Rakouský absolvent práv Maximilian Schrems je uživatelem sociální sítě Facebook. Schrems je současně veřejným kritikem Zásad používání dat společnosti Facebook. Už v roce 2011 se dostal do hledáčku médií, když v rámci uskupení „Europe-versus-Facebook“ podal proti Facebooku u irského úřadu na ochranu údajů sérii 22 stížností.[2] V návaznosti na aféru bývalého zaměstnance amerických tajných služeb Edwarda Snowdena se Schrems v červnu 2013 znovu obrátil na irský úřad s další stížností proti Facebooku.[3] Ta se v rámci soudního přezkumu rozhodnutí irského úřadu dostala až k Soudnímu dvoru Evropské unie.

Edward Snowden v květnu 2013 vynesl informace o programu PRISM americké Národní bezpečnostní agentury (NSA). Podle informací, které v červnu 2013 zveřejnil deník The Guardian, měla NSA přímý přístup k serverům některých amerických poskytovatelů internetových služeb včetně Facebooku. Ze strany NSA tak mohlo docházet mimo jiné k procházení historie vyhledání, obsahu e-mailové korespondence, přeposílaných dokumentů a chatů. Pro sledování komunikace NSA nepotřebovala svolení soudu.[4]

Schrems s odvoláním na informace o programu PRISM uvedl, že Facebook zpřístupňuje data svých uživatelů NSA, a to včetně osobních údajů evropských uživatelů Facebooku. Ty Facebook získává od své irské dceřiné společnosti a následně je uchovává na serverech v USA. Takový postup Schrems napadl s tím, že Spojené státy nezajišťují dostatečnou úroveň ochrany údajů.

Irský úřad jeho stížnost zamítl s odvoláním na rozhodnutí Komise týkající se tzv. programu Safe Harbor (bezpečný přístav). Na základě uvedeného rozhodnutí Komise je možné z Evropské unie volně předávat osobní údaje do Spojených států těm společnostem, které jsou v USA vedeny na seznamu „Safe Harbor List“ (tak jako právě Facebook). Irský úřad má za to, že mu vzhledem k existenci rozhodnutí Komise nepřísluší přezkoumávat, zda jsou ve Spojených státech poskytovány dostatečné záruky pro ochranu osobních údajů.   

V rámci soudního přezkumu Schremsovy stížnosti se irský Vrchní soud obrátil na Soudní dvůr Evropské unie s předběžnou otázkou, zda je úřad na ochranu údajů při posuzování stížnosti, podle které v USA údajně není zajištěna odpovídající ochrana pro subjekty údajů, absolutně vázán předmětným rozhodnutím Komise o programu Safe Harbor, nebo zda může či musí provést s ohledem na vývoj situace vlastní šetření.[5]

Ve středu 23. září 2015 zveřejnil generální advokát Yves Bot své dlouho očekávané a v některých aspektech kontroverzní stanovisko.[6]  Poznamenáváme, že ačkoliv stanoviska generálního advokáta mají jen poradní význam, Soudní dvůr je ve většině případů následuje (odvážnější odhady hovoří dokonce až o 85% případů), a proto mají svou právní relevanci.

Podle stanoviska generálního advokáta Bota pak existence rozhodnutí Komise o programu Safe Harbor nemůže vyloučit ani omezit pravomoc národních úřadů dozoru dohlížet na dodržování právních předpisů na ochranu osobních údajů. Pokud národní úřad dojde na základě šetření k závěru, že napadené předávání rozmělňuje ochranu, která má být poskytována údajům občanů Evropské unie, je oprávněn předávání pozastavit bez ohledu na obecné posouzení Komise obsažené v jejím rozhodnutí týkajícím se programu Safe Harbor.[7] Podle závěru generálního advokáta nelze připustit, aby občané EU byli při zpracování svých osobních údajů méně chráněni, pokud dojde k předání jejich údajů do třetí země.

