Všeobecné nariadenie o ochrane osobných údajov[1] (GDPR) stanovuje že prenos takýchto údajov do tretej krajiny sa môže v zásade uskutočniť iba vtedy, ak dotknutá tretia krajina zaručuje týmto údajom primeranú úroveň ochrany. Podľa tohto nariadenia môže Komisia konštatovať, že tretia krajina zaručuje z dôvodu jej vnútroštátneho práva alebo medzinárodných záväzkov, ktoré prevzala, primeranú úroveň ochrany.[2] V prípade neexistencie takého rozhodnutia o primeranosti sa takýto prenos môže uskutočniť len vtedy, ak vývozca osobných údajov usadený v Únii poskytne primerané záruky, ktoré môžu vyplývať najmä zo štandardných doložiek o ochrane údajov prijatých Komisiou, a pod podmienkou, že dotknuté osoby majú vymožiteľné práva a účinné právne prostriedky nápravy.[3] Okrem toho GDPR presne stanovuje podmienky, za akých sa takýto prenos môže uskutočniť bez rozhodnutia o primeranosti alebo primeraných záruk.[4]

Maximillian Schrems, rakúsky štátny príslušník s bydliskom v Rakúsku, je používateľom siete Facebook od roku 2008. Rovnako ako v prípade osobných údajov iných používateľov s bydliskom v Únii sú údaje pána Schremsa v celom rozsahu alebo sčasti prenášané spoločnosťou Facebook Ireland na servery patriace spoločnosti Facebook Inc. nachádzajúce sa na území Spojených štátov, kde sa spracúvajú. Pán Schrems predložil írskemu dozornému orgánu sťažnosť, ktorou sa v podstate domáhal, aby boli tieto prenosy zakázané. Tvrdil, že právo a prax Spojených štátov nezabezpečujú dostatočnú ochranu údajov prenesených do tejto krajiny pred prístupom zo strany orgánov verejnej moci tejto krajiny. Táto sťažnosť bola zamietnutá najmä z dôvodu, že Komisia vo svojom rozhodnutí 2000/520[5] (nazývanom „bezpečný prístav“) konštatovala, že Spojené štáty poskytovali primeranú úroveň ochrany. Súdny dvor svojím rozsudkom zo 6. októbra 2015 v rámci rozhodovania o prejudiciálnej otázke, ktorú mu položil High Court (Vyšší súd, Írsko), rozhodol o neplatnosti tohto rozhodnutia (ďalej len „rozsudok Schrems I“)[6] .

V nadväznosti na rozsudok Schrems I a následné zrušenie rozhodnutia írskeho dozorného orgánu, ktorým bola zamietnutá sťažnosť pána Schremsa, írskym súdom bol pán Schrems týmto orgánom vyzvaný, aby preformuloval svoju sťažnosť vzhľadom na zrušenie rozhodnutia 2000/520 Súdnym dvorom. Pán Schrems vo svojej preformulovanej sťažnosti tvrdí, že Spojené štáty nezabezpečujú dostatočnú ochranu údajov prenesených do tejto krajiny. Navrhuje pozastaviť alebo zakázať do budúcnosti prenos týchto údajov z Únie do Spojených štátov, ktorý Facebook Ireland vykonáva teraz na základe štandardných doložiek o ochrane údajov uvedených v prílohe rozhodnutia 2010/87[7] . Keďže írsky dozorný orgán dospel k záveru, že konanie o sťažnosti pána Schremsa závisí najmä od platnosti rozhodnutia 2010/87, začal konanie na High Court (Vyšší súd), aby sa tento súd predložil Súdnemu dvoru návrh na začatie prejudiciálneho konania. Po začatí tohto konania Komisia prijala rozhodnutie 2016/1250 o primeranosti ochrany poskytovanej štítom na ochranu osobných údajov medzi EÚ a USA[8] (nazvané rozhodnutie „o štíte na ochranu osobných údajov“).

Vnútroštátny súd sa svojím návrhom na začatie prejudiciálneho konania pýta Súdneho dvora na uplatniteľnosť GDPR na prenosy osobných údajov založené na štandardných doložkách o ochrane údajov uvedených v rozhodnutí 2010/87, na úroveň ochrany vyžadovanú týmto nariadením v rámci takého prenosu a na povinnosti zaväzujúce v tejto súvislosti dozorné orgány. High Court sa okrem toho pýta na platnosť tak rozhodnutia 2010/87, ako aj rozhodnutia 2016/1250.

Rozsudkom z dnešného dňa Súdny dvor konštatoval, že preskúmanie rozhodnutia 2010/87 s ohľadom na Chartu základných práv neodhalilo nijakú skutočnosť, ktorá by mohla ovplyvniť jeho platnosť. Naopak rozhodnutie Komisie 2016/1250 vyhlásil za neplatné.

