Menu

Právník, který porazil Facebook, bude chránit spotřebitele při porušení GDPR

Až v květnu 2018 nabude účinnosti GDPR, právník a aktivista Max Schrems začne sbírat stížnosti od poškozených spotřebitelů. Ve světě ochrany osobních údajů už má jméno. V právním sporu porazil například společnost Facebook. A chce si došlápnout na další technologické firmy.

Max Schrems není v evropských právních kruzích neznámý. Mladý rakouský právník, který v roce 2015 vyhrál u Soudního dvora Evropské unie spor ohledně transferu dat do USA, se otázkou ochrany osobních údajů zabývá dlouhodobě. Nyní, v předvečer účinnosti nařízení GDPR, se rozhodl postavit opět na slabší stranu – plánuje pomáhat spotřebitelům, kterých se porušení nařízení dotkne.

Schrems uvedl, že bude shromažďovat stížnosti spotřebitelů a zároveň bude iniciovat případy na základě nových požadavků na ochranu soukromí. GDPR bude vymahatelné od 25. května 2018 a tak je pravděpodobné, že Schrems bude mít plné ruce práce. „Když máte politický cíl, můžete na něm stavět nové případy,“ citovala Schremse agentura Euractive.com s tím, že jeho politickým cílem je prosazování ochrany soukromí.

Nezisková organizace, kterou Schrems pro tyto účely založil, se jmenuje NOYB. Jméno je akronymem složeným z anglického „none of your business“ (volně přeloženo: „do toho ti nic není“). Sídlo neziskovky je ve Vídni. Hlavní město Rakouska už organizaci podpořilo grantem 25 tisíc eur.

Podle Schremse je Vídeň ideální lokalitou pro jeho organizaci. „V Rakousku nemáme obchodníky, kteří vydělávají na prodeji osobních údajů,“ uvedl. Poukázal tak na rozdíl s ostatními zeměmi EU, v nichž působí technologické firmy, jejichž business model je založený právě na analyzování uživatelských dat.

Přelomový spor s Facebookem

Jméno v oblasti ochrany osobních údajů si Max Schrems vybudoval už před několika lety, kdy se pustil do sporu se společností Facebook. Nejdříve podal žalobu u irských soudů, protože právě v Irsku má Facebook své evropské sídlo.

V Irsku neuspěl, protože místní úřad pro ochranu osobních údajů Schremsovy stížnosti zamítl. Odvolal se na rozhodnutí Evropské komise z roku 2000, která tehdy konstatovala, že USA zajišťují odpovídající úroveň ochrany předávaných osobních údajů, a to v rámci režimu takzvaného „bezpečného přístavu“. Tento režim zavedl řadu zásad týkajících se ochrany osobních údajů, podle nichž se americké firmy, u kterých tyto údaje nakonec „zakotví“, dobrovolně zavazovaly k dodržování určitých standardů.

Na podzim 2015 ale Soudní dvůr Evropské unie rozhodnutí Evropské komise z roku 2000, podle něhož USA zajišťují odpovídající úroveň ochrany osobních údajů předávaných z EU do USA, zneplatnil. Konstatoval, že posoudit a rozhodnout, zda předání osobních dat odpovídá pravidlům jejich ochrany, mohou unijní státy. Výsledkem celé kauzy nakonec byla tzv. dohoda Privacy Shield.

Od tohoto milníku, úspěšného soudního sporu s provozovatelem největší sociální sítě, se Schrems angažoval v několika právních střetech ohledně soukromí uživatelů. Mimo jiné podal další žalobu proti Facebooku, který použil pravidla EU, známá jako standardní smluvní doložky, k přenosu dat do USA. Irský soud tuto věc předal Soudnímu dvoru Evropské unie letos v říjnu.

Zkušenosti, které  Schrems získal, chce nyní využít ve své nové neziskové organizaci. V merku nebude mít jen Facebook. Zaměří se na další velké firmy, které pracují s daty uživatelů. Nechal se slyšet, že jeho neziskovka by mohla jít i po společnosti Apple, která má sáhodlouhé obchodní podmínky, jež musí spotřebitelé odsouhlasit, než si koupí některé výrobky.

Schremsův krok, založení neziskovky, která se zaměří na pomoc poškozeným spotřebitelům, může znamenat jednu podstatnou věc: velké technologické a datové firmy pravděpodobně přinutí, aby nové nařízení Evropské unie braly vážně. Porušení GDPR bude pokutováno až 20 miliony eur, respektive 4 % z celkových příjmů podniku. A samotná hrozba soudního sporu také není nic příjemného.

Pravdou je, že celá potíž ohledně ochrany osobních údajů spotřebitelů je v tom, že ze strany některých firem není respektována.

