Schrems II.: the doom of Privacy Shield and Standard Contractual Clauses?

Schrems I., the privacy milestone

The current situation is a déjà vu for the privacy practitioners whose thoughts go back to 2015, when the original case regarding the Safe Harbor proved to be a paradigm shift. This happened because CJEU essentially agreed with Max Schrems that the Safe Harbor system lacked protection adequate from the EU point of view based on then effective Directive 95/46/EC protecting personal data and the Charter of Fundamental Rights of the EU. The insufficient data protection overseas was the main concern because in particular some U.S. corporations had broad access to the global electronic communication. Also, there were no mechanics in place to compensate the individuals for such access and they could not efficiently enforce the correction or deletion of their data. This subsequently led to the dismantling of the Safe Harbor.

Without Safe Harbor, companies had to use a different approach in order to transfer the personal data from EU to U.S. Most of them opted to rely on SCCs, being the most practical and easy to implement solution. The EU and U.S. governments reacted by introducing the Privacy Shield, which was seen as the EU Commission’s initiative to replace the Safe Harbor by a more privacy-oriented solution. Contrary to the Safe Harbour, the Privacy Shield allows for a closer relationship between the U.S. Department of Commerce and local EU DPAs, increases the transparency of the data transfer, all data are subject to the Privacy Shield’s principle for their lifetime, or allows the affected (EU) data subject to institute arbitration against the U.S. corporation processing the personal data.

However, many experts and even data protection authorities expressed their doubts in this respect. For example, at our regular meetings with the leading officials of the Czech Data Protection Office, they repeatedly unofficially raised their doubts about the practical implementation of the Privacy Shield. Some of them raised doubts that the U.S. can (or is willing to) comply with the strict EU privacy protection; They rather vaguely suggested that EU and U.S. should conclude an international agreement allowing the data transfers (e.g. due to security concerns) but not pretending that EU personal data enjoy the same level of  protection in the U.S.

Schrems II., new issues on the horizon

Tomorrow, on 9 July, the CJEU is expected to hear a case regarding the above mentioned means of the international data transfer. Max Schrems filed a new complaint tied to the use of SCCs by Facebook with Irish Regulator, which was then referred to the High Court of Ireland for consideration. Facebook attempted to block a referral to the CJEU, however Supreme Court of Ireland ruled, that it cannot review referral decisions themselves. Therefore, the 11 questions posed,²  that very thoroughly question both SCCs and Privacy Shield will be answered by the CJEU. However, the issue remains mostly the same. The clash of the EU data protection standards and the US states insufficient data protection, where (as Schrems argues) the US law permits the mass surveillance without the adequate data protection to counterweigh it. The final judgement is expected by the end of 2019 or in the first half of 2020.³

Schrems II., aftermath

The practical implications of the decision may be vast, leading not only to nullification of certain provisions of SCCs and/or Privacy Shield, but it may lead even to their full dismantling. Subsequently, both institutes would be regarded as void and therefore could not serve as a legal basis for data transfers not only to the U.S. but in case of SCCs globally.

In such event, the Binding Corporate Rules (BCR) would be one of the last remaining alternatives. The BCR in general, are internal set of rules within international group of companies, which legitimise the transfer of personal data among them. They would likely become increasingly popular despite the fact that they are currently viewed as relatively complicated (approval by data protection authorities, etc.), time consuming and expensive. However, for the transfers outside the group, typically to external (U.S.) vendors, an alternative solution may be required.

Unfortunately, the list of viable alternatives for the third-party transfers outside of EEA, where no appropriate safeguard or so-called adequacy decision (white list of safe countries) are not in place, is very short. There are certain exceptions from the transfer restriction under Article 49 of the General Data Protection Regulation (GDPR), such as explicit informed consent of the data subject, a contract between the data subject the controller and third party, important reasons of public interest etc. However, the both GDPR and the privacy authorities consider them a last resort to be used only if no other mechanisms are available, which may soon be the case. All in all, there is no ready to access alternative for a scenario, where SCCs and/or Privacy Shield are dismantled. Let us hope that the judges take a pragmatic approach this time in order to avoid the panic, which spread in the global business community after its first decision four years ago. If not, the public privacy authorities will have to declare a public pardon for all transfers for a certain period of time, as they did after the Schrems I. decision. Otherwise, an earthquake in international trade and in our daily lives (at least for those using popular U.S. software applications and electronic communication services) would come.

