Ve své podstatě je současný spor pokračováním dřívější žaloby, kterou Max Schrems podal na společnost Facebook, když se dožadoval ochrany svých osobních dat. Soud mu dal tehdy za pravdu, čímž zrušil automatické předávání dat uživatelů z EU do Spojených států.
To bylo možné na základě rozhodnutí Evropské komise z roku 2000 s názvem „bezpečný přístav“. Vyplývalo z něj totiž, že Spojené státy zajišťují odpovídající úroveň ochrany osobních údajů předávaných do USA z Evropy.
Od té doby posouzení a rozhodnutí o tom, zda předání osobních dat odpovídá evropským pravidlům pro ochranu, náleželo jednotlivým unijním státům. Pak komise přijala rozhodnutí 2016/1250, které hovořilo o odpovídající úrovni ochrany poskytované štítem EU–USA na ochranu soukromí (tzv. rozhodnutí o štítu na ochranu soukromí). Právě to nyní Soudní dvůr Evropské unie prohlásil za neplatné.
Brusel tato pravidla pro ochranu údajů zavedl po dohodě s Washingtonem a do systému se během prvních tří let zapojilo téměř 5 000 amerických společností včetně technologických gigantů Google či Microsoft. Místopředsedkyně EK Věra Jourová loni konstatovala, že USA postupně zlepšují dohled nad dodržováním dohody, stále však existují problematické body.
Podle soudců v Lucemburku nedokáže zmíněná dohoda zaručit, že údaje evropských uživatelů budou v USA chráněny stejně jako na území EU. Spojené státy v dohodě dostatečně nezajišťují, že k citlivým datům nezískají přístup americké tajné služby, konstatoval unijní soud.
„USA se nyní jednoduše vrací zpět do pozice běžné země bez zvláštního přístupu k údajům z EU,“ shrnul rozhodnutí Schrems.
Konec štítu EU–USA
Evropský soud se tímto rozhodnutím zastal Schremse, kterému vadilo, že jsou jeho osobní data zcela nebo zčásti přenášena společností Facebook Ireland na servery ve vlastnictví společnosti Facebook Inc. umístěné na území Spojených států. A že Spojené státy neposkytují dostatečnou ochranu osobních údajů předávaných do této země.
Rozhodnutí padlo na základě dotazu irského soudu, u něhož si Schrems stěžoval, který se Soudního dvora EU dotázal, zda se na předávání osobních údajů vztahuje GDPR a jaká je úroveň ochrany vyžadovaná tímto nařízením a jaké povinnosti mají v tomto kontextu dozorové úřady.
Výsledkem tedy je, že vedle zrušení tzv. „štítu EU–USA na ochranu soukromí“ soud ponechal v platnosti dřívější rozhodnutí komise 2010/87 o standardních smluvních doložkách pro předávání osobních údajů, na jehož základě společnosti poskytovaly data o uživatelích do mimounijních zemí. Ty umožňují regulačním orgánům EU zasáhnout v jednotlivých případech, kdy mají podezření, že cílová země nebude dostatečně chránit údaje Evropanů.
O tom, zda na jeho základě budou moci firmy data převádět mimo EU, budou podle soudu rozhodovat unijní dohledové úřady. Ty budou „povinny dočasně nebo trvale zakázat předávání osobních údajů do třetí země“, pokud v ní nebude zajištěna ochrana vyžadovaná unijním právem, uvedl soud.
To může znamenat komplikace pro společnosti, které nemají dostatečnou datovou kapacitu na území EU a operují ze země, kterou dohledové orgány nebudou považovat za bezpečnou pro data uživatelů EU. Firmy jako Microsoft nebo Facebook se ale již nechaly slyšet, že využívají právě rozhodnutí 2010/87 o standardních smluvních doložkách.
Základem ochrany dat je v EU nařízení GDPR, které stanoví přísnější podmínky pro firmy, než vyžadují regulace většiny mimounijních zemí včetně USA.
„Toto rozhodnutí vychází z příliš daleko sahajících amerických zákonů o zpravodajských službách, které chrání pouze občany USA, ale nikoli cizince,“ uvedla v reakci na verdikt Schremsova nevládní organizace NOYB.