Konflikt technologických obrů a evropských úřadů eskaluje. Minulý týden společnost Meta pohrozila, že své služby Facebook a Instagram stáhne z Evropy, pokud nebude moci přenášet data uživatelů na servery ve Spojených státech. Vzápětí přišel protiúder. Francouzské úřady prohlásily transfer a ukládání dat v USA z nejpoužívanějšího nástroje webové analytiky Google Analytics za nelegální, přičemž mají v hledáčku obdobná technologická řešení amerických poskytovatelů. Ke stejnému stanovisku došlo přede dvěma týdny Rakousko. Digitální aktivisté očekávají lavinový efekt v dalších státech.
Rozhodnutí francouzské Národní komise pro informatiku a svobodu je zásadní pro téměř všechny webové stránky v Evropské unii. Google Analytics je totiž nejrozšířenějším webovým statistickým programem sledujícím návštěvnost a další metriky. Přestože existuje mnoho alternativ, které jsou provozovány na evropských serverech, většina internetových stránek se spoléhá na služby společnosti Google.
Pro potřeby monitoringu je každému návštěvníkovi přidělen jedinečný identifikátor, který ale spadá do kategorie osobních údajů, a tudíž je jejich transatlantské sdílení a ukládání podle rozhodnutí Soudního dvora Evropské unie nelegální, protože americké zákony o dohledu vyžadují, aby poskytovatelé služeb z USA, jako jsou Google nebo Facebook, poskytovali osobní údaje americkým informačním službám, což bylo i jedním z hlavních odůvodnění rozhodnutí francouzského úřadu.
Rozhodnutí francouzské Národní komise padlo jen dva týdny po výroku rakouského Úřadu pro ochranu osobních údajů, jenž došel ke stejnému závěru jako Francouzi. Vedoucí aktivistické skupiny NOYB Max Schrems, na jehož popud se úřady začaly problematikou zabývat, očekává, že kroky ze strany dalších evropských států by měly být koordinované a rozhodnutí obdobné.
Digitální bojovníci za ochranu osobních dat z NOYB ve všech třiceti členských státech Evropského hospodářského prostoru a Unie podali 101 demonstrativních stížnosti na stejný počet evropských společností, které stále předávají údaje o každém návštěvníkovi webu Googlu a Facebooku za oceán. Stížnosti byly ale rovněž vzneseny proti technologickým obrům v jejich americké domovině za to, že nadále tyto přenosy údajů akceptují, přestože jsou v rozporu s GDPR (Obecné nařízení o ochraně osobních údajů – pozn. red.).
Nehraje se o málo. Společnostem porušujícím GDPR hrozí pokuta do dvaceti milionů eur nebo čtyř procent z celosvětového obratu, a to jak pro odesílatele osobních údajů z Unie, tak pro příjemce z USA.
„Sečteno a podtrženo, společnosti již nemohou v Evropě využívat americké cloudové služby. Nyní je to již rok a půl, co to soudní dvůr podruhé potvrdil, takže je více než načase, aby byl zákon také vymáhán,“ uvedl Schrems ve svém odvážném výkladu legislativy.
Pokud stejný právní výklad přetrvá a přikloní se k němu i další státy unie, z dlouhodobého hlediska existují dva způsoby řešení. Buď Spojené státy přizpůsobí svou právní úpravu v zájmu ochrany nejen celého technologického sektoru, nebo budou američtí poskytovatelé služeb muset spravovat zahraniční data mimo Spojené státy.
Kdo je Max Schrems a iniciativa NOYB
Rakouský právník Max Schrems založil skupinu NOYB (zkráceně My Privacy is None of Your Business čili Do mého soukromí vám nic není) roku 2017 s cílem chránit osobní informace na internetu. K soudu dohnali ty největší online platformy, jako jsou Facebook a Google, a naposledy v září i WhatsApp, který dostal pokutu 5,7 miliardy korun za nezákonné zacházení s daty uživatelů.
To podle Schremse může vést k separaci služeb pro Evropu a USA, nebo dokonce k přerušení jejich dodávky, což přesně asi před týdnem avizovala společnost Meta. „Osobně bych preferoval lepší ochranu v USA, ale to už je na amerických zákonodárcích, ne na nikom v Evropě,“ dodal Schrems.
Evropsko-americký spor o datové toky trvá už dlouhé roky. Soudní dvůr Evropské unie anuloval platnost už několika dohod o transatlantském převodu dat. Přestože to pokaždé podle NOYB vyvolalo v technologickém průmyslu vlnu obav, exportéři dat rozhodnutí do značné míry ignorovali. Microsoft, Facebook nebo Amazon i Google spoléhaly na takzvané „standardní smluvní doložky“, aby mohly pokračovat v přenosech dat a uklidnily své evropské obchodní partnery.
„NOYB plánuje postupně zvyšovat tlak na společnosti z unie i USA, aby přezkoumaly svá ujednání o přenosu dat a přizpůsobily se jasnému rozhodnutí Nejvyššího soudu Evropské unie,“ uvedl Schrems.
Iniciativa NOYB pro všechny potenciálně zasažené společnosti připravila pokyny pro vyhovění současnému výkladu legislativy.
Tato iniciativa není Schremsovým prvním počinem. Nedávno vyvinul program, který automaticky kontroluje, zda firmy dodržují povinnost obdržet explicitní souhlas uživatele se sdílením osobních údajů v podobě souborů cookies.
V první vlně má v plánu proskenovat deset tisíc největších webů po celé Evropě. Nyní má už Schremsovo hnutí zkontrolovanou půlku z cílového počtu subjektů a první stížnosti padly i na weby s českým provozovatelem. „Nahlásili jsme už jedenáct českých firem,“ upozornila Ala Krinickytė, právnička NOYB.