Súdny dvor v prvom rade konštatoval, že právo Únie a najmä GDPR sa uplatní na prenos osobných údajov vykonaný na obchodné účely hospodárskym subjektom usadeným v jednom členskom štáte inému hospodárskemu subjektu usadenému v tretej krajine, napriek tomu, že v priebehu tohto prenosu alebo po ňom môžu byť uvedené údaje spracúvané orgánmi dotknutej tretej krajiny na účely verejnej bezpečnosti, obrany a bezpečnosti štátu. Spresnil, že tento druh spracovania údajov orgánmi tretej krajiny nemôže vylúčiť taký prenos z pôsobnosti nariadenia.

Pokiaľ ide o úroveň ochrany vyžadovanú v rámci takého prenosu, Súdny dvor rozhodol, že požiadavky stanovené na tento účel ustanoveniami GDPR, ktoré sa vzťahujú na primerané záruky, vymožiteľné práva a účinné právne prostriedky nápravy, sa majú vykladať v tom zmysle, že musia zabezpečiť, aby práva osôb, ktorých osobné údaje sa prenášajú do tretej krajiny na základe štandardných doložiek o ochrane údajov, požívali úroveň ochrany, ktorá je v podstate rovnocenná úrovni ochrany zaručenej v rámci Únie týmto nariadením v spojení s Chartou. V tejto súvislosti spresnil, že posúdenie tejto úrovne ochrany musí zohľadniť tak zmluvné ustanovenia dohodnuté medzi vývozcom údajov usadeným v Únii a príjemcom prenosu usadeným v dotknutej tretej krajine, ako aj, pokiaľ ide o prípadný prístup orgánov verejnej moci tejto tretej krajiny k takto prenášaným údajom, relevantné prvky právneho systému danej krajiny.

Čo sa týka povinností zaväzujúcich dozorné orgány v súvislosti s takýmto prenosom, Súdny dvor rozhodol, že pokiaľ neexistuje rozhodnutie o primeranosti, ktoré Komisia platne prijala, tieto orgány sú najmä povinné pozastaviť alebo zakázať prenos osobných údajov do tretej krajiny, ak sa vzhľadom na osobitné okolnosti tohto prenosu domnievajú, že štandardné doložky o ochrane údajov nie sú alebo nemôžu byť v tejto tretej krajine dodržané a že ochrana prenesených údajov vyžadovaná podľa práva Únie nemôže byť zabezpečená inými prostriedkami, pokiaľ vývozca so sídlom v Únii sám tento prenos nepozastaví alebo neukončí.

Súdny dvor ďalej preskúmal platnosť rozhodnutia 2010/87. Podľa Súdneho dvora len samotná skutočnosť, že štandardné doložky o ochrane údajov uvedené v tomto rozhodnutí nezaväzujú z dôvodu ich zmluvnej povahy orgány tretích krajín, do ktorých môžu byť osobné údaje prenesené, nemôže byť dôvodom na pochybnosti o platnosti tohto rozhodnutia. Táto platnosť naopak závisí od toho, či uvedené rozhodnutie obsahuje účinné mechanizmy, ktoré v praxi umožňujú zabezpečiť, aby bola dodržaná úroveň ochrany vyžadovaná právom Únie a aby sa prenosy osobných údajov založené na takýchto doložkách v prípade ich porušenia alebo nemožnosti ich dodržať pozastavili alebo zakázali. Súdny dvor konštatoval, že rozhodnutie 2010/87 takéto mechanizmy zavádza. V tejto súvislosti najmä zdôraznil, že toto rozhodnutie ukladá vývozcovi údajov a príjemcovi prenosu povinnosť vopred overiť, či sa v dotknutej tretej krajine táto úroveň ochrany dodržiava, a zaväzuje vývozcu údajov informovať tohto príjemcu o jeho prípadnej nemožnosti zabezpečiť dodržanie týchto podmienok, pričom povinnosťou tohto vývozcu je vtedy pozastaviť prenos údajov a/alebo vypovedať zmluvu uzavretú s príjemcom.

