Po včerejším rozhodnutí ve prospěch Applu utrpěla Evropská komise od Soudního dvora EU další porážku. SDEU v rámci předběžné otázky rozhodl, že dohoda zvaná Privacy Shield mezi USA a EU nezajišťuje dostatečnou ochranu uživatelských dat občanů EU. Resp. přesněji řečeno rozhodl, že neplatí předchozí rozhodnutí Komise, které toto tvrdilo.
#ECJ: the Decision on the adequacy of the protection provided by the EU-US Data Protection Shield is invalidated, but @EU_Commission Decision on standard contractual clauses for the transfer of personal data to processors established in third countries is valid #Facebook #Schrems pic.twitter.com/BgxGAvuq3T
— EU Court of Justice (@EUCourtPress) July 16, 2020
Podle SDEU tato dohoda, kterou mimochodem pomáhala vyjednat i česká eurokomisařka Věra Jourová, není dostatečnou zárukou ochrany dat. A to z toho důvodu, že v USA fungují široké sledovací programy tajných služeb, kterým tamní společnosti musí ze zákona vyhovět. Uživatelé z EU navíc podle SDEU nemají vůči těmto zásahům efektivní způsob ochrany.
Začalo to Snowdenem
Kořeny sporu se datují již do roku 2013, kdy Edward Snowden odhalil masivní a plošné sledování uživatelských dat NSA. Tehdy se rozhodl rakouský aktivista Max Schrams podat v Irsku stížnost proti předávání dat irskou pobočkou Facebooku do USA. To ve výsledku vedlo ke zrušení tehdejšího režimu Safe Harbor, který umožňoval výměnu uživatelských dat mezi USA a EU.
Nahrazen byl právě Privacy Shieldem, který jak ovšem dnešní rozhodnutí ukázalo, také nezajišťuje dostatečnou ochranu dat. Uživatelská data z EU totiž mohou být do třetích zemí předávána jen tehdy, pokud tyto země zajišťují ochranu adekvátní standardům EU, zejména pak GDPR.
Rozhodnutí je tzv. rozhodnutím o předběžné otázce. Tu mohou soudy členských států podat k SDEU v případě, že řeší spor týkající se práva EU či platnosti aktů EU. Rozhodnutí o předběžné otázce je pak závazné pro všechny vnitrostátní soudy, které musí rozhodnout v souladu s ním.
Standardní smluvní doložky dále platí, jenže…
SDEU naopak nezrušil tzv. standardní smluvní doložky, což je další mechanismus pro předávání dat z EU do třetích zemí (tedy nejen do USA). V něm se jednoduše evropská pobočka a její zahraniční mateřská společnost smluvně dohodnou, že zajistí ochranu dat EU uživatelů i mimo EU. V tomto režimu tak teoreticky mohou společnosti nadále předávat data i do USA.
Má to ale háček. SDEU sice standardní smluvní doložky nezrušil, nicméně zdůraznil, že národní regulátoři musejí dohlížet na to, že společnosti skutečně data v zahraničí adekvátně chrání. Pokud ne, musí regulátoři tento přenos zakázat. A to je v případě USA problém, společnosti se sice mohou smluvně zavázat, ovšem v praxi nemají možnost domácím tajným službám odepřít přístup. Ochranu tak lze považovat za nedostatečnou, jak ostatně SDEU konstatuje ve vztahu k Privacy Shieldu.
Dnešní rozhodnutí tak může mít dalekosáhlé důsledky pro americké firmy. Režim Privacy Shield používaný více než 5 000 společnostmi byl rovnou označen za nevyhovující. A starší princip smluvních doložek v případě patřičného vynucování zřejmě také nemůže pro americké firmy obstát.