Cílem regulace ochrany osobních údajů je stanovit vysoký standard nejen v rámci Evropské unie, ale zabránit jeho erozi nekontrolovaným „vývozem“ osobních údajů mimo dosah dozorových orgánů EU. Proto kdokoliv zamýšlí předávat osobní údaje mimo EU, může tak činit například pomocí zvláštního právního nástroje jménem standardní smluvní doložky (SSD). SSD jsou dohodou mezi dvěma soukromými osobami (vývozcem a dovozcem osobních údajů), kterou se dovozce zavazuje, že bude dodržovat určité minimální standardy ochrany osobních údajů. Tato dohoda je standardizovaný dokument pro celou EU přijatý formou rozhodnutí Evropské komise. Rakouský právník Maximilian Schrems požaduje u irských soudů zrušení uvedeného rozhodnutí, jelikož se domnívá, že SSD neposkytují lidem reálnou ochranu jejich osobních údajů garantovanou zejména Listinou základních práv EU, a jsou tedy v rozporu s právem EU.
Jelikož se jedná o spor, jehož předmětem je interpretace a platnost práva EU, byla kauza předložena k posouzení Evropskému soudnímu dvoru. Na konci roku 2019 vydal v této věci své právní stanovisko generální advokát (GA), který je poradním hlasem Evropského soudního dvora a často předznamenává, jakým směrem se ubere ve svém finálním rozhodnutí samotný soud. Stanovisko jako takové však není závazné pro soud ani pro zúčastněné strany a je potřeba jej tedy vnímat jako právní názor jednoho člena soudu.
Základní otázkou, na kterou GA odpovídal, je, jakou úroveň ochrany osobních údajů musí standardní smluvní doložky coby právní základ pro přenos dat mimo EU poskytovat, aby byly souladné s Listinou základních práv EU. K tomu GA uvedl, že standard ochrany osobních údajů při jejich přenosu mimo EU je pouze jediný a není možné, aby se lišil s ohledem na to, jaké právní titul je zvolen pro daný konkrétní přenos. Pro praktické použití z toho tak vyplývá, že příslušný právní základ pro přenos (zde SSD) musí zajišťovat stejné podmínky ochrany jako například rozhodnutí Evropské komise o tom, že daná konkrétní země poskytuje ekvivalentní úroveň ochrany osobních údajů jako EU (jde tedy o standard velmi vysoký!). Z toho pak samozřejmě plyne další otázka – zajišťují SSD tento vysoký standard? SSD jsou totiž používány právě v situacích, kdy zmíněné rozhodnutí Komise o ekvivalentní úrovni ochrany osobních údajů pro danou zemi neexistuje (drtivá většina zemí mimo EU), a společnosti se tak vzájemně k dodržování těchto pravidel zavážou smluvně. Problematické však je, že SSD jsou závazné a vymahatelné právě jen mezi těmito dvěma stranami a nijak neomezují právní povinnosti, které mohou vývozci či dovozci ve vztahu k osobním údajům ukládat právní řády cílových zemí (např. povinné sdílení dat s bezpečnostními složkami, tajnými službami či dalšími subjekty). To je také jádrem námitek pana Schremse. Obdobnou argumentaci pan Schrems úspěšně uplatnil již v roce 2015, kdy Evropský soudní dvůr zrušil právní rámec předávání osobních údajů mezi USA a EU, tzv. Safe Harbour, a to do značné míry pod vlivem tehdejšího odhalení skandálních praktik tajných služeb USA Edwardem Snowdenem.
GA k tomu však uvádí, že je právě odpovědností vývozce a dovozce, aby závazky, které tvoří SSD, odpovídaly skutečnému faktickému i právnímu stavu v cílové zemi. Strany tak dle názoru GA musí předem případ od případu posoudit všechny náležitosti přenosu osobních údajů, jako jsou povaha a účel přenosu, kategorie subjektů údajů (týká se přenos zvláště zranitelných kategorií osob jako např. mladistvých?), kategorie osobních údajů (zahrnuje přenos tzv. zvláštní kategorie – biometrické údaje, údaje o pohlaví, etnicitě, vyznání, politických názorech,…?), zvolené technické prostředky zabezpečení přenosu a uchování, atd. Dle názoru GA však právě s ohledem na jediný standard ochrany osobních údajů musí strany vzít v potaz také okolnosti jako např. stav právního státu, dodržování lidských práv, existence nezávislého dozorového orgánu a efektivních prostředků soudní ochrany, atd. V případě, že by strany v důsledku tohoto vyhodnocení nabyly pochybnosti o souladu takového přenosu osobních údajů s principy GDPR, mají povinnost takový přenos neprovést nebo jej neprodleně zastavit. V případě že by tak neučinily, může jim toto být nařízeno dozorovým orgánem ve státě vývozce a spolu s tím mohou být použity všechny další sankční mechanismy dle GDPR včetně uložení pokuty a žaloby na náhradu škody ze strany subjektů údajů. Vzhledem k těmto velmi přísným požadavkům pro přenos se však GA domnívá, že samotné SSD jsou souladné s požadavky Listiny základních práv EU, neboť poskytují dostatečnou míru ochrany unijním občanům. Zda a nakolik jej bude soud následovat, se uvidí v následujících měsících, ale to že by byl ve svém přístupu k povinnostem správců či zpracovatelů osobních údajů benevolentnější se nejspíše očekávat nedá.
Z uvedeného je patrné, že se jedná o skutečně vysoké požadavky na správce a zpracovatele, kteří přenášejí osobní údaje do zemí mimo EU, a veškerá odpovědnost za jejich nedodržení spočívá výlučně na nich. Pokud argumentaci GA převezme SDEU bez dalšího, zasadí tím další ránu do právní jistoty v oblasti globální spolupráce firem při zpracování dat – není jasné, jakým způsobem by vývozci dat měli prokazovat další záruky nad rámec SSD. Vždyť Evropská komise, než vydala stanovisko o tom, že např. japonské zákony odpovídají evropským standardům v oblasti ochrany osobních údajů (a volný pohyb mezi EU a Japonskem je tak zaručen bez dalšího díky tomuto rozhodnutí), podrobně tuto věc zkoumala dva roky a současně byla též uzavřena mezinárodní dohoda mezi EU a Japonskem o ekonomické spolupráci – takovou hloubku zkoumání stěží lze požadovat u obchodních společností, které sdílejí data v rámci třiceti zemí. Obdobně takové zkoumání není možné uložit jednomu dozorovému úřadu z členské země EU.
Pokud se do naznačeného zkoumání předem nikdo nepohrne (což by se dalo až na výjimky očekávat), můžeme se dočkat překvapivých stížností subjektů údajů, kterými se už dozorové úřady budou muset zabývat. Ale možná bude větším překvapením, jak SDEU se stanoviskem GA naloží, protože současný návrh spíše naznačuje, že SSD jsou nefunkční koncept, který se de facto v GDPR už ani neměl objevit. Kompromisem může však být naznačené zvažování, jaká data jsou přenášena – rozdíl tak může být v běžných informacích o zaměstnancích v nadnárodních koncernech (kde by úroveň zkoumání nemusel být tak podrobná) a v databázích, z nichž lze vyčíst citlivější data jako například politické názory či jiné zneužitelné informace.
S jakýmikoliv přenosy osobních údajů do zahraničí buďte proto ostražití, neboť během tohoto roku se určitě dočkáme důležitého rozhodnutí, jak v této oblasti dále působit na globalizovaném trhu.
