Směrnice o zpracování osobních údajů[1] stanoví, že k předávání takových údajů do třetí země může v zásadě dojít pouze tehdy, když dotyčná třetí země zajišťuje odpovídající úroveň ochrany těchto údajů. Uvedená směrnice též stanoví, že Komise může konstatovat, že třetí země zajišťuje odpovídající úroveň ochrany na základě svých vnitrostátních předpisů nebo svých mezinárodních závazků. Směrnice konečně stanoví, že každý členský stát pověří jeden nebo několik orgánů veřejné moci na svém území dohledem nad dodržováním předpisů přijatých členskými státy na základě této směrnice („vnitrostátní orgány dozoru“).

Maximilian Schrems, rakouský státní příslušník, užívá Facebook od roku 2008. Stejně jako v případě jiných uživatelů s bydlištěm v Unii jsou i údaje poskytnuté M. Schremsem Facebooku v plném rozsahu či částečně přenášeny z irské dceřiné společnosti Facebooku na servery umístěné na území Spojených států, kde jsou zpracovávány. Maximilian Schrems podal stížnost k irskému orgánu dozoru, neboť měl za to, že vzhledem ke zjištěním učiněným Edwardem Snowdenem v roce 2013 týkajícím se činností zpravodajských služeb Spojených států (konkrétně National Security Agency, nebo „NSA“) není v právu ani v praxi Spojených států poskytována dostatečná ochrana před sledováním ze strany orgánů veřejné moci ve vztahu k údajům předávaným do této země. Irský orgán stížnost zamítl zejména s odůvodněním, že Komise v rozhodnutí ze dne 26. července 2000[2] shledala, že v rámci režimu tzv. „bezpečného přístavu“[3] zajišťují Spojené státy odpovídající úroveň ochrany předávaných osobních údajů. 

High Court of Ireland (irský vrchní soud), kterému byla tato věc předložena, si přeje zjistit, zda účinkem tohoto rozhodnutí Komise je zabránit tomu, aby vnitrostátní orgán dozoru prošetřil stížnost, v níž se tvrdí, že třetí země nezajištuje odpovídající úroveň ochrany, a případně zastavit předmětné předávání údajů.

Soudní dvůr v rozsudku z dnešního dne shledal, že existence rozhodnutí Komise, v němž se konstatuje, že třetí země zajišťuje odpovídající úroveň ochrany předávaných osobních údajů, nemůže popřít ani omezit pravomoci, jimiž jsou nadány vnitrostátní orgány dozoru podle Listiny základních práv Evropské unie a podle směrnice. Soudní dvůr v tomto ohledu poukazuje na právo na ochranu osobních údajů zaručené Listinou, jakož i na úlohu svěřenou vnitrostátním orgánům dozoru podle této Listiny.

Soudní dvůr má předně za to, že žádné ustanovení směrnice nebrání vnitrostátním orgánům v dohledu nad předáváním osobních údajů do třetích zemí, na které se vztahuje rozhodnutí Komise. Tedy i v případě rozhodnutí Komise musí mít vnitrostátní orgány dozoru, k nimž je podána žádost, možnost zcela nezávisle posoudit, zda předání osobních údajů dotyčné osoby do třetí země dodržuje požadavky stanovené směrnicí. Soudní dvůr však připomíná, že pouze on má pravomoc rozhodnout o neplatnosti takového unijního aktu, jako je rozhodnutí Komise. Má-li tedy vnitrostátní orgán nebo osoba, která se na tento orgán obrátila, za to, že rozhodnutí Komise je neplatné, musí mít tento orgán nebo tato osoba možnost obrátit se na vnitrostátní soudy, aby ty mohly v případě, že též mají pochybnosti o platnosti rozhodnutí Komise, předložit věc Soudnímu dvoru. Rozhodnout o tom, zda rozhodnutí Komise je platné, či nikoli, přísluší tedy nakonec Soudnímu dvoru.

Soudní dvůr poté přezkoumal platnost rozhodnutí Komise ze dne 26. července 2000. V této souvislosti Soudní dvůr připomněl, že Komise byla povinna konstatovat, že Spojené státy skutečně zajištují na základě svých vnitrostátních předpisů nebo svých mezinárodních závazků takovou úroveň ochrany základních práv, jaká je v zásadě rovnocenná ochraně zaručené v rámci Unie na základě směrnice, vykládané ve světle Listiny. Soudní dvůr uvedl, že Komise takové zjištění neučinila, ale omezila se na posouzení režimu „bezpečného přístavu“.

