Schrems II, päť rokov potom

Rozsudok, ktorému zmena pravidiel trvala tri hodiny

16. júla 2020 okolo štvrť na jedenásť predpoludním luxemburského času Súdny dvor Európskej únie zverejnil rozsudok vo veci C-311/18. V nasledujúcich troch hodinách právny režim, ktorý podporoval každodenný prenos osobných údajov z Európy do Spojených štátov — takzvaný Štít na ochranu osobných údajov (Privacy Shield v oficiálnom názve) — prestal existovať. Keď európski úradníci pre ochranu údajov v ten deň doobedovali, rámec, v ktorom ich spoločnosti a úrady fungovali, už neplatil.

Rozsudok je dnes známy ako Schrems II, podľa Maximiliana Schremsa, rakúskeho aktivistu, ktorého sťažnosť proti Facebook Ireland ho vyvolala. Sťažnosť sa konkrétne týkala prenosov medzi Facebook Ireland a Facebook United States. Rozsudok vo všeobecnosti zachádza oveľa ďalej: diktuje, ako a za akých podmienok môžu akékoľvek osobné údaje zhromaždené na európskom území prejsť do Spojených štátov.

Takmer po šiestich rokoch existuje náhradný rámec — EU-US Data Privacy Framework, prijatý v júli 2023 — a ten je tiež pod právnym tlakom. Pripravuje sa nové kolo případu Schrems. Medzitým európske malé a stredné podniky naďalej používajú americké cloudové služby pre každodenné úlohy, väčšinou bez toho, aby vedeli, že právna otázka, na ktorej tieto služby spočívajú, zostáva otvorená.

Čo presne hovoril Schrems II

Rozsudok stojí na troch pilieroch. Prvým je Charta základných práv Európskej únie, najmä jej články 7 (súkromný a rodinný život), 8 (ochrana osobných údajov) a 47 (právo na účinný súdny prostriedok nápravy). Druhým je Všeobecné nariadenie o ochrane údajov — RGPD, ktoré si mnohí Európania pamätajú len vďaka upozorneniam na cookies —, konkrétne jeho kapitola V, články 44 až 50, o medzinárodných prenosoch. Tretím je americká legislatíva v oblasti spravodajstva: oddiel 702 Foreign Intelligence Surveillance Act, FISA 702 v právnom žargóne, a prezidentský výkonný príkaz 12333.

Súd postupoval formou kontrastu. Charta základných práv vyžaduje, aby osobné údaje európskych občanov pri odchode z Únie požívajú úroveň ochrany v podstate rovnocennú úrovni zaručenej nariadením RGPD. Otázkou teda bolo, či Spojené štáty ponúkajú túto v podstate rovnocennú úroveň.

Odpoveď bola negatívna, a to nie kvôli detailom. FISA 702 umožňuje americkej vláde zhromažďovať komunikáciu osôb, ktoré nie sú americkými občanmi a nachádzajú sa mimo štátneho územia, bez predchádzajúceho individuálneho súdneho povolenia, bez oznámenia dotknutej osobe a bez účinného prostriedku nápravy porovnateľného s európskym. Výkonný príkaz 12333 analogicky rozširuje túto kapacitu mimo štátneho územia. Súd dospel k záveru, že európsky občan nemá pred americkým právnym systémom k dispozícii v podstate rovnocennú ochranu, ktorú Charta vyžaduje. Rovnocennosť teda neexistuje.

Z toho vyplynul priamy dôsledok: rozhodnutie Európskej komisie 2016/1250, ktoré potvrdilo Privacy Shield ako primeraný rámec pre prenosy, bolo vyhlásené za neplatné. Akýkoľvek prenos založený výlučne na tomto rámci zostal od toho okamihu bez právneho základu.

Čo prežilo (a za akých podmienok)

Schrems II neodstránil všetky nástroje. Štandardné zmluvné doložky — SCC v medzinárodnom žargóne, podľa anglickej skratky Standard Contractual Clauses — prežili. Sú to vzorové zmluvy schválené Európskou komisiou: európsky exportér a importér z cieľovej krajiny ich podpíšu a zaviažu sa, že s údajmi budú narábať podľa európskeho štandardu. Spoločnosť, ktorá si myslela, že problém vyriešila 17. júla 2020, podpísala SCC so svojím dodávateľom a bola spokojná.

Nepríjemnosť prišla pri pozornom čítaní rozsudku. Súd jasne uviedol, že SCC zostávajú v platnosti, ale ich platnosť závisí od podmienky, ktorú treba zdôrazniť: aby ich importér údajov mohol v praxi plniť. Ak mu vnútroštátna legislatíva cieľovej krajiny bráni v plnení doložiek — napríklad preto, že príkaz podľa FISA 702 ho zaväzuje odovzdať údaje bez oznámenia svojmu európskemu partnerovi —, doložky v skutočnosti nechránia. A vtedy, hovorí súd, musí európsky exportér prenos pozastaviť.

