TOPlist

Data občanů EU nejsou v USA v bezpečí před tajnými službami, rozhodl Soudní dvůr

sdeu pohled

Po včerejším rozhodnutí ve prospěch Applu utrpěla Evropská komise od Soudního dvora EU další porážku. SDEU v rámci předběžné otázky rozhodl, že dohoda zvaná Privacy Shield mezi USA a EU nezajišťuje dostatečnou ochranu uživatelských dat občanů EU. Resp. přesněji řečeno rozhodl, že neplatí předchozí rozhodnutí Komise, které toto tvrdilo.

Podle SDEU tato dohoda, kterou mimochodem pomáhala vyjednat i česká eurokomisařka Věra Jourová, není dostatečnou zárukou ochrany dat. A to z toho důvodu, že v USA fungují široké sledovací programy tajných služeb, kterým tamní společnosti musí ze zákona vyhovět. Uživatelé z EU navíc podle SDEU nemají vůči těmto zásahům efektivní způsob ochrany.

Začalo to Snowdenem

Kořeny sporu se datují již do roku 2013, kdy Edward Snowden odhalil masivní a plošné sledování uživatelských dat NSA. Tehdy se rozhodl rakouský aktivista Max Schrams podat v Irsku stížnost proti předávání dat irskou pobočkou Facebooku do USA. To ve výsledku vedlo ke zrušení tehdejšího režimu Safe Harbor, který umožňoval výměnu uživatelských dat mezi USA a EU.

soudni dvur eu SDEU sal 02
Velká jednací síň SDEU

Nahrazen byl právě Privacy Shieldem, který jak ovšem dnešní rozhodnutí ukázalo, také nezajišťuje dostatečnou ochranu dat. Uživatelská data z EU totiž mohou být do třetích zemí předávána jen tehdy, pokud tyto země zajišťují ochranu adekvátní standardům EU, zejména pak GDPR.

Rozhodnutí je tzv. rozhodnutím o předběžné otázce. Tu mohou soudy členských států podat k SDEU v případě, že řeší spor týkající se práva EU či platnosti aktů EU. Rozhodnutí o předběžné otázce je pak závazné pro všechny vnitrostátní soudy, které musí rozhodnout v souladu s ním.

Standardní smluvní doložky dále platí, jenže…

SDEU naopak nezrušil tzv. standardní smluvní doložky, což je další mechanismus pro předávání dat z EU do třetích zemí (tedy nejen do USA). V něm se jednoduše evropská pobočka a její zahraniční mateřská společnost smluvně dohodnou, že zajistí ochranu dat EU uživatelů i mimo EU. V tomto režimu tak teoreticky mohou společnosti nadále předávat data i do USA.

soudni dvur eu SDEU
Prostranství před hlavní budovou SDEU

Má to ale háček. SDEU sice standardní smluvní doložky nezrušil, nicméně zdůraznil, že národní regulátoři musejí dohlížet na to, že společnosti skutečně data v zahraničí adekvátně chrání. Pokud ne, musí regulátoři tento přenos zakázat. A to je v případě USA problém, společnosti se sice mohou smluvně zavázat, ovšem v praxi nemají možnost domácím tajným službám odepřít přístup. Ochranu tak lze považovat za nedostatečnou, jak ostatně SDEU konstatuje ve vztahu k Privacy Shieldu.

Dnešní rozhodnutí tak může mít dalekosáhlé důsledky pro americké firmy. Režim Privacy Shield používaný více než 5 000 společnostmi byl rovnou označen za nevyhovující. A starší princip smluvních doložek v případě patřičného vynucování zřejmě také nemůže pro americké firmy obstát.

Autor článku Tomáš Krompolc
Tomáš Krompolc
Fanoušek Androidu, Googlu a moderních technologií. Rád si poslechne tvrdší hudbu a mezi jeho nejoblíbenější seriály patří ty z produkce Netflixu. V současné době je spokojeným majitelem telefonu OnePlus 6.

Kapitoly článku