníme se s USA. Pohled České republiky. Důsledky pro české občany.
Pojďme na to!
Nic nerozbouřilo v nedávné době vody ochrany osobních údajů více, než výše zmíněný rozsudek ve věci C-362/14 (dále jen „rozsudek“, česká verze rozsudku).
- O čem Evropský soudní dvůr (dále jen „ESD“) rozhodoval?
- Co tento rozsudek přináší a mění?
- Je vůbec v současnosti možné předávat osobní údaje evropských občanů do USA?
- A bude, s trochou orwelovské nadsázky, „Velký bratr“ odrazen od našeho sledování?
Těmito a jinými otázkami se budeme zabývat v následujícím článku.
Jeden z nejsledovanějších soudních případů začal vlastně univerzitní student se svojí závěrečnou prací
Co předcházelo vydání rozsudku a z jakého skutkového stavu vycházel ESD?
V bodě 26 rozsudku je uvozen skutkový stav pohádkovým:
„Maximilian Schrems, rakouský státní příslušník s bydlištěm v Rakousku, je uživatelem sociální sítě Facebook od roku 2008.“
Co ale vypadá jako pohádka se rychle může změnit na noční můru.
O co vlastně v případu šlo? Pěkně popořádku…
Jako student se Maximillian Schrems rozhodl psát závěrečnou práci na univerzitě na téma Facebook a jeho porušování evropské legislativy v oblasti ochrany osobních údajů.
V návaznosti na své zjištění, požádal Facebook o zaslání všech osobních údajů, které o něm tato společnost nashromáždila.
K rukám se mu dostal dokument v pdf. obsahující 1200 stránek záznamů o všech činnostech, které na sociální síti prováděl (dokonce i těch, které z Facebooku smazal).
To bylo ale zatím pouze první překvapení.
Dalším problematickým zjištěním bylo, že osobní údaje evropských uživatelů Facebooku byly transferovány z irské dceřiné společnosti Facebooku na servery do USA.
Proto v roce 2011 zaslal Schrems několik stížností k irskému komisaři pro ochranu osobních údajů (Irish Office of the Data Protection Commissioner).
Komisař se těmito stížnostmi odmítl zabývat. Chronologií a znění stížností najdete zde.
Ptáte se proč?
V odůvodnění odkázal na rozhodnutí Komise 2000/520/ES (dále jen „rozhodnutí“). Toto rozhodnutí se zabývá předáváním osobních údajů občanů členských států Evropské unie do třetích zemí, konkrétně USA. Dle evropského práva (Směrnice Evropského parlamentu a Rady 95/46/ES, dále jen „směrnice“) mohou být údaje předávány do těch zemí, které „zabezpečují odpovídající úroveň ochrany soukromí“.
Co to znamená v praxi?
Splňuje Facebook zásady bezpečného přístavu, tzv. Safe Harbour?
Americká společnost nebo organizace (např. Facebook, Inc.), která spravuje osobní údaje evropských občanů, osvědčí Federal Trade Commission (obdoba ministerstva ochodu), že přijímá zásady vyplývající z tzv. bezpečného přístavu.
Bezpečný přístav neboli Safe Harbour, je pojem, kterým Komise ve svém rozhodnutí označuje program předávání osobních údajů z Evropské unie do USA.
Schrems zažaloval Facebook v červenci 2015
Schrems se tedy rozhodl zažalovat Facebook u soudu ve Vídni. 1. července 2015 informovali světová, ale i česká média o tom, že po třech měsících od podání hromadné žaloby proti Facebooku, Vídeňský soud konstatoval, že v daném případě nemá pravomoc.
K této hromadné žalobě se přidalo 25 000 lidí z celé Evropské unie, mezi nimi i několik stovek českých občanů. Schrems se rozhodl odvolat k odvolacímu soudu (Oberlandesgericht Wien).
A jak rozhodl Evropský soudní dvůr?
V souvislosti se zamítnutými žádostmi Irským komisařem, podal Schrems žalobu proti rozhodnutí tohoto orgánu (judicial review) u High Court of Ireland. Ten, v rámci své rozhodovací činnosti, položil ESD dvě předběžné otázky, které se týkaly výkladu čl. 25 odst. 6 a článku 28 směrnice.
Zjednodušeně řečeno, tyto předběžné otázky směřovaly k tomu, jestli Irský komisař mohl odmítnout přešetřit stížnost podanou Schremsem s argumentem, že Facebook Ireland Ltd. předává osobní údaje do USA podle zásad bezpečného přístavu a jestli měl provést vlastní šetření v této věci.
Jaké jsou argumenty a kdo má vlastně pravdu?
