,Někdy se používá jako výmluva, že něco nejde.‘ GDPR přineslo hysterii a mýty |
Rozhodnutí může způsobit komplikace nejen technologickým gigantům, jako jsou Facebook, Google nebo Microsoft, ale v podstatě všem společnostem, které předávají osobní údaje svých zákazníků mimo Evropskou unii, nejen do USA.
Od května 2018 na území Evropské unie platí nařízení o ochraně osobních údajů známé jako GDPR. Podle něj je ve všech členských státech zaručena stejná úroveň ochrany dat. To však neplatí ve třetích zemích, a proto kdykoliv data opouštějí EU, musí být zajištěno, že ani za jejími hranicemi nedojde k jejich ohrožení.
Jedním ze způsobů zabezpečení údajů předávaných do USA byl systém Privacy Shield, založený rozhodnutím Evropské komise na základě závazků a prohlášení vlády USA. Systém do nedávna využívala řada evropských a amerických společností. Podle Soudního dvora EU však Privacy Shield data evropských občanů nechránil dostatečně, a to zejména kvůli širokým pravomocem amerických zpravodajských agentur a nemožnosti občanů EU vymáhat svá práva před soudy v USA.
Na jednu stranu na programy hromadného sledování uživatelů internetu PRISM nebo UPSTREAM upozornil Edward Snowden už v roce 2013 a pravomoci amerických tajných služeb se od té doby výrazně nezmenšily. Na druhou stranu pravomoci evropských tajných služeb jsou mnohdy také široké, je tedy otázkou, jestli od USA nepožadujeme standard, který sami nejsme schopni dodržet.
Řešení? Smluvní doložky
Po praktické stránce zrušení rozhodnutí Komise o systému Privacy Shield znamená, že nejen nadnárodní korporace, ale i evropské pobočky společností s centrálou v USA nemohou využít tento nástroj pro jednoduché předávání osobních údajů do USA. Nejde však o jediný způsob, jak legálně dostat data do USA. Americké společnosti totiž mohou s těmi evropskými uzavřít tzv. standardní smluvní doložky, ve kterých se zaváží k zajištění ochrany osobních údajů v evropském standardu.
A řada z nich tak již v minulosti učinila.
Advokát Michal Nulíček.
Tyto standardní smluvní doložky Soudní dvůr EU také přezkoumal a nezrušil je. Zdůraznil však, že každý, kdo s jejich pomocí chce předávat osobní údaje mimo EU, musí nejdříve ověřit, že je v cílové zemi možné zajistit ochranu dat v souladu s doložkami. Roli přitom hraje legislativa v cílové zemi i to, jak je v praxi vymahatelná. To platí nejen vůči USA, ale i pro kterýkoli stát mimo EU. Vedle toho Soudní dvůr připomněl, že jednotlivé dozorové úřady jsou oprávněny zakázat předávání osobních údajů do zahraničí, pokud není prokázáno, že je pro předávaná data zajištěna dostatečná ochrana.
Samotné dozorové úřady na rozhodnutí reagovaly různě. Irský úřad, který dohlíží na technologické giganty jako Facebook či Microsoft, zatím vyčkává. Naopak ten berlínský vyzval společnosti k tomu, aby data dosud ukládaná v USA přesunuly do Evropy, a varoval je před sankcemi, které může uložit. Český Úřad pro ochranu osobních údajů se k rozhodnutí zatím blíže nevyjádřil. Velké společnosti jako Facebook či Microsoft na standardní smluvní doložky dále spoléhají a ujišťují své zákazníky, že výměna dat mezi Evropou a USA bude pokračovat standardním způsobem.
Klíčová budou rozhodnutí dozorových úřadů
Rozhodující v nejbližších dnech a týdnech tedy budou konkrétní kroky dozorových úřadů. Svou roli by zde měl sehrát Evropský sbor pro ochranu osobních údajů, který byl měl v postupu dozorových úřadů v takto zásadní otázce zajistit jednotnost. Zda se to však podaří, je nejasné. Než padnou první rozhodnutí a zákazy nebo pokuty, bude řada společností s konkrétními opatřeními vyčkávat.
Přesto lze již nyní doporučit začít mapovat situaci. Bez informace, které konkrétní procesy společnosti jsou závislé na předávání osobních údajů mimo EU (např. kvůli využití cloudové služby) a do kterých konkrétních zemí data proudí, nebude možné plánovat další postup. V tomto by si tedy společnosti měly udělat jasno co nejdříve. Pokud se v některém případě opíralo předávání pouze o Privacy Shield, je třeba jej nahradit jiným nástrojem. V případě použití standardních smluvních doložek je pak třeba začít zvažovat, zda je předání do konkrétní země z pohledu ochrany dat bezpečné. V tomto směru nemusí být problematické jen předávání dat do USA – stejným nebo větším problémem může být předávání například do Ruska nebo Číny.
Autor je advokát a partner advokátní kanceláře ROWAN LEGAL.
CHCETE SE TAKÉ VYJÁDŘIT?Jste právník/právnička a rád/a byste se vyjádřil/a k současnému dění, právnickému stavu či novinkám v legislativě? Napište nám na tomas.nahodil@lidovky.cz. |
