Na počátku celého případu je snaha rakouského právníka a aktivisty
Maxe
Schremse, který díky případu amerického whistleblowera Edwarda
Snowdena, poukázal na podezření, že technologické firmy, v tomto případě
Facebook, umožňují americké Národní bezpečností agentuře (NSA) přístup k osobním
údajům evropských uživatelů. To podle něj nebylo v souladu s evropským
právem a rozhodl se obrátit na příslušné soudy a regulatorní úřady, pod než
spadá agenda ochrany osobních údajů. Postupně se jeho případ dostal až k evropskému
soudu.
Evropská justice už v roce 2015 došla k rozhodnutí, že princip Safe Harbour Agreenment, na němž fungovalo přenášení dat uživatelů z Evropy do Spojených států, dostatečně nechrání práva občanů EU. Proto byl tento mechanismus zrušen a firmy začaly využívat tzv. Standardní smluvní doložky o předávání osobních údajů třetím stranám. Tato ochranná opatření byla doplněna dalšími dodatky. Ty se později staly základem pro dohodu mezi EU a USA Privacy Shield – a právě o ní nyní Evropský soudní dvůr rozhodl, že nechrání osobní údaje dostatečným způsobem.
Standardní smluvní doložky soud nezpochybnil a na jejich principu tak k převádění osobních údajů může pokračovat i nadále. Dohoda Privacy Shield omezovala přístup amerických úřadů k osobním údajům, umožňovala občanům EU vznášet stížnosti regulatorním institucím a zavazovala společnosti předávající data třetím stranám k dodržování pravidel stanovených dohodou.
A v čem je problém? Zřejmě v rozdílnosti obou právních systémů. Evropské zákony upřednostňují právo občanů na ochranu osobních údajů a tím pádem i určitou kontrolu nad jejich tokem. Kdežto americký přístup je více zaměřený na digitální dohled nad osobními údaji. Jak již bylo zmíněno, agentura NSA má zvláštní pravomoci, díky kterým se může dostat i k osobním údajům v rámci zajišťování bezpečnosti země nebo potírání terorismu. V minulosti díky Snowdenovi vyplavaly na povrch informace, kterak hlavní technologické společnosti jako Facebook, Microsoft nebo Apple poskytují NSA osobní údaje svých uživatelů.
A kam rozhodnutí míří? K tomu, aby se i po transferu dat z EU do USA jejich držitelé řídili podle evropských pravidel pro nakládání s osobními údaji, tedy aby bylo k datům přistupováno stejně, jako v místě jejich pořízení. V praxi by to mohlo znamenat, že by se americké firmy i v americké jurisdikci měly chovat dle GDPR (směrnice EU upravující zacházení firem s osobními údaji).
Eurokomisařka Věra Jourová, pod kterou spadá agenda ochrany dat, by ráda, aby Američané přistoupili k podobným regulacím, kterými disponuje EU. „Nikdy jsme neskrývali, že bychom uvítali více konvergence,“ řekla Jourová. „Rádi bychom na americké straně ve federální právu ohledně ochrany dat viděli ekvivalent nebo velmi podobný nástroj, jako je GDPR, který poskytuje silnou ochranu pro osobní údaje našich obyvatel,“ doplnila. Podle Jourové se také ukázalo, že Evropský soudní dvůr potvrdil právo evropských občanů na ochranu dat jako fundamentální.
Zástupci amerického ministerstva obchodu uvedli, že chtějí soudní rozhodnutí ještě analyzovat, ale také že jsou jím zklamaní. Nicméně američtí vládní představitelé zůstávají v úzkém kontaktu s protějšky z Evropské komise, aby nedošlo k poškození obchodu mezi EU a USA, který dosahuje objemu zhruba 7,1 bilionu dolarů. Transfer dat mezi EU a USA by mělo v současnosti provádět kolem pěti a půl tisíce společností.