Důležitost dat a informací pro současnou ekonomiku je neoddiskutovatelná. I proto v posledních letech podnikla Evropská unie řadu opatření pro zajištění volného toku údajů napříč členskými státy. Stejně tak ale některé údaje, zejména ty osobní, chrání a snaží se zajistit, aby ve třetích zemích, včetně například USA, byla těmto datům (respektive osobám, kterých se týkají) poskytována adekvátní ochrana. Proto stanovuje i pravidla pro možnost jejich předání mimo Evropskou unii (respektive mimo Evropský hospodářský prostor).
V červenci minulého roku vydal Soudní dvůr Evropské unie (SDEU) hojně diskutovaný rozsudek ve věci Schrems II, ve kterém označil Privacy Shield, právní rámec výměny osobních údajů mezi Evropskou unií a Spojenými státy americkými zakotvený v prováděcím rozhodnutí Evropské komise, za neplatný. Unijním soudcům vadilo, že americké právní předpisy neposkytují datům úroveň ochrany rovnocennou s evropskou legislativou, tvořenou zejména nařízením GDPR a Listinou základních práv EU.
Ačkoliv Komisí předepsané standardní doložky o ochraně osobních údajů (SCCs) pro předávání osobních údajů mimo EU Soudní dvůr ponechal v platnosti, nad výměnou dat mezi EU a Spojenými státy se od loňského léta vznáší spoustu otazníků.
Nedávné rozhodnutí vrcholného francouzského soudu ve věci InterHop však potvrzuje, že i přes přísné požadavky unijní justice je výměna údajů mezi Evropskou unií a Spojenými státy i nadále možná, jsou-li při zpracování dat přítomna dostatečná opatření k zajištění vymahatelných práv subjektu údajů a účinná právní ochrana těchto fyzických osob, stejně jako další vhodné záruky.
Březnové usnesení francouzské Conseil d’État, která (mimo jiné) plní funkci nejvyššího správního soudu, je jedním z prvních rozhodnutí vnitrostátního soudu členského státu EU, které z rozsudku Schrems II přímo vychází. Zástupci zdravotních asociací a odborů se v rámci řízení ve věci InterHop domáhali přerušení spolupráce mezi francouzským ministerstvem zdravotnictví a soukromou společností, která pro ministerstvo zajišťuje rezervační systém na očkování. Žalobcům zejména vadilo, že tato společnost uchovává data u dceřiné společnosti americké AWS, jež patří pod gigant Amazon.
V řízení bylo zjištěno, že předávané údaje neobsahují údaje o zdravotním stavu pro posouzení způsobilosti dané osoby pro očkování, nýbrž toliko termíny očkování spolu s uvedením osob, které v nich mají být naočkovány. Rovněž bylo zjištěno, že údaje jsou buď automaticky vymazány nejpozději tři měsíce po termínu očkování, nebo přímo očkovanou osobou prostřednictvím online portálu.
Ministerstvu dále svědčila skutečnost, že předmětná dohoda o spolupráci předepisuje přesný postup, na jehož základě by orgánům veřejné moci byl umožněn přístup k předmětným údajům, existovalo-li by podezření na nesoulad s unijní legislativou. V neposlední řadě pak soudci ocenili skutečnost, že jsou osobní údaje zabezpečeny prostřednictvím šifrování důvěryhodnou třetí stranou se sídlem ve Francii.
Výše uvedená opatření je tak v daném případě možné označit za zajištění vymahatelných práv a účinné právní ochrany fyzických osob. Právě ty tak může být vhodné kombinovat s dalšími zárukami, např. se standardními doložkami o ochraně osobních údajů (SCCs). Tyto doložky jsou po rozhodnutí Schrems II pravděpodobně nejpoužívanějším a ve většině případů nejefektivnějším právním základem pro předání osobních údajů do USA.
Conseil d’État dospěla k závěru, že úroveň ochrany předmětných osobních údajů s ohledem na rizika přednesená žalobci, jakož i na povahu těchto údajů, „není zjevně nedostatečná“, a do vztahu mezi francouzským ministerstvem a soukromou společností tudíž nijak nezasáhla.
Jakkoliv je rozhodnutí důležitým milníkem pro vývoj vnitrostátní judikatury členských států v návaznosti na loňský rozsudek ve věci Schrems II, nelze jej považovat za nikterak překvapivé. Soudní dvůr dal již loni jasně najevo, že budou-li transatlantické smlouvy o zpracování osobních údajů obsahovat dostatečná právní a technologická opatření a budou poskytnuty vhodné záruky, výměně dat mezi oběma kontinenty nic nebrání.
Rozhodnutí ve věci InterHop tento závěr potvrzuje, a zároveň ukazuje konkrétní nástroje, kterými lze soulad s aktuálními požadavky unijní regulace docílit. Je však nutno dodat, že vzhledem k tomu, že rozhodnutím byl toliko zamítnut návrh na vydání francouzského ekvivalentu předběžného opatření, jeho „precedenční“ charakter pro budoucí vývoj judikatury nejen ve Francii zůstává nejistý.
Autor je externí právní analytik PwC Legal; MJur Candidate, University of Oxford
