top of page

Microsoft odhalil slabinu datové suverenity EU

  • Obrázek autora: Josef Bátrla
    Josef Bátrla
  • 11. 9. 2025
  • Minut čtení: 5

Americká společnost Microsoft přiznala, že nedokáže zaručit plnou ochranu dat uložených v EU před požadavky amerických úřadů. Co to znamená pro předávání osobních údajů do USA? Může být Data Privacy Framework zrušen?



Na půdě francouzského senátu, kde se debatovalo o veřejných zakázkách a jejich vlivu na evropskou digitální suverenitu, zazněla slova, která okamžitě vzbudila pozornost všech odborníků na ochranu osobních údajů. Microsoft totiž přiznal, že i kdyby chtěl, nedokáže zaručit plnou ochranu dat uložených v Evropě před požadavky amerických úřadů. Zástupci Microsoftu totiž otevřeně připustili, že pokud obdrží řádně podanou žádost amerických úřadů, společnost je povinna jim předat i data evropských zákazníků – bez ohledu na to, zda jsou uložena na serverech v Evropě, nebo v USA. Připomenuli tak zásadní rozdíl mezi tím, kde data fyzicky leží, a tím, kdo nad nimi má v konečném důsledku právní kontrolu. Zároveň však druhý nejvyšší soudní orgán v EU rozhodl 3. 9. 2025 o tom, že Data Privacy Framework je v pořádku – jak si tedy stojíme?


Americký zákon s dosahem na evropská data

Klíčovou roli v celé kauze hraje americký zákon CLOUD Act z roku 2018. Ten říká, že americké úřady mají právo žádat data od amerických technologických firem, a to bez ohledu na to, kde jsou data fyzicky uložena. Jinými slovy, když data spravuje Microsoft, Amazon nebo Google, není v případě řádně formulované žádosti amerických úřadů podstatné, jestli leží v Texasu, nebo například ve Frankfurtu. Proč je to vlastně v tuto chvíli tak přelomové, pokud se o existenci CLOUD Actu vědělo od okamžiku jeho účinnosti a před jeho dopady na GDPR varoval snad každý právní expert? Právě proto, že se doposud jednalo o varování a upozornění na možná rizika. Dnes však již prakticky víme, že pochyby byly opodstatněné.


Sami zástupci Microsoftu uvedli, že žádosti orgánů USA pečlivě kontrolují, odmítají ty neopodstatněné a vždy se snaží informovat zákazníky, pokud se žádost týká jejich dat. Zástupci dokonce upřesnili, že mají zavedený přísný systém v rámci právních sporů s americkými úřady, aby omezili příliš široké žádosti.


To však nemění nic na tom, že na naprosto jednoduchou otázku francouzských senátorů, zda mohou zaručit, že francouzská data nikdy neskončí v rukou amerických úřadů, uvedli jasnou odpověď: „Nemůžeme to garantovat.“

Americké úřady mají právo žádat data od amerických technologických firem, a to i z evropských serverů

Uložení dat v EU nezaručuje jejich ochranu

Evropské vlády i společnosti kladou v posledních letech důraz na to, aby byla data uložena v EU. Velké technologické firmy jako Microsoft, Amazon či Google na to reagovaly masivní výstavbou datacenter například v Německu, Francii či Švédsku. Tento krok velkých amerických společností může působit jako zajištění suverenity evropských dat, přestože odborníci poukazovali na možnou bezzubost takového řešení. Háček je však v tom, že fyzické umístění dat není totéž jako jejich právní nezávislost.


Jednoduše řečeno, americké úřady mohou mít přístup k datům uloženým na evropských datových serverech, pokud je spravuje americká společnost. Na servery spravované americkými společnostmi totiž americké předpisy pořád dosáhnou, a to i když se tyto servery fyzicky nenacházejí v USA. To ukazuje zásadní rozdíl mezi tzv. datovou rezidenturou (kde data fyzicky leží) a datovou suverenitou (kdo o nich může rozhodovat).


Argumentace technologických gigantů

Velcí hráči jako Microsoft, Amazon či Google mají pochopitelně ekonomický zájem svůj postup bránit. Jejich zástupci tak od počátku veřejnost ubezpečují, že CLOUD Act není žádná otevřená vstupenka pro americké úřady, ale nástroj s jasnými právními mantinely.


V tomto kontextu tvrdí, že evropská data nikomu automaticky nevydávají a že žádost amerických úřadů musí splňovat mnoho kritérií a musí být důvodná. Microsoft přitom uvádí, že společnost doposud žádná evropská data americkým úřadům nevydala, jak vyplývá i ze zpráv o transparentnosti, které Microsoft dvakrát ročně vydává. To ovšem nijak nezaručuje, že se tak nemůže stát v budoucnu. To potvrzuje i odpověď zástupců Microsoftu na otázku francouzských senátorů, zda by v případě právně oprávněné žádosti z USA mohli zaručit, že data francouzských, a tedy i evropských občanů nemohou být předána americké vládě bez výslovného souhlasu francouzské vlády. Jejich odpověď „nemůžeme to zaručit, ale připomínáme, že se to nikdy nestalo“ je tak sama o sobě problematická.


