Očekávaný rozsudek ve věci C-311/18 (tzv. „Schrems II“) vydal SDEU 16. července 2020. Zodpovídal v něm na jedenáct otázek ohledně úrovně ochrany při předávání osobních údajů do třetích zemí a s tím souvisejících povinností dozorových úřadů. Hlavní z nich směřovala na platnost štítu a standardních smluvních doložek. Oba mechanismy přitom dosud měly klíčovou roli. Nařízení GDPR totiž stanoví, že k předávání osobních údajů do třetí země může dojít pouze tehdy, pokud příslušná země zajistí odpovídající úroveň jejich ochrany. V praxi evropské společnosti předávají osobní údaje na základě dohod obsahujících standardní smluvní doložky nebo ve vztahu k USA spoléhaly na štít na ochranu soukromí.
Spor s Facebookem má své kořeny v roce 2013, kdy Maxmillian Schrems podal stížnost u irského komisaře pro ochranu údajů. Považoval totiž přenos osobních údajů společností Facebook Ireland na servery ve vlastnictví společnosti Facebook Inc. umístěné v USA za nebezpečný. To vedlo ke zneplatnění koncepce bezpečného přístavu a o pár měsíců později vznikl štít EU-USA na ochranu soukromí.
Další Schremsova stížnost napadala předávání osobních údajů na základě standardních smluvních doložek. Žádal, aby irský dozorový úřad zakázal předávání jeho osobních údajů z EU do USA. Irský úřad dospěl k názoru, že vyřízení stížnosti závisí mimo jiné na platnosti rozhodnutí o štítu na ochranu soukromí mezi USA a EU. Jak jsme popsali dříve, generální advokát ve svém stanovisku považoval standardní smluvní doložky za stále platné. V souvislosti se štítem však vyjádřil pochybnosti ohledně úrovně ochrany údajů poskytovaných do USA, zejména s ohledem na činnost tamních bezpečnostních orgánů.
Ve světle GDPR nakonec SDEU rozhodl, že vnitrostátní předpisy USA upravující přístup a používání osobních údajů dovážených z EU neposkytují ochranu, která je rovnocenná ochraně zaručené v Unii. SDEU upřesňuje, že při posuzování ochrany je třeba vzít v úvahu jak smluvní ujednání mezi vývozcem osobních údajů v EU a příjemcem předávaných údajů ve třetí zemi, tak prvky právního řádu této země, s ohledem na případný přístup orgánů veřejné moci třetí země k předávaným osobním údajům. SDEU poukázal na nedostatečnou úroveň právní ochrany osobních údajů v USA. Tamní úřady nenaplňují zásadu proporcionality, protože jejich sledovací programy se neomezují jen na nezbytně nutná zjištění.
Standardní smluvní doložky pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích naproti tomu zůstávají platné. Obsahují totiž účinné mechanismy, které v praxi umožní zajistit úroveň ochrany vyžadovanou unijním právem. V případě, že by došlo k jejich porušení nebo nebylo možné je dodržet, lze dočasně nebo trvale zakázat předávání osobních údajů na jejich základě. SDEU konstatuje, že rozhodnutí o smluvních doložkách takové mechanismy zavádí, protože stanoví povinnost vývozce a příjemce osobních údajů předem ověřit, že ve třetí zemi bude tato úroveň ochrany dodržena. Dále příjemci ukládá povinnost informovat vývozce osobních údajů, pokud nebude moci zajistit dodržování doložek o ochraně. Vývozce v takovém případě musí pozastavit předávání údajů nebo odstoupit od smlouvy s příjemcem.
Předávání osobních údajů do USA či třetích zemí na základě standardních smluvních doložek je ale nyní velkou otázkou. Například úřad berlínského Komisaře pro ochranu osobních údajů již v podstatě vyzval správce údajů, aby od jejich předávání do USA odstoupili a preferovali čistě evropské řešení. Evropský sbor pro ochranu osobních údajů v souladu s rozsudkem zdůraznil nutnost adekvátního posouzení nejen obsahu doložek, ale především okolností předávání údajů a právního režimu cílové země. Doporučujeme také monitorovat činnost Evropské komise, která by mohla znění smluvních doložek aktualizovat.