Authors: Stanislav Bednář & Tomáš Jansa

Schrems II.: zkáza standardních smluvních doložek a Štítu EU-USA na ochranu soukromí?

Evropské právo v současnosti umožňuje přenos osobních údajů mimo území Evropského hospodářského prostoru (EHP) zejména za pomocí dvou základních právních nástrojů:  standardních smluvních doložek (dále jen „Doložky“) a tzv. Štítu EU-USA na ochranu soukromí (dále jen „Štít soukromí“). Oba tyto mechanismy jsou široce používány v praxi, jelikož umožňují podnikatelům působícím na území EHP legitimizovat přenos osobních údajů za hranice EHP. Nicméně oba se liší, když Doložka je v zásadě smlouvou mezi (alespoň) dvěma stranami, zatímco Štít soukromí funguje na bázi mezinárodní smlouvy mezi Ministerstvem obchodu USA a EU, která reguluje transatlantický přenos osobních údajů.

Soudní dvůr Evropské unie se na zítřejším jednání bude zabývat žalobou napadající oba  výše uvedené mechanismy zároveň. Avšak tento spor má kořeny sahají až do roku 2013, kdy se Max Schrems poprvé postavil společnosti Facebook. Pan Schrems působí jako rakouský právník a odhodlaný propagátor ochrany osobních údajů. Soustředí se především na osobních údajů Evropanů, jež korporace z USA sdílejí s tamními bezpečnostními službami. V roce 2017 založil pan Schrems neziskovou organizaci NOYB s cílem pomoci občanům bránit se před údajně „všudypřítomnými“ technologickými společnostmi.¹

Schrems I. - milník v ochraně osobních údajů

Odborníci na problematiku soukromí mohou vnímat současnou situaci jako déjà vu podobnou roku 2015, kdy původní spor týkající tzv. Bezpečných přístavů (tzv. „Safe Harbor) přinesl zásadní změny na poli ochrany osobních údajů. Soudní dvůr Evropské unie tehdy souhlasil s argumentací Maxe Schremse, že mechanismus Bezpečných přístavů v zásadě postrádal ochranu dostatečnou z pohledu EU, a to hlavně ve smyslu tehdy účinné směrnice o ochraně osobních údajů č. 95/46/ES a Listiny základních práv Evropské unie. Hlavním kamenem úrazu byla nedostatečná ochrana osobních údajů v zámoří, kdy některé korporace z USA měly široký přístup ke globálním elektronickým komunikacím. Přesto tamní právo neznalo žádné mechanismy, které by kompenzovaly jednotlivcům takto citelné zásahy do jejich sféry soukromí a neměli možnost požadovat opravu či výmaz jejich osobních údajů. Uvedené argumenty v konečném důsledku vedly ke zrušení právního rámce Bezpečných přístavů.

Bez fungujících Bezpečných přístavů museli podnikatelé začít používat jiné cesty pro efektivní přenos osobních údaje z EU do USA. Nejčastějším řešením se tedy staly právě Doložky z důvodu jejich snadné implementace a jednoduchosti užívání. Na zánik Bezpečných přístavů také reagovala Evropská unie, které společně s USA představila novou iniciativu, výše uvedený Štít soukromí, který nahradil Bezpečné přístavy. Oproti nim Štít soukromí umožňuje například užší spolupráci mezi Ministerstvem obchodu USA a orgány pro ochranu osobních údajů v jednotlivých členských státech EU, zvyšuje transparentnost přenosu osobních údajů, všechny údaje také podléhají základním principům Štítu soukromí po celou dobu své existence anebo umožňuje dotčeným jednotlivcům zahájit závaznou arbitráž s podnikatelem z USA ohledně jeho zpracování jejich osobních údajů.

Nicméně i na Štít soukromí se snesla vlna kritiky z řad mnoha expertů a dokonce i národní úřady pro ochranu osobních údajů vyjádřily v tomto smyslu jisté pochybnosti. Na našich setkáních s vedoucími představiteli českého Úřadu pro ochranu osobních údajů opakovaně zazněly pochybnosti ohledně fungování Štítu soukromí v praxi. Byla patrná nejistota, zda USA mohou (případně hodlají) dodržovat vysokou laťku ochrany osobních údajů nastavenou v rámci EU. Obecně bylo zmiňováno uzavření bilaterální mezinárodní smlouvy mezi EU a USA, jež by vzájemnou výměnu osobních údajů umožňovala např. z bezpečnostních důvodů (boj proti terorismu), jako alternativa stávajícího předstírání, že evropské osobní údaje požívají v USA stejné ochrany.