Evropské datové suverenitě navíc nepřidává ani fakt, že CLOUD Act se nevztahuje pouze na americké společnosti se sídlem v USA, ale na všechny poskytovatele elektronických komunikačních služeb nebo vzdálených výpočetních služeb, kteří podnikají v USA.

Cloudy dnes představují základní infrastrukturu, která obsahuje ty nejcitlivější údaje

Národní cloudy

Znepokojivé přiznání Microsoftu otevřelo debatu o potřebě evropských národních cloudů, které by snížily závislost na těchto technologických gigantech. V této rovině už probíhá několik experimentů. Projekty jako Gaia-X nebo státní cloudové iniciativy jsou však velmi často kritizovány jako pomalé, byrokratické a technologicky pozadu. Vyjádření zástupců Microsoftu ve francouzském senátu jim nicméně dává novou váhu. Je totiž dost možné, že pokud jednotlivé státy chtějí mít jistotu, že data jejich občanů zůstanou pod evropskou kontrolou, nezbývá než budovat vlastní datovou infrastrukturu.


V souvislosti se současnou mírou digitalizace jde o více než jen politické gesto nezávislosti. Cloudy dnes představují základní infrastrukturu, do níž se ukládají ty nejcitlivější informace – od zdravotnické dokumentace přes policejní databáze a finanční záznamy až po komunikaci státních úřadů. Ostatně, stačí se podívat do našeho registru smluv, kolik orgánů veřejné moci, včetně univerzit, středních či základních škol, ale také nemocnic využívá právě různé cloudové služby.


Nelze se tak ubránit lehce patetickému konstatování, že v tomto bodě nejde jen o otázku ochrany soukromí jednotlivců, ale také o národní bezpečnost, stabilitu veřejné správy a celkovou nezávislost.


Co to znamená pro Evropu?

Jaký vliv mohou mít uvedené skutečnosti na ochranu osobních údajů? Když se řekne „přístup amerických bezpečnostních složek k osobním údajům“, každému se jistě vybaví Safe Harbour nebo také Privacy Shield – tedy dvě rozhodnutí komise EU o tom, že USA poskytuje srovnatelnou úroveň ochrany osobních údajů jako GDPR. Jinak řečeno, že můžeme z EU vesele předávat osobní údaje do USA.


Pro obě tato rozhodnutí je společné, že je SDEU v minulosti zrušil – právě proto, že negarantovala ochranu občanům EU v okamžiku, kdy legislativa USA obsahuje zadní vrátka k evropským údajům. Ostatně, když přišlo již třetí rozhodnutí – tentokrát Data Privacy Framework, ze všech stran, včetně EDPB, se ozývaly názory, že toto rozhodnutí nepřináší žádné větší garance ve prospěch občanů EU. A dnes už víme, že pochybnosti byly oprávněné – i když situace se dále vyvíjí.


Rozhodnutí Tribunálu EU

Situace se posunula, když Tribunál EU v rozhodnutí z 3. 9. 2025 potvrdil, že Data Privacy Framework je v souladu s evropským právem a poskytuje odpovídající úroveň ochrany osobních údajů při jejich přenosu do USA. Zajímavostí je, že žalobu proti tomuto rozhodnutí komise inicioval francouzský poslanec Philippe Latombe.


Tribunál odmítl námitky o příliš širokých pravomocích amerických zpravodajských služeb a poukázal na existenci nového amerického orgánu Data Protection Review Court (DPRC), který má podle něj zajišťovat dostatečný dohled. Pořád je zde však prostor pro podání odvolání k Soudnímu dvoru EU, a nelze proto vyloučit, že se celá věc bude dál vyvíjet – a to i s ohledem na sdělení zástupce Microsoftu před francouzských senátem.


V kontextu posledních dní není bez zajímavosti ani to, co se aktuálně děje v rámci americké politiky. Dohled nad přenosem údajů v rámci Data Privacy Framework (zejména z pozice dohledu nad zpravodajskými službami) měla původně udržovat Rada pro ochranu občanských práv a svobod (PCLOB).


Ta má aktuálně relativně nepřímou roli, protože fakticky má kontrolovat DPRC a zároveň nominuje do této rady členy (koho tedy PCLOB nenominuje, ten se členem DPRC nestane). Trumpova administrativa ale z PCLOB odvolala tři demokratické členy, čímž významně omezila její nezávislost. Pokud mají být podobné instituce skutečně zárukou důvěryhodnosti, může být jejich politická nestabilita vážným problémem.


Rozhodnutí tribunálu sice přineslo uklidnění podnikům, které denně využívají transatlantické datové toky, ale není konečné. Pokud Soudní dvůr EU v rámci případného odvolání rozhodne jinak, může Data Privacy Framework dopadnout stejně jako případy Safe Harbour či Privacy Shield.


 
 
 

Komentáře


Sdělení pro spotřebitele: Případné spory z poskytování právních služeb můžete řešit mimosoudně prostřednictvím České advokátní komory v souladu se zákonem č. 634/1992 Sb., o ochraně spotřebitele. Další informace včetně postupu naleznete zde  

© 2020 - 2022 by Josef Bátrla.

bottom of page