To do európskej praxe ochrany údajov zaviedlo nový objekt: Transfer Impact Assessment alebo posúdenie vplyvu prenosu, známe pod anglickou skratkou TIA. Zakaždým, keď európska spoločnosť chce preniesť údaje do Spojených štátov na záklase SCC, musí formálne posúdiť, či príjemca môže doložky plniť vzhľadom na legislatívu, ktorá sa naňho vzťahuje. Európsky výbor pre ochranu údajov zverejnil podrobné usmernenia, ako TIA vykonávať. Poctivá prax zvyčajne prináša rovnaký výsledok: ak je importérom americká dcérska spoločnosť veľkého cloudového operátora, úprimná odpoveď na TIA je, že doložky nie je možné plniť tak, ako sú napísané.

Privacy Framework a čakajúci Schrems III

10. júla 2023 Európska komisia prijala nové rozhodnutie o primeranosti: 2023/1795. Nahrádza zaniknutý Privacy Shield a funguje pod názvom EU-US Data Privacy Framework. Spojené štáty predtým zmenili svoj vnútorný režim prostredníctvom výkonného príkazu 14086, ktorý obmedzuje rozsah spravodajstva zo signálov na „nevyhnutný a primeraný“ — terminológia známa európskemu čitateľovi, nie však americkej administratívnej praxi — a vytvára revízny orgán s názvom Data Protection Review Court (DPRC). Komisia usúdila, že tieto zmeny postačujú na obnovenie v podstate rovnocennej úrovne.

Organizácia noyb, založená Schremsom, podala 7. septembra 2023 sťažnosť proti novému rozhodnutiu. Argumenty sú očakávané: DPRC nie je nezávislý súd v zmysle článku 47 Charty; pojmy „nevyhnutný a primeraný“ mechanicky neprekladajú európske štandardy; a napokon, ochrana založená na výkonnom príkaze môže byť zrušená nasledujúcim výkonným príkazom. Rozsudok Súdneho dvora EÚ o novom rozhodnutí — ktorý mnohí s istou rezignáciou už teraz nazývajú Schrems III — sa očakáva v nasledujúcich rokoch. Výsledok sa nedá predpovedať. Štruktúra argumentácie v každom prípade silne pripomína tú z roku 2020.

Čo európsky malý podnik nepočuje

Zatiaľ čo veľká komora Súdneho dvora EÚ rokuje, stredne veľká advokátska kancelária naďalej korešponduje so svojimi klientmi prostredníctvom Microsoft 365 hostovaného v európskych regiónoch, ktorý však vlastní americká spoločnosť podliehajúca FISA 702. Súkromná lekárska ambulancia synchronizuje kalendáre cez Google Workspace. Daňový poradca posiela podpísané priznania cez DocuSign. Psychológ fakturuje z tabuľky v Notione. Kancelária zaoberajúca sa pracovným právom archivuje spisy v Dropboxe. A prakticky všetci z nich navyše obsluhujú svojich klientov cez WhatsApp. To všetko môže fungovať pod záštitou, podľa dodávateľov, rozhodnutia o primeranosti 2023/1795. V deň, keď toto rozhodnutie v rámci Schrems III padne, všetky tieto vzťahy zostanú v tej istej sekunde nechránené.

Otázka nie je rečnícka. Medzi rokmi 2022 a 2024 viaceré európske orgány vyriešili spisy proti prevádzkovateľom za používanie Google Analytics bez adekvátneho nástroja na prenos, v doslovnom uplatnení úvahy Súdneho dvora EÚ ešte predtým, ako Privacy Framework vstúpil do platnosti. Francúzsky orgán CNIL bol prvý, ktorý v roku 2022 formalizoval toto kritérium; rakúske, talianske a ďalšie orgány nasledovali krátko nato. Nesúlad sa pri súčasnom prevádzkovom nastavení európskych malých podnikov dokumentuje v reálnom čase pred každým, kto vie, kam sa pozrieť.

TIA ako nástroj, nie ako rituál

Značná časť TIA, ktoré cirkulujú v európskych kanceláriách, sú pri pozornom čítaní formálnymi cvičeniami. Uvádzajú zmluvné nástroje, vymenúvajú certifikácie dodávateľa, citujú technické záruky, zaškrtávajú políčko. Máloktoré sa vážne pýtajú, či by príkaz FISA 702 zaviazal dodávateľa odovzdať údaje. Ešte menej sa ich pýta, čo by sa s týmto prenosom stalo pri hypotetickej revízii Privacy Frameworku. Článok 5 RGPD vyžaduje, aby prevádzkovateľ bol schopný preukázať súlad. TIA, ktorá sa nerobí vážne, nedokazuje nič; to, čo dokazuje, je vôľa plniť veci na papieri, zatiaľ čo v praxi sa robí opak.