Súdny dvor napokon preskúmal platnosť rozhodnutia 2016/1250 s ohľadom na požiadavky vyplývajúce z GDPR v spojení s ustanoveniami Charty, ktorými sa zaručuje rešpektovanie súkromného a rodinného života, ochrana osobných údajov a právo na účinnú súdnu ochranu. V tejto súvislosti Súdny dvor uviedol, že toto rozhodnutie podobne ako rozhodnutie 2000/520 stanovuje prednosť požiadaviek týkajúcich sa národnej bezpečnosti, verejného záujmu a dodržiavania právnych predpisov Spojených štátov, čím sa umožňuje zasahovanie do základných práv osôb, ktorých údaje sa do tejto tretej krajiny prenášajú. Podľa Súdneho dvora obmedzenia ochrany osobných údajov, ktoré vyplývajú z vnútroštátnej právnej úpravy Spojených štátov týkajúcej sa prístupu a používania takýchto údajov prenášaných z Únie do tejto tretej krajiny americkými orgánmi verejnej moci a ktoré Komisia posúdila v rozhodnutí 2016/1250, nie sú vymedzené takým spôsobom, aby zodpovedali požiadavkám, ktoré sú v podstate rovnocenné požiadavkám vyžadovaným v práve Únie zásadou proporcionality, pretože programy sledovania založené na tejto právnej úprave sa neobmedzujú na to, čo je striktne nevyhnutné. Na základe konštatovaní uvedených v danom rozhodnutí Súdny dvor uvádza, že v prípade niektorých programov sledovania z uvedenej právnej úpravy nijako nevyplýva, že by oprávnenia, ktoré obsahuje a ktorým sa vykonávajú tieto programy boli akokoľvek obmedzené, ani existencia záruk pre osoby, ktoré nie sú americkými občanmi a ktorých sa môžu tieto programy týkať. Súdny dvor dodal, že hoci táto istá právna úprava stanovuje požiadavky, ktoré musia americké orgány dodržiavať pri vykonávaní dotknutých programov sledovania, nepriznávajú dotknutým osobám práva uplatniteľné pred súdmi voči týmto orgánom.

Pokiaľ ide o požiadavku súdnej ochrany, Súdny dvor rozhodol, že na rozdiel od toho, k čomu dospela Komisia v rozhodnutí 2016/1250, mechanizmus ombudsmana uvedený v tomto rozhodnutí neposkytuje opravný prostriedok pred orgánom, ktorý by ponúkal osobám, ktorých údaje sa prenášajú do Spojených štátov, záruky, ktoré sú v podstate rovnocenné zárukám vyžadovaným v práve Únie, v tom zmysle, že by zaručoval tak nezávislosť ombudsmana stanoveného týmto mechanizmom, ako aj existenciu noriem oprávňujúcich uvedeného ombudsmana prijímať záväzné rozhodnutia voči spravodajským službám Spojených štátov. Na základe všetkých týchto dôvodov Súdny dvor vyhlásil rozhodnutie 2016/1250 za neplatné.
UPOZORNENIE: Návrh na začatie prejudiciálneho konania umožňuje súdom členských štátov v rámci sporu, ktorý rozhodujú, položiť Súdnemu dvoru otázky o výklade práva Únie alebo o platnosti aktu práva Únie. Súdny dvor nerozhoduje vnútroštátny spor. Vnútroštátnemu súdu prináleží, aby rozhodol právnu vec v súlade s rozhodnutím Súdneho dvora. Týmto rozhodnutím sú rovnako viazané ostatné vnútroštátne súdne orgány, na ktoré bol podaný návrh s podobným problémom.
 

[1] Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46 (Ú. v. EÚ L 119, 2016, s. 1).
[2] Článok 45 GDPR.
[3] Článok 46 ods. 1 a článok 46 ods. 2 písm. c) GDPR.
[4] Článok 49 GDPR.
[5] Rozhodnutie Komisie z 26. júla 2000 v súlade so smernicou Európskeho parlamentu a Rady 95/46/ES o primeranosti ochrany poskytovanej zásadami „bezpečného prístavu“ a súvisiacimi často kladenými otázkami vydanými Ministerstvom obchodu USA (Ú. v. EÚ L 215, 2000, s. 7; Mim. vyd. 16/001, s. 119).
[6] Rozsudok Súdneho dvora zo 6. októbra 2015, Schrems, C-362/14 (pozri tiež TK č. 117/15).
[7] Rozhodnutie Komisie z 5. februára 2010 o štandardných zmluvných doložkách pre prenos osobných údajov spracovateľom usadeným v tretích krajinách podľa smernice Európskeho parlamentu a Rady 95/46/ES (Ú. v. EÚ L 39, 2010, s. 5), zmenené a doplnené vykonávacím rozhodnutím Komisie (EÚ) 2016/2297 zo 16. decembra 2016 (Ú. v. EÚ L 344, 2016, s. 100).
8 Vykonávacie rozhodnutie Komisie (EÚ) 2016/1250 z 12. júla 2016 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranosti ochrany poskytovanej štítom na ochranu osobných údajov medzi EÚ a USA (Ú. v. EÚ L 207, 2016, s. 1).

Zdroj:
Súdny dvor Európskej únie
TLAČOVÉ KOMUNIKÉ č. 91/20, 16. júna 2020
Rozsudok vo veci C-311/18
Data Protection Commissioner/Facebook Ireland a Schrems
Neoficiálny dokument pre potreby médií, ktorý nezaväzuje Súdny dvor.
Úplné znenie rozsudku sa uverejňuje na internetovej stránke CURIA v deň vyhlásenia rozsudku.