Osobní údaje lze zpracovávat ve třetí zemi, když zajistí odpovídající ochranu
Ve stanovisku (úplné znění) generálního advokáta H. Saugmandsgaarda ze dne 19. prosince 2019 je rozhodnutí Komise 2010/87/EU o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích platné.
Obecné nařízení o ochraně osobních údajů (GDPR)[1] stejně jako směrnice o zpracování osobních údajů[2], kterou nahradilo, stanoví, že osobní údaje mohou být předávány do třetí země, pokud tato zajišťuje odpovídající úroveň ochrany těchto údajů. Při neexistenci rozhodnutí Komise konstatujícího, že daná třetí země zajišťuje odpovídající úroveň ochrany, však správce údajů může k předání přistoupit, pokud ho sváže s vhodnými zárukami. Tyto záruky mohou mít mj. formu smlouvy mezi vývozcem a dovozcem údajů obsahující standardní doložky o ochraně údajů stanovené v rozhodnutí Komise. Rozhodnutím 2010/87/EU[3] Komise stanovila standardní smluvní doložky pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích. Projednávaná věc se týká platnosti uvedeného rozhodnutí.
Skutkový stav a skutečnosti předcházející sporu v původním řízení
Sporu v původním řízení předcházelo řízení zahájené Maximillianem Schremsem, rakouským uživatelem aplikace Facebook, v souvislosti s nímž již byl vydán rozsudek Soudního dvora ze dne 6. října 2015 („rozsudek Schrems“)[4]. Údaje uživatelů Facebooku s bydlištěm v Unii, a tedy i M. Schremse, jsou v plném rozsahu nebo částečně přenášeny z Facebook Ireland, irské dceřiné společnosti Facebook Inc., na servery umístěné na území Spojených států, kde jsou zpracovávány. V roce 2013 podal M. Schrems stížnost k irskému orgánu pověřenému dozorem nad uplatňováním pravidel ochrany osobních údajů (dále jen „orgán dozoru“), neboť měl za to, že vzhledem ke zjištěním učiněným Edwardem Snowdenem o činnosti zpravodajských služeb Spojených států (zejména National Security Agency neboli „NSA“) není v právu ani v praxi Spojených států poskytována dostatečná ochrana před sledováním ze strany orgánů veřejné moci ve vztahu k údajům předávaným do této země. Orgán dozoru stížnost zamítl zejména z důvodu, že Komise v rozhodnutí ze dne 26. července 2000[5] shledala, že v rámci režimu tzv. „bezpečného přístavu“[6] zajišťují Spojené státy odpovídající úroveň ochrany předávaných osobních údajů.
Rozsudkem Schrems Soudní dvůr v reakci na otázku položenou High Court (Vrchní soud, Irsko) prohlásil rozhodnutí o bezpečném přístavu za neplatné.
Na základě rozsudku Schrems předkládající soud rozhodnutí, kterým orgán dozoru zamítl stížnost M. Schremse, zrušil a uložil tomuto orgánu, aby se jí znovu zabýval. Ten zahájil vyšetřování a vyzval M. Schremse, aby vzhledem ke zrušení rozhodnutí o bezpečném přístavu svou stížnost přeformuloval.
Za tímto účelem M. Schrems požádal společnost Facebook Ireland, aby uvedla právní základ, na němž spočívá předávání osobních údajů uživatelů Facebooku z Unie do Spojených států. Facebook Ireland odkázala na dohodu o předávání a zpracovávání údajů (data transfer processing agreement) uzavřenou mezi ní a společností Facebook Inc., použitelnou od 20. listopadu 2015, a zmínila i rozhodnutí 2010/87.
V přeformulované stížnosti M. Schrems tvrdil, že ustanovení dané dohody nejsou v souladu se standardními smluvními doložkami stanovenými rozhodnutím 2010/87 a dále že tyto standardní smluvní doložky by každopádně nemohly zakládat předávání jeho osobních údajů do Spojených států. M. Schrems totiž tvrdí, že dotyčné osoby nedisponují žádným právním prostředkem, jímž by se mohly ve Spojených státech dožadovat dodržování svého práva na respektování soukromého života a na ochranu osobních údajů. Za těchto podmínek M. Schrems požaduje, aby orgán dozoru toto předávání podle rozhodnutí 2010/87 pozastavil.
Vyšetřováním se orgán dozoru snažil zjistit, zda Spojené státy zajišťují odpovídající úroveň ochrany osobních údajů unijních občanů, a pokud tomu tak není, zda použití standardních smluvních doložek s sebou přináší dostatečné záruky ochrany jejich základních práv a svobod. Jelikož měl za to, že vyřízení stížnosti M. Schremse závisí na tom, zda je rozhodnutí 2010/87 platné, zahájil orgán dozoru řízení před High Court za účelem položení otázky Soudnímu dvoru v tomto smyslu. High Court předběžnou otázku vyžadovanou uvedeným orgánem položil.
Ve stanovisku generální advokát Henrik Saugmandsgaard Øe Soudnímu dvoru navrhuje, aby odpověděl, že analýza otázek neodhalila žádnou skutečnost, kterou by mohla být dotčena platnost rozhodnutí 2010/87.
Generální advokát podotýká, že ve sporu v původním řízení jde pouze o určení, zda je rozhodnutí 2010/87, kterým Komise zakotvila standardní smluvní doložky uplatňované na podporu předávání, jehož se týká stížnost M. Schremse, platné.
