EU-US Privacy Shield zrušen. Předávání osobních údajů do USA podle standardních smluvních doložek mohou úřady kdykoliv zakázat.

Spojené státy americké jsou pro země EU velmi významným obchodním partnerem a možnost vzájemného předávání osobních údajů je důležitou součástí globálního obchodu. Díky mechanismu EU-US Privacy Shield tak mohly společnosti v tomto systému zaregistrované bez větších problémů předávat osobní údaje Evropanů do USA. Mechanismus Privacy Shield byl vytvořen proto, aby případně umožnil osobám, jejichž osobní údaje jsou předávány do USA, získat informace, podávat stížnosti a obecně hájit svá práva, která jsou v EU garantovaná GDPR.

Soudní dvůr EU nicméně nyní rozhodl, že tento mechanismus neodpovídá požadavkům práva EU, jelikož dostatečně negarantuje práva zakotvená v Listině základních práv EU, zejména právo na respektování soukromého a rodinného života, ochranu osobních údajů a právo na účinnou soudní ochranu. Rozhodnutí Evropské komise, na základě kterého Privacy Shield existoval, proto soudní dvůr zrušil. Důvodem je zejména to, že bezpečností služby Spojených států provozují programy jako je PRISM a UPSTREAM, v rámci kterých dochází k plošnému sbírání dat obsažených v elektronické komunikaci (nikoliv pouze metadat, ale také samotného obsahu) osob, jež nejsou občany USA, přičemž americké společnosti mají povinnost tato data bezpečnostním službám zpřístupňovat. Privacy Shield měl poskytovat Evropanům určité záruky, že jejich práva garantována evropským právem jim budou zajištěna i v USA. Soudní dvůr však konstatoval, že práva evropských občanů jsou chráněna nedostatečně, jelikož zpracování osobních údajů (tj. sledování) v rámci programů PRISM a UPSTREAM je plošné a jde nad rámec nezbytného zásahu do soukromí jednotlivce, soudní ochrana práv, resp. přezkum zásahu do soukromí v rámci těchto programů je nedostatečný (tzv. FISA soud nepovoluje sledování jednotlivců, ale pouze na roční bázi přezkoumává program jako celek) a osoba ombudsmana pro ochranu soukromí, kterou Privacy Shield zřídil, nemůže být považována za soud ve smyslu evropského práva. Z těchto důvodů tedy soudní dvůr shledal, že evropským občanům nejsou v USA garantována jejich práva dostatečným způsobem, a proto USA nemohou být považovány za zemi poskytující adekvátní ochranu osobních údajů.

Zrušení Privacy Shieldu by samo o sobě neznamenalo nepřekonatelný problém. I pokud třetí země neposkytuje adekvátní ochranu, společnosti osobní údaje mohou předávat, nicméně musí pro předání použít dodatečné právní nástroje, kterými mají zajistit, že bude v zásadě garantován standard ochrany osobních údajů, jak jej požaduje právo EU. Jedním z nejpoužívanějších nástrojů jsou tzv. standardní smluvní doložky (SSD), kterými se zjednodušeně řečeno osoba zpracovávající údaje mimo EU zavazuje, že bude dodržovat evropská pravidla. Soudní dvůr v rámci komentované kauzy přezkoumával také SSD, přičemž zde dospěl ke zcela zásadním závěrům a významným způsobem upřesnil povinnosti správců a zpracovatelů osobních údajů, ale také roli národních dozorových úřadů.

Správce či zpracovatel předávající osobní údaje na základě SSD musí před samotným předáním vzít v potaz mj. relevantní prvky právního řádu země, do které jsou osobní údaje předávány. Těmito prvky jsou např. stav právního státu, dodržování lidských práv, právní předpisy týkající se ochrany osobních údajů, přístup státních orgánů k osobním údajům, atp. Osoba předávající osobní údaje z EU je přitom odpovědná za to, že jsou garantovány dostatečné záruky, vymahatelná práva a účinná právní ochrana, která poskytne rovnocennou míru ochrany osobním údajům jako v rámci EU. Dle názoru soudního dvora přitom situace, kdy právní předpisy země, kam mají osobní údaje být předány, umožňují orgánům státu zasahovat do práv subjektů údajů, efektivně znemožňují garanci uvedených záruk. V takovém případě je pak nezbytné, aby správce či zpracovatel, který osobní údaje předává, přijal další opatření nad rámec SSD. Soud však již nedává sebemenší návod, jaká opatření by v takovém případě byla způsobilá poskytnout příslušné záruky. Je potřeba mít na paměti že pokud právní řád dané třetí země ukládá např. povinnost zpřístupnit data orgánům státu, bude velmi obtížné poskytnout jako soukromá strana garanci, že se příslušné státní orgány k datům nedostanou. Do úvahy přichází např. některé druhy šifrování dat, kdy osoba zpracovávající data mimo EU disponuje pouze zašifrovanými daty ale nikoliv klíčem k jejich dešifrování. Žádné technické opatření však není stoprocentní a v každém případě je plně odpovědností správce či zpracovatele z EU a osoby, které se osobní údaje předávají, aby tyto garance zajistili. Nemohou-li je zajistit, pak osobní údaje předat nesmí. Je přitom rolí národních dozorových úřadů (u nás ÚOOÚ), aby takováto předávání osobních údajů do třetích zemí přezkoumával a tam, kde shledá, že garance poskytnuty nejsou, předávání zakázal. Správce či zpracovatel z EU je sám povinen velmi důsledně přezkoumávat právní i faktické podmínky nakládání s osobními údaji v dané třetí zemi, a to nejen na straně obchodního partnera, kterému údaje předává, ale také z hlediska možností orgánů státu včetně bezpečnostních složek. Dohled nad řádným plněním těchto povinností správců či zpracovatelů pak vykonávají národní dozorové úřady, které mohou dočasně nebo trvale předávání osobních údajů do příslušné třetí země zakázat.

Soudní dvůr v celé své argumentaci týkající se SSD nejmenuje žádnou konkrétní zemi. Nicméně rozsudek jako celek se týká předávání osobních údajů do USA. Na jedné straně soudní dvůr zrušením Privacy Shieldu jednoznačně říká, že USA neposkytují adekvátní míru ochrany osobních údajů a že zpracování osobních údajů v USA není v souladu s požadavky práva EU. Zejména díky možnosti bezpečnostních složek USA plošně a v zásadě bez efektivní soudní kontroly zpracovávat osobní údaje. Druhým dechem pak dodává, že pokud by správci či zpracovatelé dospěli k názoru na základě svého vlastního zkoumání, které jsou povinni provádět, že právní řád „některé třetí země“ neodpovídá požadavkům na ochranu osobních údajů garantovaných právem EU, pak musí kromě použití SSD přijmout buď dodatečná opatření zajišťující soulad s právem EU, nebo do takové země osobní údaje předat nesmí. Kdyby tak náhodou neučinili, národní dozorové úřady mají případně povinnost takové předání zakázat (o případných sankcích za předání osobních údajů v rozporu s GDPR nemluvě). Soudní dvůr tedy zdvihá varovný prst a říká: USA není bezpečná země z pohledu ochrany dat, buď podnikněte zvláštní bezpečnostní kroky, nebo přestaňte Američanům dávat údaje o evropských občanech! To může mít pro transatlantický obchod dalekosáhlé důsledky a pro firmy může být velmi nákladné, pokud budou muset vynaložit dodatečné investice na zpracovávání dat přímo v EU, anebo s EU vůbec neobchodovat.