Nejsilnějším argumentem Schremse bylo, že:
„jakmile jsou osobní údaje předány do Spojených států, NSA a další federální orgány, jako např. Federal Bureau of Investigation (FBI), mohou získat přístup k těmto údajům v rámci jimi prováděného rozsáhlého a nediferencovaného sledování a zachycování.“
Mimo jiné toto vyjádření reaguje na aféru Edwarda Snowdena z roku 2013.
Podpoří aféra Edwarda Snowdena 2013 Schremsové argumenty?
Snowden zveřejnil informace, mezi kterými byli i informace o uživatelích internetu. Ty sbírala americká NSA a využívala je ke sledování těchto uživatelů. NSA získávala informace také od soukromých společností, jako např. Facebook. Nicméně, procesní postupy získávání osobních dat státními orgány USA jsou v rozporu s evropskou ochranou osobních dat.
Jak se konečně vyjádřil Evropský soudní dvůr?
ESD ve svém rozsudku vyjádřil, že vnitrostátní orgány dozoru nad ochranou osobních údajů mají pravomoc provádět šetření v oblasti ochrany osobních údajů a také mají pravomoc účinně zasáhnout.
ESD dovodil, že tyto pravomoci se vztahují i na „předávání osobních údajů z členského státu do třetí země, protože toto předání představuje zpracování osobních údajů“ ve smyslu směrnice.
Co to tedy znamená?
Z toho vyplývá, že Irský komisař má pravomoc posoudit Schremsovu stížnost s náležitou péčí a následně rozhodnout, jestli by předávání dat evropských uživatelů Facebooku do USA mělo být zastaveno na základě směrnice, tedy proto, že USA neposkytují adekvátní stupeň ochrany osobních údajů.
Stejné se vztahuje na orgány ochrany osobních údajů všech členských států Evropské unie, tedy i český Úřad pro ochranu osobních údajů (dále jen „ÚOOÚ“).
ESD dovodil, že rozhodnutí Komise 2000/520/ES je neplatné
ESD šel ale ještě dál a konstatoval, že přijetím rozhodnutí Komise překročila pravomoc, a toto rozhodnutí (tedy rozhodnutí Komise 2000/520/ES) je proto neplatné.
Dopady rozsudku ESD
ESD potvrdil, že i když existuje rozhodnutí Komise, které se zabývá předáváním osobních údajů do USA, národní dozorčí orgány musí mít možnost nezávisle prověřovat, jestli předání osobních dat do třetích zemí je v souladu se směrnicí nebo nikoliv.
Bylo by ostatně nelogické a šlo by proti smyslu dané směrnice, kdyby platil opak. Tento národní orgán ale nemůže sám zrušit rozhodnutí Komise (jak ostatně soudní dvůr judikoval už ve věci 314/85, Foto-frost, které zmiňuje i ve svém rozsudku). Tuto pravomoc má pouze ESD (tisková zpráva k rozsudku, číslo 117/15).
Předávání osobních údajů občanů z EU do USA není již možné na základ programu Safe Harbour
Protože ESD zrušil rozhodnutí Komise, znamená to, že není možné dále předávat osobní údaje evropských občanů do USA na základě programu Safe Harbour.
Jak tuto novou situaci řešit? Co doporučuje ÚOOÚ
ÚOOÚ ve svém doporučení radí správcům/vývozcům údajů do USA, využít standardní smluvní doložky nebo, pokud jste velká nadnárodní společnost, závazná podniková pravidla.
Dle vyjádření ÚOOÚ jsou tyto dva postupy v podstatě jedinou legální cestou jak údaje do USA předat. Zároveň ale upozorňuje, aby si správci/vývozci důkladně prověřili, zda je vývozce údajů do USA schopen dodržet závazky plynoucí ze standardní smluvní doložky. Odpovědný za zajištění bezpečnosti údajů je totiž sám správce osobních údajů.
Standardní smluvní doložky a závazná podniková pravidla
Standardní smluvní doložky i závazná podniková pravidla podléhají § 27 zákona č. 101/2000, o ochraně osobních údajů a o změně některých zákonů.
Standardní smluvní doložky, jak už název sám napovídá, jsou standardizované/vzorové texty smluv, uzavírané mezi správcem osobních údajů a příjemcem osobních údajů sídlícím ve třetí zemi. Tyto standardizované texty jsou obsaženy v rozhodnutích Evropské komise.
Pokud je tedy poskytovatel využije, nemusí už žádat ÚOOÚ o povolení k předání, protože údaje budou poskytnuty právě na základě rozhodnutí orgánu Evropské Unie. Více o smluvních doložkách naleznete na stránkách ÚOOÚ zde.