Generální advokát se následně, nad rámec položené předběžné otázky, zabýval tím, zda lze s ohledem na nové skutečnosti nastalé po přijetí předmětného rozhodnutí Komise vůbec považovat toto rozhodnutí za platné. Dospěl k závěru, že nikoliv, a to s ohledem na (i) možnost, že k osobním údajům předaným do USA mohou mít přístup bezpečností agentury Spojených států včetně NSA v rámci masového a neadresného sledování, a (ii) skutečnost, že občané EU nepožívají v USA soudní ochrany proti takovému sledování a zadržování svých údajů. Vzhledem k absenci dostatečné právní ochrany údajů v USA považuje generální advokát rozhodnutí Komise týkající se programu Safe Harbor za neplatné.    

Pokud Soudní dvůr toto úterý přisvědčí argumentaci generálního advokáta a deklaruje oprávnění národních úřadů na ochranu osobních údajů přezkoumávat a pozastavovat předávání osobních údajů do USA, nebo dokonce prohlásí rozhodnutí Komise týkající se programu Safe Harbor za neplatné, přinese to značné komplikace společnostem, které se při předávání osobních údajů svých zaměstnanců nebo zákazníků mateřským společnostem do USA na institut Safe Harbor spoléhají. Dotčeni by také mohli být uživatelé sociálních sítí a cloudových či e-mailových služeb, jejichž poskytovatelé mají v USA umístěny své servery. Závěrem zmiňujeme, že Schrems podal v souvislosti s programem PRISM stížnosti také proti Applu,[8] Skypu,[9] Microsoftu[10] a Yahoo! Deutschland[11].



Mgr. Matyáš Kužela,
advokát


Mgr. Eva Bajáková,
advokátní koncipientka


ŘANDA HAVEL LEGAL advokátní kancelář s.r.o.

Truhlářská 13-15
110 00  Praha 1

Tel.:       +420 222 537 500 – 501
Fax:        +420 222 537 510
e-mail:    office.prague@randalegal.com

______________________________________________
[1] Rozhodnutí Komise 2000/520/ES ze dne 26. července 2000 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající ochraně poskytované podle zásad „bezpečného přístavu“ a s tím souvisejících „často kladených otázek“ vydaných Ministerstvem obchodu Spojených států amerických.
[2] Přehled stížností viz - dostupné na www, k dispozici >>> zde.
[3] Stížnost ze dne 25. června 2013 proti Facebooku, dostupná na www, k dispozici >>> zde.
[4] Viz - dostupné na www, k dispozici >>> zde.
[5] Žádost o rozhodnutí o předběžné otázce podaná High Court of Ireland (Irsko) dne 25. července 2014 – Maximilian Schrems v. Data Protection Commissioner, věc C-362/14.
[6] Opinion of Advocate General Bot delivered on 23 September 2015, Case C-362/14, Maximillian Schrems v Data Protection Commissioner.
[7] Tím se generální advokát dostal do názorové opozice vůči Komisi. Podle Komise národním orgánům náleží toliko aplikace legislativy v konkrétních případech. V případě, kdy Schrems předložil ve své stížnosti obecná tvrzení, ze kterých neplyne, že by pro něj předávání údajů mezi irskou dcerou a americkým Facebookem představovalo konkrétní bezprostřední riziko značné újmy, jedná se o obecný přezkum rozhodnutí o Safe Harbor, který náleží Komisi. Pokud by národní úřady na ochranu osobních údajů samy přistoupily k přezkumu, zasáhly by tak do pravomocí Komise.
[8] Stížnost ze dne 25. června 2013 proti Applu, dostupné na www, k dispozici >>> zde. 
[9] Stížnost ze dne 25. června 2013 proti Skypu, dostupné na www, k dispozici >>> zde.  
[10] Stížnost ze dne 25. června 2013 proti Microsoftu, dostupné na www, k dispozici >>> zde.
[11] Stížnost ze dne 25. června 2013 proti Yahoo! Deutschland, dostupné na www, k dispozici >>> zde. 


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz