Blog > Praktické dopady zrušení Privacy Shield – jak nyní předávat osobní údaje do USA?

Praktické dopady zrušení Privacy Shield – jak nyní předávat osobní údaje do USA?

Poslední týdny je internet (nebo všechny „ty internety,“ chcete-li) plný článků a zpráv o tom, že Soudní dvůr Evropské unie zrušil rozsudkem C‑311/18 ve věci Data Protection Commissioner v. Facebook Ireland Limited a Maximillian Schrems („Schrems II“) nedávno a poměrně složitě vytvořené EU-US Privacy Shield, na základě kterého mohli správci a zpracovatelé předávat osobní údaje z EU do USA. Nepochybně se jedná o zásadní změnu a nečekanou komplikaci zejména pro řadu nadnárodních společností zpracovávajících osobní údaje subjektů údajů, které se nacházejí v EU. Neznamená to sice, že je předávání dat do USA zcela znemožněno, ale těžko hledat praktický způsob, jak je v dané situaci do USA – a nejen tam – dostat a neporušit tím právo EU. Pověstná otázka za milion dolarů zde tedy zní: Jak mohou správci a zpracovatelé postupovat, aby nebyla ohrožena jejich obchodně efektivní spolupráce se společnostmi usazenými (nejen) v USA, ale současně byla zajištěna adekvátní úroveň ochrany osobních údajů?

Mechanismy předávání údajů do třetích zemí

Předávání osobních údajů do třetích zemí je v dnešním globalizovaném světě velmi častým jevem, který je vlastní pro velkou řadu mezinárodně fungujících či nadnárodních společností, ale i menších subjektů využívajících inovativních služeb např. digitálních společností – zpracovatelů v USA. Vedle mezinárodní spolupráce často lokální pobočky nadnárodních společností sdílejí určité osobní údaje s dalšími pobočkami i svou mateřskou společností, a to z mnoha důvodů, včetně potřeby řízení činnosti na globální úrovni. 

Obecné nařízení o ochraně osobních údajů („GDPR“) upravuje volný pohyb osobních údajů v rámci EU, kde, vzhledem ke stejně vysokému standardu právního rámce ochrany osobních údajů, není třeba zvláštním způsobem zkoumat podmínky právní úpravy a institucionální bezpečnosti osobních údajů. Co se však týče předání osobních údajů mimo EU či EHP, vyžaduje GDPR, aby byl splněn alespoň jeden z předpokladů pro předání.

Pokud chce tedy správce či zpracovatel předávat osobní údaje subjektů údajů, kteří se nacházejí v EU, do třetí země, musí být zajištěna jejich institucionální ochrana, tj. nelze předávat osobní údaje do zemí, kde není zajištěna adekvátní právní ochrana osobních údajů nebo kde správce či zpracovatel nepřijal vhodná opatření, která tuto ochranu při předávání zajistí. GDPR nabízí několik takových možností, resp. právních nástrojů předávání, a to (i) předání založené na rozhodnutí Evropské komise o odpovídající ochraně, (ii) předání založené na vhodných zárukách a dále (iii) výjimky z těchto podmínek pro specifické situace, kdy tyto podmínky nelze aplikovat.

USA nejsou podle Soudního dvora bezpečnou zemí pro předávání osobních údajů

Soudní dvůr ve věci Schrems II konstatoval, že práva evropských občanů nejsou v USA chráněna dostatečně, jelikož zpracování osobních údajů v rámci různých vládních sledovacích programů jde nad rámec nezbytného zásahu do soukromí jednotlivce. To vše proto, že americké společnosti mají umožňovat tamním bezpečnostním složkám přístup k osobním údajům uživatelů, přičemž předmětné zpracování vychází z legislativy USA – respekt k cizozemské právní úpravě zde šel stranou a Soudní dvůr jednoznačně (a jak vyplývá z nedávných vyjádření americké administrativy – patrně i jednostranně) konstatoval, že americká legislativa umožňuje tajným službám sběr dat nad míru potřebnou pro dosažení legitimních cílů (např. s odkazem na sběr kompletních dat putujících po atlantických komunikačních kabelech). Současně však americké zákonodárství dle Soudního dvora nezajišťuje odpovídající úroveň soudní ochrany subjektů údajů, resp. že přezkum zásahu do soukromí není dostatečný, a speciální orgán ombudsmana pro ochranu soukromí, který Privacy Shield zřídil, nesplňuje požadavky na nezávislost. K tomu, zda má v tomto evropský nejvyšší soud pravdu, se zde vrátíme jindy, ale USA rozhodně trvají na tom, že existují i jiné možnosti, jak dosáhnout soudní ochrany než zneuznaný ombudsman (viz čerstvá bílá kniha „Information on U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU-U.S. Data Transfers after Schrems II“).

V každém případě Soudní dvůr shledal, že z výše uvedených důvodů nejsou dostatečně garantována práva zakotvená v Listině základních práv EU, a rozhodl, že mechanismus Privacy Shield neodpovídá požadavkům práva EU.

Dostatečné záruky a kde je vzít (…a nekrást)

Jak bylo uvedeno výše, pokud ve vztahu k dané zemi neexistuje rozhodnutí Evropské komise o odpovídající úrovni ochrany osobních údajů, což je nově právě i případ USA, existují jiné možnosti, jak mohou správci či zpracovatelé v souladu s GDPR osobní údaje do takových třetích zemí předávat, z nichž jsou nejpraktičtější a nejčastěji využívané tzv. standardní smluvní doložky („SSD“).

Doposud bez dalšího platilo, že pokud správce či zpracovatel uzavře s příjemcem osobních údajů ve třetí zemi smlouvu, jejíž součástí budou SSD dle příslušného rozhodnutí Evropské komise, bude takové předání považované za založené na vhodných zárukách. Soudní dvůr však ve věci Schrems II přezkoumával právě i nástroj SSD, kde dospěl ke zcela zásadním závěrům významným pro budoucí využívání tohoto mechanismu.

V zásadě Soudní dvůr požaduje, aby v případě, že se správce či zpracovatel rozhodne pro předání údajů do konkrétní třetí země použít SSD, sám prověřil, zda vhodné záruky a ochranná opatření v SSD skutečně zajišťují srovnatelnou úroveň ochrany zaručené v EU. Soudní dvůr sice konstatoval, že systémově neodhalil žádnou vadu, která by obecně měla rozhodnutí o SSD činit neplatnými, ale správce či zpracovatel předávající osobní údaje na základě SSD musí před samotným předáním vzít v potaz mimo jiné i relevantní prvky právního řádu země, do které jsou osobní údaje předávány

Pokud tak správce či zpracovatel dojde k závěru, že SSD nemohou být ve třetí zemi dodrženy, měly by být doplněny o další opatření nebo by měl být přenos údajů zastaven, přičemž v každém případě je plně odpovědností správce či zpracovatele z EU a osoby, které se osobní údaje předávají, aby garance ochrany osobních údajů zajistili. Ve vztahu k USA přitom toto posouzení učinil sám Soudní dvůr a, i vzhledem k důvodům, pro které byl zrušen Privacy Shield, konstatoval, že USA nezajišťují dostatečnou ochranu předávaným údajům ani účinnou právní ochranu subjektům údajů, čímž naznačil, že ani samotné SSD patrně nebudou pro vývoz osobních údajů do USA postačovat.

Soudní dvůr navíc zdůraznil možnost lokálních dozorových úřadů dočasně či trvale zakázat předávání osobních údajů na základě SSD do třetích zemí, ve kterých nemohou být doložky dodrženy a v nichž není zajištěna ochrana osobních údajů vyžadovaná právem EU.

Závěrem, aneb „babo raď“

Byť jsou na to jinak naši čtenáři zvyklí, tentokrát žel nemáme závěr, který vyřeší složitý problém, nebo jeho možné řešení nastíní. Tento právně obchodní příběh – zatím – nemá šťastný konec. Dle závěrů Soudního dvora je tedy v situaci, kdy právní předpisy státu, kam mají být osobní údaje předány, efektivně znemožňují garanci prvků, jako jsou např. dodržování lidských práv, právní předpisy týkající se ochrany osobních údajů, přístup státních orgánů k osobním údajům a další (což je právě případ USA), nezbytné, aby správce či zpracovatel přijal další opatření nad rámec SSD. Žádný orgán však dosud nedal bližší návod, jaká opatření by v takovém případě byla způsobilá poskytnout příslušné záruky.

Dle zaznamenaného neoficiálního názoru českého dozorového úřadu, Úřadu pro ochranu osobních údajů („ÚOOÚ“), přichází v úvahu řešení, kdy správce či zpracovatel před předáním dat do USA obstará prohlášení dovozce údajů usazeného v USA, že osobní údaje subjektů údajů, na které se vztahuje ochrana dle GDPR, americkým orgánům neposkytne. Považujeme za nepravděpodobné, že by takto ÚOOÚ uvažoval. Samotné rozhodnutí Schrems II – v pasáži, v níž se Soudní dvůr podrobně věnuje nesouladu mezi slíbenými garancemi v SSD a povinností amerického dovozce dodržet právní předpisy USA – po analýze uzavírá, že dovozce jednoduše takový slib učinit nemůže a pokud ano, tak de facto porušil SSD s potenciálními následky odpovědnosti za škodu vůči subjektům údajů.

Dle nedávno aktualizovaných otázek a odpovědí k předávání osobních údajů do třetích zemí pak ÚOOÚ navrhuje řešení spočívající v „uložení dat včetně metadat pouze na území EU, šifrování bez zadních vrátek apod.“ Tato (ne)řešení nelze považovat za praktická, jelikož nepřispívají k právní jistotě správců a zpracovatelů. Přenesení odpovědnosti za utrpěný právní masakr u SDEU (již druhý na dané téma v krátké době) pouze na správce a zpracovatele předávající údaje do třetích zemí za současné absence jakýchkoli pokynů, jak nezaviněnou situaci, ve které se ocitli řešit, případně s výhledem na upřesňování kritérií předávání cestou ad hoc kontrol a ukládání pokut, by bylo nefér a nežádoucí. Z hlediska právní jistoty adresátů GDPR i z hlediska lepšího zajištění adekvátní ochrany osobních údajů by bylo potřebné, aby dozorové úřady – jednotlivě, nebo spíše společně a jednotně – indikovaly praktická doporučení, ideálně například vydaly seznamy třetích zemí, kam (i) lze osobní údaje předávat bez dalších nadstandardních opatření, (ii) lze osobní údaje předávat za podmínky přijetí dalších a hlavně jakých konkrétních doporučených opatření, a případně (iii) kam nelze osobní údaje předávat (negativní seznam). Ostatně jak samotné GDPR předpokládá, v potaz by mělo být bráno též to, jaké osobní údaje (a pro jaké účely zpracovávané) mají být do zahraničí předávány – je evidentní, že např. i citlivé zdravotní údaje používané v rámci klinického testování léků (jako bychom o tom dnes a denně s ohledem na stávající situaci kolem epidemie COVID-19 slyšeli málo) nebudou předmětem zájmu bezpečnostních složek země, která je členským státem NATO.

Požadavek, aby vývozci osobních údajů sami prováděli složité ústavněprávní analýzy třetích zemí, je nekoncepční a pro vývozce obrovsky nákladný. Za současného stavu vývozci osobních údajů nemají žádná praktická vodítka. Tomuto stavu nepomáhá ani to, že i v pouhých pár týdnech uplynulých od vydání rozhodnutí již aktivista Max Schrems a jeho organizace None of Your Business (NOYB) podali ve 30 členských státech EU a EHP celkem 101 stížností proti evropským společnostem, které nadále předávají osobní údaje Googlu a Facebooku. Stížnosti byly podány také proti společnostem Google a Facebook v USA za pokračující přijímání těchto údajů v rozporu s GDPR.

Čeká nás tedy zřejmě velká reforma SDD. Podle vyjádření na posledním projednání věci v Evropském parlamentu Komise předloží konkrétní plány před koncem roku. Transatlantická obchodní a kulturní výměna však potřebuje řešení nastalé situace nyní, a zde musejí jednat dozorové orgány, např. tak jak jim s veškerou pokorou radíme výše. 

Klikněte ZDE, pokud chcete vědět více o našich službách, získaných oceněních nebo o tom, co o nás píší v médiích.

Poslat e-mailem Vytisknout Sdílet Sdílet
Líbil se Vám tento článek?

Rádi Vám budeme posílat další související články přímo na Váš e-mail.