Závazná podniková pravidla naopak podléhají povolení dozorového úřadu. Můžeme si představit třeba mateřskou společnost, která má své dceřiné společnosti ve třetích zemích (např. USA). V rámci této skupiny budou specifickou schvalovací procedurou schváleny vnitropodniková pravidla pro zpracovávání a ochranu osobních údajů, které budou naplňovat evropský standard ochrany osobních údajů a budou závazné i pro tyto dceřiné společnosti.Detailnější informace najdete na ÚOOÚ zde.
WP29 vyzývá EU aby začala dialog s USA
K rozsudku se vyjádřila WP 29 (The Article 29 Data Protection Working Party), která byla zřízena na základě směrnice. WP 29 v tomto vyjádření zdůraznila, že je klíčové, aby dozorčí orgány všech členských států, které chrání osobní údaje, měly společný postoj k implementaci rozsudku.
WP 29 vyzývá členské státy a evropské instituce k započetí dialogu s USA ohledně nalezení politického, a hlavně eurokomformního řešení dané situace.
Jako možné řešení navrhuje započetí nových vyjednávání s USA ohledně Safe Harbour.
WP29 hovoří o možné donucovací akci
Zároveň konstatuje, že pokud se do konce ledna 2016 situace nevyřeší, jsou orgány členských států dozorující ochranu osobních údajů oprávněny vést koordinovanou donucovací akci. O jakou akci se bude jednat, dané vyjádření ale nespecifikuje.
Co WP 29 zdůrazňuje a je důležité i pro současnou praxi je, že transfer osobních údajů z Evropy do USA už nemůže být založen na rozhodnutí Komise a tento transfer dat je považován za nelegální. V závěru dodává, že jednotlivé úřady členských států budou na národní úrovni informovat o těchto změnách.
Po zodpovězení předběžné otázky, může High Court of Ireland v dané věci rozhodnout. Tak se stalo 20. října 2015, kdy zprávu o rozsudku přinesl například IrishTimes.
Soudce Gerard Hogan rozhodnutí Irského komisaře zrušil a rozhodl, že komisař musí stížnost prověřit s náležitou péčí. Toto rozhodnutí uvítal i samotný komisař.
Výsledek soudního sporu před ESD trefně okomentoval sám Max Schrems:
„Je pozitivní vidět, že jsme nakonec tento případ vyhráli. Je ale třeba držet na paměti, že tento přes dva roky trvající boj, který rozhodl až ESD, sloužil jen k tomu, aby Irský komisař zahájil vyšetřování.“
Trochu polemiky na závěr
Výše zmíněná „kauza Snowden“ má ale dalekosáhlejší důsledek, než se může na první pohled zdát. Americké společnosti, které zpracovávají osobní data (jako Apple, Microsoft nebo Google) se v důsledku této kauzy dlouhodobě potýkají s nedůvěrou evropských občanů.
Tímto nic nekončí, další případ už je u amerického soudu
Další kontroverzní případ momentálně řeší soudy v USA. Jedná se o příkaz soudu, na základě kterého měl Microsoft poskytnout e-mailovou komunikaci jeho uživatele americkým vyšetřovatelům. Data jsou ale uloženy na serverech v Irsku.
Dle vyjádření newyorského soudu je ale důležitější, kdo má nad daty kontrolu (americká centrála Microsoftu) než jejich fyzické umístění (irské servery).
Microsoft bude pravomocnému rozsudku vzdorovat (i za podpory společností jako Apple nebo Verizon) a e-mailovou komunikaci americkým vyšetřovatelům neposkytne. Toto rozhodnutí zdůvodnil tím, že žádný federální orgán nemá právo na data, které jsou uloženy mimo USA, a kdyby měl, bylo by to porušení irské státní suverenity.
Microsoft se sice odvolal, je ale otázkou, zda nešlo v tomto pravděpodobně předem prohraném boji spíše o získání mediálního prostoru.
Bude prolomen rozsudek ESD ve věci Schrems?
Každopádně, kdyby odvolací soud rozhodl, že Microsoft tyto data vydat musí (co pravděpodobně rozhodne, k tomuto názoru se přiklání i vedoucí Ústavu práva a technologií Právnické fakulty Masarykovi univerzity, doc. JUDr. Radim Polčák, Ph.D ve vyjádření pro Českou televizi) bude minimálně otázkou, zda tím nebude prolomen rozsudek ESD ve věci Schrems.
Ten měl právě zabránit tomu, aby americké veřejné orgány měly volný přístup k datům evropských občanů, a aby je bylo možno sbírat od soukromých společnosti (jako např. Facebook).
Kdyby pak na základě rozhodnutí amerických soudů musely soukromé společnosti tyto data poskytnout americkým vyšetřovacím úřadům, nebylo by to v rozporu s tímto rozsudkem? Nejednalo by se o obcházení evropského práva? Na tyto otázky se nám od ÚOOÚ nepodařilo získat odpovědi, a proto budeme vyvíjející se situaci nadále sledovat.