Generální advokát má zaprvé za to, že se unijní právo použije na předávání osobních údajů do třetí země tehdy, jestliže k tomuto předávání dochází za obchodními účely, ačkoliv mohou být předávané údaje zpracovávány veřejnými orgány této třetí země pro účely národní bezpečnosti.
Zadruhé generální advokát konstatuje, že ustanovení GDPR týkající se předávání do třetích zemí mají zajistit kontinuitu vysoké úrovně ochrany osobních údajů, ať již jsou údaje předávány na základě rozhodnutí o odpovídající ochraně nebo vhodných záruk poskytnutých vývozcem. Podle něj se však způsob dosažení tohoto cíle liší v závislosti na právním základě předávání. Předmětem rozhodnutí o odpovídající ochraně je konstatování, že určitá třetí země zajišťuje na základě v ní použitelného práva a praxe úroveň ochrany základních práv osob, jejichž údaje jsou předávány, která v zásadě odpovídá úrovni vyplývající z GDPR, vykládaného ve světle Listiny. Na druhé straně vhodné záruky poskytnuté vývozcem, zejména na smluvní bázi, musí takovou úroveň ochrany zajišťovat samy o sobě. V tomto ohledu standardní smluvní doložky schválené Komisí zahrnují obecný mechanismus použitelný na předávání nezávisle na třetí zemi, do níž k předávání dochází, a v ní zajišťované úrovni ochrany.
Generální advokát zatřetí zkoumá platnost rozhodnutí 2010/87 z hlediska Listiny. Má za to, že skutečnost, že toto rozhodnutí a standardní smluvní doložky, které zavádí, nejsou pro orgány třetí země, do níž k předávání dochází, závazné, a nebrání jim tedy v tom, aby dovozci uložily povinnosti neslučitelné s dodržováním těchto doložek, nečiní sama o sobě uvedené rozhodnutí neplatným. Slučitelnost rozhodnutí 2010/87 s Listinou závisí na tom, zda existují dostatečně pevné mechanismy umožňující zajistit, že předávání založené na standardních smluvních doložkách bude v případě porušení těchto doložek nebo nemožnosti jejich dodržování pozastaveno nebo zakázáno.
Podle něj tomu tak je, neboť existuje povinnost – ležící na správci údajů, nebo v případě jeho nečinnosti na orgánu dozoru – pozastavit nebo zakázat předávání, pokud z důvodu konfliktu mezi povinnostmi plynoucími ze standardních doložek a povinnostmi uloženými právem třetí země, do níž k předávání dochází, tyto doložky nemohou být dodržovány.
Generální advokát kromě toho konstatuje, že předkládající soud nepřímo zpochybňuje určitá posouzení provedená Komisí v rozhodnutí ze dne 12. července 2016 o tzv. „štítu na ochranu soukromí“[7]. V uvedeném rozhodnutí Komise konstatovala, že Spojené státy zajišťují odpovídající úroveň ochrany údajů předávaných z Unie v rámci režimu zavedeného daným rozhodnutím, s ohledem zejména na záruky, s nimiž se pojí přístup amerických zpravodajských služeb k těmto údajům, jakož i na právní ochranu nabízenou osobám, jejichž údaje jsou předávány[8]. Podle generálního advokáta řešení sporu v původním řízení nevyžaduje, aby se Soudní dvůr vyjadřoval k platnosti rozhodnutí o štítu na ochranu soukromí, jelikož se daný spor týká toliko platnosti rozhodnutí 2010/87. Generální advokát nicméně podpůrně uvádí důvody, které ho vedou k tomu, že si klade otázky ohledně platnosti rozhodnutí o štítu na ochranu soukromí s ohledem na právo na respektování soukromého života a na ochranu osobních údajů, jakož i na právo na účinný procesní prostředek.
Zdroj: Soudní dvůr EU
Foto: Pixabay
[1] Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1).
[2] Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. 1995, L 281, s. 31; Zvl. vyd. 13/15, s. 355).
[3] Rozhodnutí Komise ze dne 5. února 2010 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle směrnice Evropského parlamentu a Rady 95/46/ES (Úř. věst. 2010, L 39, s. 5) ve znění prováděcího rozhodnutí Komise (EU) 2016/2297 ze dne 16. prosince 2016 (Úř. věst. 2016, L 344, s. 100).
[4] Rozsudek Soudního dvora ze dne 6. října 2015, Schrems, C-362/14 (viz také TZ č. 117/15).
[5] Rozhodnutí Komise 2000/520/ES ze dne 26. července 2000 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající ochraně poskytované podle zásad bezpečného přístavu a s tím souvisejících často kladených otázek vydaných Ministerstvem obchodu Spojených států (Úř. věst. 2000, L 215, s. 7; Zvl. vyd. 16/01, s. 119).
[6] Režim bezpečného přístavu zahrnuje řadu zásad týkajících se ochrany osobních údajů, k jejichž dodržování se mohou americké společnosti dobrovolně přihlásit.
[7] Prováděcí rozhodnutí Komise (EU) 2016/1250 ze dne 12. července 2016 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající úrovni ochrany poskytované štítem EU–USA na ochranu soukromí (Úř. věst. 2016, L 207, s. 1).
[8] Stejně jako dřívější rozhodnutí o bezpečném přístavu i rozhodnutí o štítu na ochranu soukromí spočívá na dobrovolném dodržování řady zásad týkajících se ochrany osobních údajů ze strany podniků.