Počátkem června zveřejnily noviny The Washington Post a The Guardian informace o tajném bezpečnostním programu PRISM americké Národní bezpečnostní agentury (NSA). Na projektu zaměřeném na sledování evropské elektronické komunikace se měly podílet i velké internetové společnosti. Rakouská organizace europe-v-facebook.org (evf) podala koncem června stížnost na společnosti Facebook, Apple, Microsoft, Skype a Yahoo. Jejich možná spolupráce s NSA prý dle šéfa organizace Maxe Schremse porušuje evropské právo na ochranu osobních údajů.
Stížnosti podané u úřadů pro ochranu osobních údajů v Irsku (proti Facebooku a Applu), Lucembursku (proti Skypu a Microsoftu) a Německu (proti Yahoo) se týkají v první řadě transferu uživatelských dat evropskými dceřinými společnostmi do USA.
Skandál kolem tajného bezpečnostního programu PRISM se sice odehrává především v USA, nicméně koncerny, jichž se kauza týká, operují z daňových důvodů skrze své dceřiné společnosti v Evropské unii. Z toho důvodu musí dle organizace evf respektovat směrnice týkající se ochrany osobních údajů v právu EU. A to i navzdory skutečnosti, že uživatelská data ve většině případů zpracovávají až mateřské společnosti v Americe.
Organizace evf: Evropské společnosti nemohou jen tak přeposílat osobní údaje cizím tajným službám„Americké společnosti v Evropě vybudovaly složité sítě firem, s jejichž pomocí se za využívání nejrůznějších zákonů snaží ušetřit daně. Jejich vychytralost je ale teď dostala do velmi složité situace, kdy se najednou ocitnuly ve svěráku mezi americkým a evropským právem. Po důkladné konzultaci s řadou expertů jsme došli k závěru, že PRISM z evropského hlediska není v žádném případě legální,“ řekl v rozhovoru s ČESKOU POZICÍ Schrems.
Jakmile evropská dceřiná společnost odešle uživatelská data americké mateřské společnosti, jedná se o takzvaný export dat. Dle evropského práva je však export dat mimo Evropskou unii povolen pouze v případě, že cílová země garantuje adekvátní ochranu osobních údajů. Po odhalení britského Guardianu lze adekvátní ochranou osobních údajů logicky argumentovat jen stěží. „V případě, že zmíněné společnosti v Americe kooperují s NSA, lze veškerý export dat považovat za ilegální – tedy pokud tyto koncerny nebudou schopny dokázat, že informace uvedené v Guardianu nejsou pravdivé,“ vysvětluje Schrems s tím, že evropské společnosti nemohou jen tak přeposílat osobní údaje cizím tajným službám.
Nic než pravdu
„Americká vláda nařčení britského Guardianu jednoznačně nezamítla. Oproti tomu kooperující společnosti jsou v tomto případě americkými zákony (takzvaný gag order) vázány k mlčenlivosti. Musíme tedy vycházet z toho, že zprávy uplynulých týdnů jsou pravdivé,“ soudí Schrems a zdůrazňuje, že gag order se ale v žádném případě nevztahuje na evropské dcery. „Důkazní břemeno tedy v Evropě nesou ony. Buď budou schopny veřejnost věrohodně přesvědčit o tom, že je celý skandál novinářskou kachnou, anebo musejí vysvětlit, jak se k sobě hodí masové sdílení dat se zahraničními tajnými službami a ochrana osobních údajů v právu EU,“ vysvětluje Schrems.
Coby precedens uvádí organizace evf případ belgické finanční skupiny SWIFT z roku 2006. Tehdejší jednička v bankovních převodech se sídlem v Belgii porušila podle evropských odborníků pravidla na ochranu osobních údajů, když umožnila americkým protiteroristickým vyšetřovatelům přístup k informacím o soukromých finančních transakcích. „Projekt PRISM dle Guardianu funguje stejně jako tehdy fungovala spolupráce SWIFT s americkými úřady,“ říká student práv Schrems. Kauza SWIFT nakonec vedla k uzavření dohody mezi EU a USA o zpracovávání a předávání údajů o finančních transakcích.
Na tahu jsou nyní dle Schremse úřady pro ochranu osobních údajů ve zmíněných zemích, ony musejí rozhodnout, zda je chování výše uvedených společností legální či nikoli. „Očekáváme jasné vyjádření k tomu, zda evropské společnosti mohou jednoduše poskytovat cizím tajným službám informace o svých zákaznících. Pokud to legální je, tak musíme změnit zákony,“ řekl Schrems.
V rámci jednotlivých řízení v Evropě budou společnosti muset mimo jiné objasnit, jaká data konkrétně ukládají a jak s nimi nakládajíKromě právního objasnění si evf od šetření slibuje rovněž možnost nahlédnout do zákulisí fungování Facebooku a spol. V rámci jednotlivých řízení v Evropě budou společnosti muset s pravdou ven. Objasnit budou mimo jiné muset, jaká data konkrétně ukládají a jak s nimi nakládají. Pokud to totiž neudělají, hrozí jim dle Schremse nebezpečí, že do USA už nebudou moci předávat vůbec žádné údaje. A to by byl jejich konec. „Budeme chtít do spisů nahlédnout a o všem veřejnost informovat,“ slibuje zakladatel evf.
Jako první na stížnost evf zareagoval německý úřad pro ochranu osobních údajů BfDi. Její šéf Peter Schaar vyzval v Mnichově sídlící Yahoo! Deutschland GmbH, aby se k nařčení neprodleně vyjádřila.
O zakladateli studentské organizace evf ČESKÁ POZICE poprvé informovala počátkem roku 2012. Již tehdy se Schremsovi nelíbilo, jak největší sociální síť na světě nakládá s našimi osobními údaji. Na základě jeho podnětů, konkrétně 22 stížností, zahájil irský úřad pro ochranu osobních údajů rozsáhlé vyšetřování, které vedlo například k tomu, že Facebook v rámci Evropské unie nesmí používat technologie pro rozeznávání obličejů, musel trvale smazat řadu údajů, které o svých evropských uživatelích skladoval, a také opakovaně přepsat Zásady používání dat.
evf je dle slov Maxe Schremse připravena jít i do případného soudního sporu. Peníze na proces Rakušané sbírají prostřednictvím crowdfundingové stránky Crowd4privacy.org. Podporovatelé jim zatím poslali necelých 43 tisíc eur.