Soudní dvůr nemusí ověřit, zda uvedený režim zajišťuje úroveň ochrany v zásadě rovnocennou úrovni zajištěné v rámci Unie, avšak poukazuje na to, že tento režim platí pouze pro americké společnosti, které se k němu připojí, aniž mu podléhají i veřejné orgány Spojených států. Kromě toho požadavky související s bezpečností státu, veřejným zájmem a s dodržováním právních předpisů Spojených států převládají nad režimem „bezpečného přístavu“, takže americké společnosti jsou povinny bez jakéhokoli omezení neuplatnit pravidla pro ochranu stanovená v tomto režimu, pokud jsou v rozporu s uvedenými požadavky. Americký režim „bezpečného přístavu“ tak umožňuje zásahy do základních práv osob ze strany amerických orgánů veřejné moci, přičemž rozhodnutí Komise nezmiňuje, že by ve Spojených státech existovala pravidla určená k omezení těchto případných zásahů, ani že by existovala účinná právní ochrana proti těmto zásahům.

Soudní dvůr má za to, že tento rozbor režimu je podpořen dvěma sděleními Komise[4], z nichž zejména vyplývá, že orgány Spojených států mohly mít přístup k osobním údajům předaným z členských států do této země a mohly tyto údaje zpracovat způsobem, který není v souladu zejména s cíli jejich předání a překračuje meze toho, co je nezbytně nutné a přiměřené pro ochranu bezpečnosti státu. Stejně tak Komise konstatovala, že subjekty údajů nemají k dispozici žádné správní nebo soudní procesní prostředky, jež by umožňovaly zejména získat přístup k údajům, které se jich týkají, a případně dosáhnout jejich opravy nebo výmazu. 

Pokud jde o úroveň ochrany v zásadě rovnocennou základním právům a svobodám zaručeným v rámci Unie, Soudní dvůr shledal, že v unijním právu se právní úprava neomezuje na naprosto nezbytné, pokud globálně dovoluje uchovávání všech osobních údajů všech osob, jejichž osobní údaje byly předány z Unie do Spojených států, bez jakéhokoli rozlišení, omezení nebo výjimky činěných v závislosti na sledovaném cíli a bez stanovení objektivních kritérií umožňujících vymezit přístup veřejných orgánů k údajům a jejich následné využití. Soudní dvůr dodal, že právní úprava, která veřejným orgánům umožňuje globální přístup k obsahu elektronických komunikací, musí být považována za zasahující do podstaty základního práva na respektování soukromého života. 

Soudní dvůr stejně tak uvedl, že právní úprava, která nestanoví procesním subjektům žádnou možnost využít právních prostředků s cílem získat přístup k osobním údajům, které se jich týkají, nebo dosáhnout opravy či výmazu těchto údajů, nerespektuje podstatu základního práva na účinnou právní ochranu, přičemž takováto možnost je inherentní existenci právního státu.

Soudní dvůr konečně konstatoval, že rozhodnutí Komise ze dne 26. července 2000 upírá vnitrostátním orgánům dozoru jejich pravomoci v případě, že dotyčná osoba zpochybňuje slučitelnost rozhodnutí s ochranou soukromí a základních práv a svobod osob. Soudní dvůr má za to, že Komise neměla pravomoc takto omezit pravomoci vnitrostátních orgánů dozoru.

Ze všech těchto důvodů prohlásil Soudní dvůr rozhodnutí Komise ze dne 26. července 2000 za neplatné. Irský orgán dozoru je v důsledku tohoto rozsudku povinen posoudit stížnost M. Schremse s veškerou náležitou péčí a po provedení šetření musí rozhodnout, zda je podle směrnice třeba zastavit předávání údajů o evropských uživatelích Facebooku do Spojených států z důvodu, že tato země neposkytuje odpovídající úroveň ochrany osobních údajů. 

________________________________
[1] Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. L 281, s. 31; Zvl. vyd. 13/15, s. 355).
[2] Rozhodnutí Komise 2000/520/ES ze dne 26. července 2000 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající ochraně poskytované podle zásad „bezpečného přístavu“ a s tím souvisejících „často kladených otázek“ vydaných Ministerstvem obchodu Spojených států (Úř. věst. 2000, L 215, s. 7; Zvl. vyd. 16/01, s. 119).
[3] Režim „bezpečného přístavu" zahrnuje řadu zásad týkajících se ochrany osobních údajů, k nimž mohou americké podniky dobrovolně přistoupit. 
[4] Sdělení Komise Evropskému parlamentu a Radě, nadepsané „Obnovení důvěry v toky údajů mezi EU a USA“ [COM(2013) 846 final, ze dne 27. listopadu 2013] a sdělení Komise Evropskému parlamentu a Radě o fungování „bezpečného přístavu“ z pohledu občanů EU a společností usazených v EU [COM(2013) 847 final, ze dne 27. listopadu 2013].

Zdroj:
Soudní dvůr Evropské unie
TISKOVÁ ZPRÁVA č. 117/15,6. října 2015
Rozsudek ve věci C-362/14 Maximillian Schrems v. Data Protection Commissioner
Neoficiální dokument pro potřeby sdělovacích prostředků, který nezavazuje Soudní dvůr.
Úplné znění rozsudku se zveřejňuje na internetové stránce CURIA v den vyhlášení.

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz