Ochrana osobních údajů ve světle recentní judikatury ESD

Zřejmě málokomu, kdo sleduje judikaturu v oblasti ochrany osobních údajů, unikl nedávný rozsudek ESD ve věci C-362/14 Schrems, kterým Soud mimo jiné zrušil rozhodnutí Evropské Komise 2000/520 známé jako "Safe Harbor". Rozsudek sám o sobě je velmi zajímavý, ale ještě zajímavější je v perspektivě judikatury Soudu z posledních měsíců a let.

Právnická fakulta UK v Praze

Z tohoto pohledu se totiž zdá, že ESD se staví do pozice vcelku spolehlivého ochránce základních práv a svobod alespoň v oblasti ochrany soukromí a osobních údajů evropských občanů, a to i tváří v tvář mezinárodním gigantům jako je Google a Facebook.

Podvozkem pro rozsudek ve věci Schrems byla předběžná otázka od irského Vrchního soudu, který řešil stížnost mladého rakouského právníka a bojovníka za ochranu osobních údajů na internetu Maxmilliana Schremse proti rozhodnutí irského Komisaře pro ochranu osobních údajů (obdoba českého ÚOOÚ).

Každý evropský uživatel Facebooku musí při registraci v této sociální síti uzavřít smlouvu se společností Facebook Ireland, která je dceřinou společností společnosti Facebook Inc., inkorporované v USA. Osobní údaje evropských uživatelů jsou pak zcela nebo zčásti přenášeny na servery náležející společnosti Facebook Inc., umístěné na území USA, kde jsou dále zpracovávány. Pan Schrems se mimo jiné na základě odhalení učiněných Edwardem Snowdenem domáhal u irského Komisaře, aby zakázal irské dceřiné společnosti právě tento přenos jeho osobních údajů do Spojených států. Jeho tvrzením bylo, že americká legislativa a administrativní praxe nezajišťují dostatečnou ochranu osobních údajů na území USA před sledováním orgány veřejné moci tohoto státu. Komisař se s tvrzeními pana Schremse neztotožnil, naopak odkázal na rozhodnutí Evropské komise č. 2000/520 konstatující adekvátní úroveň ochrany osobních údajů v USA, kteréžto bylo vydáno Komisí na základě zmocnění v čl. 25 odst. 6 směrnice č. 95/46. Maxmillian Schrems se proti tomuto rozhodnutí bránil správní žalobou, kterou v zásadě zpochybňoval legalitu zmíněného rozhodnutí Komise a materiál pro předběžnou otázku byl na světě.

Jsou národní orgány bez dalšího vázány rozhodnutím Komise?

Pro posouzení skutečného jednání amerických úřadů není z podstaty věci mnoho důkazního materiálu a veskrze se jedná spíše o mediální výstupy. Irský Vrchní soud se nicméně nebál v předběžné otázce zhodnotit postup NSA (Národní bezpečnostní agentura) a dalších amerických orgánu jako dopuštění se "značných přešlapů", spočívajících zejména v absenci práva unijních občanů být vyslechnuti, dále v tom, že dohled nad činností amerických zpravodajských služeb je prováděn v rámci tajného a nekontradiktorního řízení a také ve faktu, že sledování je prováděno nediferencovaně a v obrovském rozsahu. To je podle názoru irského Vrchního soudu ve zjevném rozporu se zásadou proporcionality a se základními hodnotami chráněnými irskou ústavou. Nicméně irský soud si byl vědom, že se jedná o situaci, na kterou dopadá právo EU, konkrétně zmíněná směrnice 95/46 resp. rozhodnutí Komise 2000/520, a tedy je třeba hledět nejen na soulad s irským právním řádem, ale také na soulad s Listinou základních práv EU a se SFEU. Irský soud vyjádřil svou pochybnost nad souladem rozhodnutí 2000/520 s čl. 7 a 8 Listiny a nad tím, jestli v tomto konkrétním případě není právo na respektování soukromého života zbaveno veškeré podstaty. Zeptal se Soudního dvora, zda v případě takových pochybností musí národní orgán pro ochranu osobních údajů i tak respektovat rozhodnutí Komise přijatá na základě čl. 25 odst. 6 směrnice, nebo jestli může či musí provést vlastní šetření ve věci a vzít v potaz případný faktický vývoj situace od doby, kdy došlo k přijetí rozhodnutí Komise.

Článek 8 vládne všem…

Soudní dvůr v odpovědi na položené otázky nejprve v bodech 38-47 rozsudku předkládá svůj pohled na roli národních orgánů pro ochranu osobních údajů coby strážců vysoké úrovně ochrany základních práv a svobod občanů. Zdůrazňuje jejich nezávislost zajišťující spolehlivou a účinnou ochranu práv v souvislosti se zpracováváním osobních údajů. Dále připomíná relativně široké pravomoci, které směrnice těmto orgánům propůjčuje a odkazuje na svou dřívější judikaturu definující termíny jako zpracování osobních údajů, které zahrnuje i předání takových údajů do třetí země. To vše činí s odkazem na čl. 8 Listiny, který je červenou nití vinoucí se směrnicí 95/46.

Na tyto asi vcelku očekávatelné proklamace navazuje zajímavější část rozsudku věnovaná povaze rozhodnutí Komise přijatého na základě čl. 25 odst. 6 směrnice, které je závazné pro členské státy a všechny jeho orgány. Státům a jejich orgánům ukládá povinnost přijmout opatření nezbytná pro dosažení souladu s rozhodnutím Komise, tj. zajistit možnost předávání osobních údajů z členského státu do třetí země, na kterou se toto rozhodnutí vztahuje. Je dle mého názoru podstatné uvědomit si na tomto místě, že se skutečné jedná o MOŽNOST předávat údaje. Konec konců z ustanovení čl. 25 odst. 1 směrnice plyne, že jeho účelem je umožnit subjektům předávat osobní údaje do třetích zemí bez omezení jinak stanovených vnitrostátním právem na základě této směrnice (v praxi tedy jde o národní legislativní omezení). Rozhodnutí vydané na základě čl. 25 odst. 6 tedy zaprvé nestanovuje jakousi automatickou proceduru či povinnost údaje do předmětného státu předávat a zadruhé existence takového rozhodnutí vylučuje, aby toliko národní legislativa bránila předávání osobních údajů do takového třetího státu. Nabízí se úvaha, zdali by toto zábrana pro předávání mohla být na národní ústavní úrovni, ale s ohledem na judikaturu Internationale Handelsgesellschaft bych se k tomuto závěru nepřikláněl. Jak uvádí Soudní dvůr, rozhodnutí Komise navíc požívá presumpce legality, a tedy národní orgán by jej nemohl bez dalšího ignorovat, byť s odkazem na nesoulad s národním právním řádem (bod 52).

Soudní dvůr však dále zdůrazňuje, že rozhodnutí nebrání jednotlivci, jehož údaje jsou předávány, aby se obrátil na národní orgány dozoru ve smyslu čl. 28 směrnice, a zejména rozhodnutí nemůže popřít ani omezit pravomoci orgánu dozoru plynoucí z čl. 28, který patrně lze v tomto smyslu chápat jako prováděcí předpis pro čl. 8 odst. 3 Listiny (bod 53). Z povahy věci je zkrátka vyloučeno, aby rozhodnutí Komise vydané na základě zmocnění v sekundárním právu bylo v rozporu s normami primárního práva nebo aby bylo vyloučeno z přezkumu ve světle těchto norem. Tento přezkum však pochopitelně náleží Soudnímu dvoru a nikoliv národním orgánům. Soudní dvůr dosti formalisticky lpí na své předchozí judikatuře ve věcech Foto-FrostIATA a ELFAA, na základě které národní orgány nemohou samy konstatovat neplatnost unijního aktu, a to ani v případě, kdy se národní orgány domnívají, že příslušný akt (v tomto případě rozhodnutí Komise) není v souladu s primárním právem EU resp. s Listinou. To je sice pochopitelné z hlediska koherence evropského právního řádu a vertikální dělby moci, ale Soudní dvůr tak vytváří dosti složitou konstrukci pro zrušení příslušného aktu, která je ve výsledku nejnepřátelštější k subjektům osobních údajů. Jednotlivci se totiž musejí nejprve obrátit na národní dozorový orgán, který věc posoudí, jak je popsáno níže, a pokud námitky stěžovatele shledá jako nedůvodné, musí mít tento možnost soudního přezkumu. Teprve soud může teoreticky položit předběžnou otázku na platnost aktu (jak se stalo v tomto případě). Nicméně i v případě, že sám dozorový orgán již shledá rozpor směrnicové úpravy s "vyššími" evropskoprávními normami, musí mít národním legislativcem zřízenou cestu, jak se obrátit na soud, který teprve opět může předložit věc k posouzení Soudnímu dvoru. To je úvaha patrně založená na principu národní procesní autonomie a kritériích pro orgán, který může položit předběžnou otázku ve smyslu čl. 267 SFEU (judikatura Rewe, CometDorsch Consult) - body 60 až 65. Právně puristicky se tedy jedná o naprosto korektní cestu, nicméně je třeba vzít v potaz, jaký dopad to může mít na efektivní ochranu jednotlivce a jeho základních práv a svobod. Lze si totiž představit, že tato procedura zabere velké množství času a v realitě úředníci národních orgánů nebudou mít patřičnou incentivu pro podávání příslušných návrhů k soudu.

Národní orgány naopak dle názoru Soudního dvora mohou a mají přezkoumávat jednotlivé případy předání osobních údajů, neboť čl. 28 odst. 4 nestanoví žádnou výjimku pro případ, že bylo přijato rozhodnutí na základě čl. 25 odst. 6 (bod 56). Pokud by národní orgány pověřeny ochranou osobních údajů nepřezkoumávaly stížnosti jednotlivců, došlo by podle názoru Soudního dvora k upření práva garantovaného čl. 8 odst. 1 Listiny, a právě v kontextu ochrany základních práv a svobod garantovaných Listinou musí být tyto žádosti posuzovány. Je totiž třeba uvědomit si, že na základě čl. 51 odst. 1 Listiny se tato aplikuje v každé situaci spadající do působnosti evropského práva ve smyslu judikatury Åkerberg Fransson. Jak to výstižně napsala generální advokátka Sharpston, Listina je tak stínem ostatních norem evropského práva.

Američtí piráti bez přístavu

Jak vyplývá z výše uvedeného, národní orgán sice materiální soulad s Listinou přezkoumat může a patrně i musí, nicméně k systematickému výsledku (čti ke zrušení předmětného rozhodnutí Komise) to povede potenciálně paradoxně pouze tehdy, pokud jednotlivci ve správním řízení není vyhověno, ten se rozhodne dále soudit a národní soudy položí správně formulovanou předběžnou otázku.

Tím je dána v zásadě odpověď na otázky předkládajícího soudu, nicméně Soudní dvůr se rozhodl jít ještě o krok dál, a byť je formálně vázán rozsahem předložené otázky, tak "za účelem podání vyčerpávající odpovědi předkládajícímu soudu" (který nepoložil otázku na platnost rozhodnutí Komise!) se pustil do přezkumu platnosti rozhodnutí 2000/520.

Soudní dvůr se v tomto kontextu nejprve pustil do rozboru pojmu "odpovídající úroveň ochrany", která musí být ve třetí zemi zajištěna resp. konstatována v rozhodnutí Komise, aby mohly být osobní údaje předávány do této země. Směrnice v čl. 25 stanoví, že tento pojem musí být vykládán "s ohledem na všechny okolnosti související s předáním nebo předáváním údajů" a "s cílem zajistit ochranu soukromí a základních práv a svobod". To je pochopitelně velmi obecná deklarace, ze které neplynou žádné konkrétní požadavky nebo specifická omezení. Soudní dvůr k tomu jasně dodává, že "odpovídající" znamená, že není třeba, aby země zajišťovala stejnou úroveň ochrany, jako je zajištěna unijním právem (inspirace doktrínou Bosphorus?), nicméně následuje stanovisko generálního advokáta Yvese Bota a upřesňuje, že je vyžadováno, "aby tato třetí země skutečně zajišťovala na základě svých vnitrostátních předpisů nebo svých mezinárodních závazků takovou úroveň ochrany základních práv a svobod, jaká je rovnocenná úrovni zaručené v rámci Unie na základě směrnice 95/46 vykládané ve světle Listiny" (bod 73). Soudní dvůr tedy za spodní hranici tohoto standardu považuje svůj výklad Listiny (což může být vlastně velmi vysoký standard - Listinu je také třeba vykládat ve světle Úmluvy o ochraně lidských práv a základních svobod a štrasburské judikatury k jejímu čl. 8) a zdůvodňuje to faktem, že v případě absence takového požadavku na výklad tohoto pojmu by vysoká úroveň ochrany poskytovaná směrnicí mohla být obcházena skrze předání údajů do třetích zemí a jejich další zpracovávání tam.

Závěr Soudního dvora, že je na Komisi, aby tyto skutečnosti ověřila před vydáním svého rozhodnutí je zřejmý, ale je vcelku zajímavé, že mluví také o povinnosti Komise, aby i po vydání svého rozhodnutí pravidelně ověřovala, zda je zajištění patřičné ochrany dotyčnou třetí zemí "stále skutkově i právně podložené" (bod 76). Pochopitelně se dá jen spekulovat, na jakém základě a jakými prostředky má Komise zkoumat, nakolik je v té které třetí zemi skutkově (tedy v reálné praxi) podložené, že poskytuje rovnocennou ochranu osobních údajů. Otázkou taky je, jestli má rovněž provádět pravidelné revize každého takovéhoto svého rozhodnutí nebo by tak měla činit pouze ve chvíli, kdy se stane v podstatě veřejnou informací, že v dané zemi pravděpodobně dochází k porušování těchto standardů, jako se to stalo v případě úniků informací od Edwarda Snowdena. Patrně by bylo vhodné, kdyby Komise v této věci dělala pravidelná rámcová zkoumání v určité časové periodě a ve chvíli, kdy by nabyla opodstatněných pochybností o dodržování úrovně ochrany ve třetí zemi, své rozhodnutí by zrušila. K tomuto závěru vede i konstatování Soudního dvora plynoucí z rozsudku ve věci Digital Rights Ireland, že přezku požadavků plynoucích z čl. 25 směrnice ve světle Listiny musí být striktní (bod 78).

„(Ne)bezpečný přístav“

Samotné rozhodnutí 2000/520 spočívá v garanci vydané Komisí, že soukromé subjekty usazené ve Spojených státech, které přistoupí k tomuto tzv. „bezpečnému přístavu" splňují požadavky a postupy ve vztahu k ochraně osobních údajů vydané americkým Ministerstvem obchodu, a to na základě vlastního osvědčení. Soudní dvůr k systému vlastních osvědčení dodal, že sám o sobě nezakládá nesoulad s vyžadovaným standardem ochrany, ale je závislý na "zavedení účinných mechanismů odhalování a dozoru, jež v praxi umožňují identifikovat a sankcionovat případné porušení pravidel [...]" (bod 81). Podle názoru Soudního dvora právě tyto mechanismy a nástroje, kterými Spojené státy dodržování ochrany osobních údajů vymáhají a kontrolují, však v rozhodnutí nejsou dostatečně popsány a zjištěny. Podstatné také je, že tato pravidla "bezpečného přístavu" jsou závazná pouze pro organizace ve Spojených státech s vlastním osvědčením, aniž by zavazovala orgány veřejné moci, ať už na státní nebo federální úrovni. Dalším neduhem rozhodnutí 2000/520 je podle Soudního dvora také to, že obsahuje velmi širokou výjimku z pravidel "v rozsahu nezbytném pro splnění požadavků bezpečnosti státu, veřejného zájmu nebo prosazování zákonů", která navíc může být udělena vlastně jakýmkoliv aktem amerického orgánu veřejné moci (zákonem, správním aktem, rozhodnutím soudu,…). V zásadě se jedná vlastně ne o zadní vrátka, ale otevřená vrata, která jsou způsobilá naprosto vyprázdnit právo na ochranu osobních údajů zásahem orgánu, proti kterému nemá evropský občan ani možnost efektivní obrany. Právě takto široce definovaná výjimka z pravidel kombinovaná s absolutní absencí jakýchkoliv procesních záruk pro subjekty údajů byla pro Soudní dvůr zásadním problémem. Soudnímu dvoru také chyběl jakýkoliv požadavek na proporcionalitu zásahu (údaje byly zpracovávány naprosto paušálně bez stanovení jakýchkoliv kritérií či rozlišení) resp. na omezení zásahu pouze na to, co je naprosto nezbytné, jak plyne z judikatury Digital Rights Ireland. Americká legislativa podle názoru Soudního dvora zasahuje do podstaty příslušného základního práva (bod 94).

Jak bylo uvedeno výše, Soudní dvůr došel k závěru, že směrnice svěřuje národním orgánům pravomoc (tedy právo i povinnost zároveň) zcela nezávisle posoudit jakoukoliv žádost jednotlivce týkající se ochrany jeho osobních údajů. Nicméně čl. 3 rozhodnutí 2000/520 omezuje pravomoc národních orgánů zkoumat, zdali jsou splněny podmínky čl. 25 (zejména druhého odstavce) a případně zastavit toky údajů do třetích zemí v případě, že odpovídající úroveň ochrany v třetí zemi garantována není. Tím rozhodnutí efektivně odebralo národním orgánům dozoru možnost dohledu, za jakých okolností jsou předávány osobní údaje do Spojených států. Takovouto pravomoc pochopitelně zmocnění obsažené ve směrnici Komisi nesvěřuje a Soudní dvůr tak konstatoval, že Komise překročila svou pravomoc.

Vzhledem k tomu, že uvedené výtky byly tak zásadního charakteru a k ustanovením, která tvořila páteř rozhodnutí 2000/520, prohlásil jej Soudní dvůr jako celek za neplatné.

Kontext rozsudku Weltimmo

Rozsudek ve věci Schrems vzbudil velké množství reakcí, nicméně je v této debatě důležité všimnout si i dalších nedávných rozhodnutí Soudního dvora. Za jedno takové velmi úzce související se jistě dá považovat rozsudek ve věci Weltimmo.

Rozhodnutí je totiž důležité v nastalé situaci, kdy konkrétně irský Facebook nemůže bez dalšího předávat osobní údaje do USA. Bude je uchovávat pravděpodobně na evropských serverech a evropští občané se budou chtít bránit proti zpracovávání svých údajů např. po odvolání svého souhlasu nebo se budou domáhat smazání údajů.

Společnost Weltimmo je registrovaná na Slovensku. Provozuje webové stránky inzerující nemovitosti nacházející se v Maďarsku, v rámci čehož zpracovává osobní údaje inzerentů. Když inzerenti po nějaké době požádali o smazání údajů, nebylo jim společností vyhověno, a tak podali stížnost k maďarskému národnímu orgánu dozoru, který společnosti uložil pokutu. Weltimmo tuto pokutu napadlo u maďarského soudu, který položil předběžnou otázku, zda je v dané situaci aplikovatelný maďarský zákon přijatý na základě směrnice 95/46 na situaci, kdy subjektem řízení je společnost usazená na Slovensku, která poskytuje služby pouze po internetu a nemá v Maďarsku žádnou stálou pobočku, ale pouze zástupce.

Soudní dvůr konstatoval, že Weltimmo vykonává na území Maďarska účinně a skutečně svou činnost, což podle bodu 19 preambule směrnice je předpokladem pro "usazení" na území členského státu, a to bez ohledu na právní formu takového výkonu činnosti. Tento výkon činnosti Soudní dvůr dovozuje zaprvé z existence zástupce společnosti v Maďarsku, který byl prostředníkem ve sporech mezi společností a inzerenty a z existence účtu u maďarské banky, na které společnosti chodily platby za zpoplatněné inzeráty, a zadruhé ze směřování služeb primárně na maďarské zákazníky (web v maďarském jazyce, platby ve forintech) - tento přístup u poskytování online služeb konec konců Soudní dvůr uplatňuje i v případě interpretace evropských nástrojů mezinárodního práva soukromého. Ve světle rozsudku tak je třeba chápat pojem "provozovna" jako jakoukoliv účinnou a skutečnou činnost (i minimální) vykonávanou prostřednictví stálého zařízení, což jedna nebo několik webových stránek zaměřených takovýmto způsobem na zákazníky v daném členském státě splňují. V tomto případě tedy lze vcelku jednoznačně dospět k závěru, že společnost Weltimmo spadá do působnosti maďarského zákona a do pravomoci maďarského orgánu dozoru - situace vyřešena.

Soudní dvůr nicméně odpovídá i na otázku, jakou roli má maďarský orgán dozoru v případě, že právem použitelným na zpracování osobních údajů je právo jiného členského státu. V bodech 42 a následujících popisuje svou vizi národních orgánů dozoru jako harmonicky kooperujících jednotek, které vzájemně sdílejí informace, poskytují si podněty, na které adekvátně reagují, navzájem si poskytují součinnost při vyšetřování případných prohřešků a vůbec společně vykonávají pravomoci obsažené v čl. 28 směrnice 95/46, ale ve výsledku si pochopitelně o tom nejdůležitějším - tedy o udělení či neudělení sankce - rozhodují samy ve vztahu k subjektům, které jsou usazeny na jejich území. Nicméně z této představy Soudního dvora by bylo možné dovodit, že ačkoliv orgány dozoru vykonávají své pravomoci pouze na území daného členského státu, nemohou ignorovat a ba naopak měly by brát v potaz i zjištění o chování zpracovatele údajů na území ostatních členských států.

Z pohledu ochrany osobních údajů to zní jako velmi sympatická myšlenka, která by mohla posloužit efektivnějšímu postihování hříšníků, nicméně v případě takovýchto sankcí sice na území pouze jednoho členského státu, nicméně při vzetí v potaz jednání sankcionovaného subjektu i na území jiných členských států, okamžitě vyvstávají problémy, jako třeba zdali by nedocházelo k porušování principu ne bis in idem a jiných zásad spravedlivého procesu.

Digital Rights Ireland, Google Spain and beyond…?

Je však třeba říci, že rozsudek ve věci Weltimmo dává národním orgánům dozoru do ruky poměrně efektivní zbraň pro případ, že by se zejména velké společnosti zpracovávající ohromná množství našich osobních údajů bránily uplatňování evropské legislativy na ochranu osobních údajů, jako třeba práva na výmaz nebo změnu osobních údajů. Pro založení jurisdikce národního orgánu dozoru totiž stačí účinný a skutečný výkon činnosti na území daného členského státu, což patrně může být i webová služba nabízená uživatelům tohoto státu, v jejich jazyce, umožňující platby jejich měnou a vůbec vyvíjející ekonomickou aktivitu vzhledem k tomuto členskému státu. Z tohoto pohledu by se jistě dalo uvažovat, že Facebook by mohl být považován za usazený na území de facto všech států unie.

Judikatura Weltimmo se z tohoto pohledu totiž zdá jít ještě dále než rozsudek Google Spain, kde byla jurisdikce evropských orgánů založena zejména na fyzické existenci pobočky ve Španělsku, která však byla pouhý zprostředkovatel reklamních služeb Google a se službou samotného prohlížeče, a tedy problematikou, o kterou šlo v předmětném řízení primárně, neměla sama o sobě mnoho k dočinění.

I v případě, že by však činnost Facebooku tak, jak ji provozuje dnes na území Unie, nestačila k založení sankční (!) jurisdikce jednotlivých národních orgánů dozoru, mají tyto povinnost případné stížnosti uživatelů i tak prošetřit a vyzvat irský orgán dozoru, aby jejich šetření vzal v potaz a případně začal sám konat a sankci uložil.

Z řady rozsudků Digital Rights Ireland, Google SpainWeltimmoSchrems je patrná jednoznačná tendence Soudního dvora upřednostňovat ochranu práv jednotlivců. Tento trend se dá jistě z řady důvodů považovat za správný a obzvláště v době, kdy jsou naše životy čím dál více sledovány a pro využívání řady služeb je třeba odevzdávat mnoho osobních údajů, je nezbytné, aby si národní i evropské orgány uvědomovaly, jak důležitý je dozor a vynucování zavedených pravidel. A to jak vůči soukromým subjektům působícím na území Unie, tak vůči třetím zemím, které by chtěly osobní údaje evropských občanů sbírat. V jednom z rozhovorů nově jmenovaný český generální advokát Michal Bobek řekl, že by si přál, aby jeho přínosem pro Soudní dvůr bylo větší soustředění na evropské občany a ochranu práv jednotlivců. Lze se domnívat, že aspoň v oblasti osobních údajů tak Soudní dvůr již dnes činí a snad v tom bude pokračovat. 

Hodnocení článku
0%
Pro hodnocení článku musíte být přihlášen/a

Diskuze k článku ()

Pro přidání komentáře musíte být přihlášen/a

Další články

Tento web využívá cookies pro zajištění funkčnosti webu a získání statistik návštěvnosti webu