Schrems II. - nové problémy na obzoru

Zítra, 9. července, se před Soudním dvorem Evropské unie bude projednávat případ týkající se právě výše zmíněných nástrojů pro přeshraniční přenos osobních údajů. Pan Schrems totiž v souvislosti se společností Facebook podal novou stížnost napadající Doložky i Štít soukromí u irského regulátora, od něhož skrze irský Vrchní soud doputovala k projednání až před evropské soudy. Společnost Facebook tomuto postoupení pokusila zabránit, ale irský Nejvyšší soud rozhodl, že mu rozhodnutí o postoupení věci nepřísluší přezkoumávat.  A proto všech 11 otázek², jež velmi extenzivně rozebírají jak Doložky, tak Štít soukromí, bude zodpovězeno Soudním dvorem Evropské unie.

Přesto podstata případu zůstává stále stejná - střet mezi evropským pojetím ochrany osobních údajů a jejich údajně nedostatečnou ochranou v USA, jejichž právní řád (jak namítá Schrems) umožňuje hromadné sledování bez korektivu dostatečné soudní ochrany. Definitivní rozhodnutí ve věci lze očekávat ke konci roku 2019 nebo v prvním pololetí roku 2020.³

Schrems II. - důsledky

Praktické dopady soudního rozhodnutí by mohly být dalekosáhlé a vést nejenom ke zrušení určitých ustanovení Doložek a/nebo Štítu soukromí, nýbrž i k jejich úplnému zrušení. Následně by tyto mechanismy nemohly sloužit jako právní základ umožňující přenos osobních údajů nejen do USA ale (v případě Doložek)  zásadě do celého světa.

Nastalou situaci by částečně bylo možné řešit za pomocí tzv. závazných podnikových pravidel, jež představují soubor interních pravidel platných v rámci mezinárodní skupiny společností, které umožňují vzájemné předávání osobních údajů mezi nimi. Tato pravidla by se s největší pravděpodobností začala používat v širší míře než je tomu dosud bez ohledu na to, že jsou momentálně považována za relativně komplikovaná (např. je zapotřebí schválení ze strany dozorových orgánů), časově náročná a nákladná. Uvedená pravidla ani nepokrývají všechny problémy, jako např. předání údajů mimo skupinu (typicky externímu dodavateli z USA), pro něž by bylo zapotřebí nalézt jiné řešení.

Zatím bohužel nemáme dostatek přijatelných alternativ pro předávání osobních údajů jiným osobám ze států mimo EHP, kde neexistuje dostatečná ochrana nebo tzv. rozhodnutí o odpovídající ochraně (seznam bezpečných zemí). Určitou výjimku ze zákazu přenosu osobních údajů mimo EHP lze spatřovat v ustanovení čl. 49 Obecného nařízení o ochraně osobních údajů (GDPR), které přenos umožňuje v případě výslovného informovaného souhlasu subjektu údajů, předání nezbytného pro splnění smlouvy mezi subjektem údajů a správcem, z důvodů veřejného zájmu, apod. Avšak dle převládajících stanovisek odborné veřejnosti se jedná o prostředek uplatňovaný jen v krajních případech, pokud žádný jiný mechanismus není dostupný, což v této situaci může zcela zřejmě nastat.

Závěrem nezbývá než konstatovat, že neexistuje žádná jiná snadno dostupná alternativa, pokud soud Doložky anebo Štít soukromí zruší. A tak nezbývá než doufat, že soudci tentokrát zvolí pragmatický přístup k tomuto problému, aby zabránili opakování paniky, která se již po vydání prvního rozhodnutí před čtyřmi lety nekontrolovatelně šířila celou globální obchodní komunitou. V opačném případě nezbyde dozorovým orgánům než dočasně omezit odpovědnost za všechny přenosy osobních údajů do USA na základě zrušených právních nástrojů, což učinily již po vynesení rozhodnutí Schrems I. V opačném případě se otřese svět mezinárodního obchodu a našeho každodenního života alespoň pro ty uživatele, kteří užívají populární aplikace a služby elektronické komunikace původem z USA.

Footnotes:

1. www.computing.co.uk/ctg/news/3022105/activist-max-schrems-launches-nyob-to-defend-individual-privacy-under-gdpr
2. www.europe-v-facebook.org/sh2/ref.pdf
3. curia.europa.eu/jcms/upload/docs/application/pdf/2018-03/cp180036en.pdf