Úprimná verzia TIA začína jednoduchou otázkou: čo by sa stalo, keby zajtra tomuto dodávateľovi prišiel príkaz FISA 702 týkajúci sa týchto konkrétnych údajov? Ak je čestná odpoveď „musel by ich odovzdať bez toho, aby nás informoval“, zmluvné doložky problém neriešia. Čo ho rieši v prípadoch, kde na otázke skutočne záleží, je nedostať údaje do rúk tohto dodávateľa.

Politická zmena ako štrukturálne riziko

Existuje ďalšia vrstva, politická, ktorú sa patrí pomenovať bez dramatizovania. Rozhodnutie o primeranosti 2023/1795 v konečnom dôsledku stojí na výkonnom príkaze 14086, ktorý podpísal prezident Biden v októbri 2022. Výkonný príkaz podpisuje prezident a ten nasledujúci ho môže zrušiť, zmeniť alebo vyprázdniť jeho obsah. Ochrana európskych údajov v Spojených štátoch tak závisí od administratívneho rozhodnutia, ktoré ani americký Kongres negarantuje, ani americký právny systém nechráni s takou pevnosťou, s akou chráni iné vnútroštátne záležitosti. Od januára 2025 vládne v Spojených štátoch nová administratíva a otázka praktickej kontinuity EO 14086 prestala byť hypotézou a stala sa súčasnosťou. Akýkoľvek scenár, v ktorom sa administratíva rozhodne zrušiť alebo oslabiť príkaz, by nechal európske rozhodnutie bez kusu, na ktorom bolo postavené.

Nie je to konšpiračný argument. Je to triezve čítanie právneho dizajnu. Transatlantické rámce ochrany údajov padli už dvakrát: Safe Harbor v roku 2015 (rozsudok Schrems I), Privacy Shield v roku 2020 (rozsudok Schrems II). Tretí stojí na fragilnejšom kuse než jeho dvaja predchodcovia. Európska spoločnosť, ktorá dnes staví svoje spracovanie údajov na tento kus, robí rozhodnutie o riadení rizík, nielen o obyčajnom dodržiavaní predpisov.

Pre odborného čitateľa

Prevádzkové otázky, ktoré je vhodné si položiť pred výberom cloudovej služby pre profesionálne údaje — s takou prísnosťou, s akou by ich položil inšpektor ochrany údajov — sú nasledujúce:

1. Kde sú údaje fyzicky uložené? Európsky región nie je dostatočnou odpoveďou, ak je operátor americký.
2. Kto prevádzkuje službu, v akej jurisdikcii je zapísaná a akým právnym príkazom môže byť podriadená?
3. Aký nástroj prenosu sa uplatňuje: rozhodnutie o primeranosti 2023/1795, SCC s TIA, výnimka podľa článku 49 RGPD? Je táto voľba obhájiteľná pri kontrole?
4. Ak by rozhodnutie o primeranosti zajtra padlo, aký prevádzkový plán existuje na udržanie činnosti?
5. Existuje pre túto funkciu európska alebo samostatne hostovaná alternatíva a aké by boli reálne náklady na migráciu?

Nie všetky funkcie každodennej kancelárie si vyžadujú rovnakú odpoveď. Tabuľka pre interné účtovníctvo pravdepodobne nevyvoláva otázku na tejto úrovni. Trestný spis klienta, zdravotná dokumentácia, mzdy zamestnancov áno. Proporcionalita je legitímna; kolektívna zotrvačnosť, s ktorou európsky malý podnik zostal u amerických dodávateľov vo všetkom — aj v tom najcitlivejšom —, nie je.

---

Schrems II oslávi tento júl šesť rokov. Rozsudok nezmenil každodenné návyky väčšiny európskych spoločností. Zmenil však mapu rizík, ktorým sú tieto spoločnosti vystavené. Keď sa americké administratívne rozhodnutie postaví medzi európske nariadenie a skutočnú prevádzku malého podniku, je dobré aspoň vedieť, že toto rozhodnutie existuje a že je krehké. Tí z nás, ktorí si zvolili architektúru bez operátora uprostred — niť, ktorá sa ťahá cez Cuadernos Lacre —, by sme radšej nemuseli písať tento druh analýzy zakaždým, keď sa nejaký Schrems rozhodne podať odvolanie. Budeme ich však robiť aj naďalej.