Můžeme mít opravdu dobré zákony, které říkají, že chrání naše soukromí. Ale pokud velká část technologického odvětví tyto zákony nerespektuje a neexistuje žádná smysluplná náprava, máme skutečně vynutitelná práva?“ nechal se Schrems slyšet. Podle jeho názoru společnosti, které nařízení nedodrží, nepoškodí pouze spotřebitele, ale také firmy, které jednají férově a nařízení respektují, protože budou oproti konkurenci znevýhodněny.

Nezisková organizace NOYB pravděpodobně nebude ztrácet čas a s právní pomocí poškozeným spotřebitelům začne hned, jakmile začne být GDPR účinné. Jedno z ustanovení v tomto novém nařízení umožňuje, aby nezisková organizace zastupovala skupinu osob, jejichž právo na ochranu soukromí bylo porušeno. O možnosti podat „skupinovou žalobu“ nebo „hromadnou stížnost“ se zmiňuje článek 80 nařízení GDPR. Ten také říká, že je třeba hledat nejlepší možnou jurisdikci. A to bude pro řešení sporů důležité.

Skupinové žaloby a hromadné stížnosti pomohou snížit náklady na soudní spory. Schrems plánuje financovat hromadné žaloby prostřednictvím společností, které financují veškeré náklady na řízení výměnou za procenta získaná z náhrady škod. Proto bude důležité vybrat takové případy, které mají šanci vyhrát. Síla bude především ve spojení poškozených uživatelů. Protože případ jednoho spotřebitele může být marginální, zatímco pokud bude postiženo například tisíc lidí, budou se na to soudy dívat už z jiného úhlu pohledu.

Jako příklad Schrems uvádí úspěšný soudní spor, který vedl s Facebookem. „Napřed jsem si myslel, že se připojí jen pár lidí. Ve skutečnosti se po šesti dnech zaregistrovalo 25 tisíc lidí,“ uvedl. Proto věří, že lidé nebudou nechávat ochranu osobních údajů náhodě a aktivně se zapojí.

Jenže ne vše musí hrát nutně do Schremsových karet. Stěžovatelé často čelí problému, který je známý jako „černá krabička“ (blackbox). Ta je podstatou softwarů digitálních produktů a informačních softwarů. Schrems chce proto úzce spolupracovat s univerzitami, výzkumnými pracovníky a organizacemi sdružujícími hackery nebo zabývajícími se digitálními právy.  

NOYB se zaměří především na práva spotřebitelů. Ačkoliv už některé další organizace dohlíží na soudní případy, podle Schremse to není dostatečné. Tyto organizace, v Evropě například EDRi, mají tendenci soustředit se na přestupky řešené s vládním dohledem, zatímco NOYB se bude zaměřovat na porušování obchodních zákonů, tedy na oblast, kde se běžný člověk orientuje jen obtížně. „V praxi lidé nejsou příliš ochotni podávat žaloby proti zjevnému porušení svého soukromí, a to často kvůli banálním nákladům v případě prohry. To vede k tomu, že se téměř žádné soudní spory v případech porušení ochrany osobních údajů nevedou,“ vysvětlil Schrems.

Jak se právník nechal slyšet, jeho role v NOYB má být hlavně manažerská. „Nechci strávit zbytek života u soudů,“ citoval Schremse portál Euractive.com. Pro svoji myšlenku chce získat (a zaměstnat) právníky a organizace z různých zemí Evropské unie, kteří budou pracovat z kanceláře neziskovky ve Vídni.

V současné chvíli neziskovka NOYB získala už přes 140 tisíc eur. Mezi největší donátory patří město Vídeň (25 tisíc eur), nizozemská firma StartPage (20 tisíc eur) a americká organizace EPIC (5 000 eur). Schrems ale doufá, že se mu podaří posbírat až 500 tisíc eur pomocí crowdfundingové kampaně, kterou už spustil. Přiznává, že s ohledem na čas, který zbývá do doby účinnosti GDPR, je to ambiciózní cíl.

Přestože NOYB bude aktivní především v EU, Schrems doufá, že bude mít globální dopad. „Evropská unie je jedním z největších trhů na světě. Do velké míry všechny velké mezinárodní společnosti mají ústředí v některém členském státě EU, takže všichni hlavní aktéři podléhají právu EU. To znamená, že prosazování spotřebitelského práva v Evropě může ovlivnit standardy po celém světě,“ uzavírá Schrems.

Mgr. Eva Škorničková
Mgr. Eva Škorničková

Jsem nezávislá právní konzultantka ochrany osobních dat a bezpečnosti IT. O obsah portálu GDPR.cz pečuji jako jeho zakladatelka a šéfredaktorka s podporou redakčního týmu. Máte-li pro nás zajímavý tip, sem s ním!


Hlavní partneři

GDPR vstoupí v účinnost za :

  dnů :   hodin :   minut :   vteřin

: 25. května 2018