Více než 15 let probíhalo předávání osobních údajů do USA mimo jiné na bázi rozhodnutí Evropské komise o odpovídající ochraně poskytované podle zásad bezpečného přístavu (Safe Harbour). To už však po nedávném rozhodnutí Soudního dvora Evropské unie neplatí. Proč k tomu došlo po takové době a jak se mají zachovat společnosti, které tento nástroj pro přenos osobních údajů do USA využívají?
Z pohledu evropského práva jsou Spojené státy americké (USA) třetí zemí, na kterou se neuplatní zásada volného pohybu osobních údajů, jako je tomu v rámci Evropské unie. Avšak vzhledem k tomu, že mezi USA a starým kontinentem tradičně existuje významná obchodní i jiná spolupráce, došlo spolu se vznikem regulace ochrany osobní údajů na evropské půdě také k přijetí mechanismů, které mají předávání osobních údajů do USA usnadňovat.
Jedním z takových mechanismů bylo i v anotaci zmíněné rozhodnutí Evropské komise, které umožnilo předávat a přijímat osobní údaje společnostem, které se zavázaly dodržovat tzv. zásady „Safe Harbour“ (zásady bezpečného přístavu). To už však po nedávném rozhodnutí Soudního dvora neplatí. Jak je to možné?
Rozhodnutí Soudního dvora EU
Dá se říci, že vše odstartovalo v roce 2013 po aféře Snowden, kdy došlo k odhalení rozsahu přístupu amerických bezpečnostních informačních služeb k údajům shromažďovaným tamními společnostmi (například Google či Facebook). To se nelíbilo rakouskému studentu práv Maxu Schremsovi. Ten nebyl zejména spokojený s tím, jak Facebook nakládá s jeho údaji a že je předává do USA. Podal proto stížnost příslušnému dohledovému orgánu proti takovému zpracování. Jelikož jeho stížnost byla zamítnuta s argumentací, že Facebook předává osobní údaje řádně na základě zásad bezpečného přístavu, nezbylo mu než se obrátit na místní soud s žádostí o přezkum. Tento soud však záhy dospěl k názoru, že se daná věc týká uplatňování unijního práva, a obrátil se proto na Soudní dvůr EU s žádostí o posouzení předběžné otázky.
Předběžná otázka se zjednodušeně týkala toho, zda může národní dohledový orgán (u nás je jím Úřad pro ochranu osobních údajů) dospět k opačnému závěru, než ke kterému dospěla Evropská komise ve svém rozhodnutí (v rozhodnutí o bezpečném přístavu), resp. zda je tímto rozhodnutím vázán. Soudní dvůr EU rozhodl, že národní dohledový orgán si může sám předávání posoudit, a to bez ohledu na závazné rozhodnutí Evropské komise. Tím se soud vyslovil pro větší pravomoci národních dohledových orgánů při vyšetřování toho, zda cílová destinace osobních údajů poskytuje odpovídající úroveň ochrany údajů.
Soudní dvůr EU šel však ještě mnohem dále a současně prohlásil, že rozhodnutí Evropské komise o bezpečném přístavu je neplatné. Důvodem byla zejména skutečnost, že zásady bezpečného přístavu zavazují pouze společnosti a nikoliv již americké bezpečnostní informační služby. Masivní sledování údajů státními orgány je přitom v demokratické společnosti nepřípustné, a proto takové země nemohou poskytovat dostatečnou ochranu pro předávané údaje. Nadto bylo zjištěno, že značný počet společností zásady bezpečného přístavu v praxi ani nedodržuje.
Co bude dál?
Rozhodnutí neznamená, že rázem dojde k přerušení veškerých toků informací mezi USA a Evropou nebo že veškeré další předávání osobních údajů do USA je nebezpečné či nemožné. Určité životní situace ani žádný zvláštní režim pro předávání údajů nevyžadují. Zejména jde o situace, kdy jsou osobní údaje předávány přímo subjektem například při uzavírání smlouvy (rezervace v hotelu) nebo v situacích, kdy je to v zájmu takové osoby (předání údajů o zdraví).
Společnosti, které z různých důvodů potřebují předávat osobní údaje do USA, mohou využít jiných způsobů. Těch je hned několik. Především lze uvést uzavření standardních smluvních doložek („Standard contractual clauses“) nebo přijetí závazných podnikových pravidel („Binding corporate rules“). Tyto dvě možnosti jsou také v současné situaci doporučovány Pracovní skupinou článku 29 (poradním orgánem Evropské komise) i českým Úřadem pro ochranu osobních údajů. Pracovní skupina článku 29 však dodává, že ani předávání osobních údajů pomocí těchto mechanismů neodebírá národním dohledovým orgánům pravomoc takové předávání vyšetřit.
Další možností, jak předávat údaje do USA, je vyžádat si příslušné povolení dohledového orgánu, tj. Úřadu pro ochranu osobních údajů. To však již vyžaduje podání žádosti dohledovému orgánu, který bude v navazujícím řízení posuzovat mimo jiné, zda jsou v třetí zemi vytvořeny dostatečné zvláštní záruky ochrany osobních údajů. S ohledem na nutnost podstoupit toto řízení se jeví výše uvedené možnosti standardních smluvních doložek či závazných podnikových pravidel jako snazší řešení.
Z regulatorního pohledu ve vztahu k ochraně osobních údajů může mít rozhodnutí Soudního dvora EU pozitivní dopad na hledání a přijetí nového řešení. Zejména by mohlo rychleji dojít k uzavření nové a přísnější dohody o zásadách bezpečného přístavu. Právě po uzavření takové dohody teď intenzivně volá Pracovní skupina článku 29. Rozhodnutí Soudního dvora bude přitom s největší pravděpodobností znamenat určité posílení Evropské unie při jednání o uzavření této dohody, jelikož do značné míry vymezuje hranice pro ústupky, které může Evropská komise ještě akceptovat.
Pro úplnost lze v této souvislosti uvést, že ani výše zmíněné standardní smluvní doložky nemají zcela pevnou půdu pod nohama. Z Německa se už ozývají hlasy volající i po přerušení předávání údajů do USA tímto způsobem. Důvodem je skutečnost, že „dovozce údajů“ se při přijetí doložek zaručuje za určitou úroveň ochrany údajů, což však při vědomí o způsobu sledování informačními službami v USA zaručit nelze. Na druhou stranu Evropská komise tento způsob předávání do USA prozatím stále podporuje a ve svém konečném důsledku tak mohou tyto diskuze vést k posílení Evropské unie při vyjednávání s USA o bezpečnosti evropských údajů.
Co firmy, které předávají na základě zásad bezpečného přístavu?
Rozhodnutí Evropské komise o odpovídající ochraně poskytované podle zásad bezpečného přístavu je neplatné, a to ve svém důsledku může znamenat jen to, že přenosy osobních údajů na základě tohoto rozhodnutí jsou protiprávní. Soudní dvůr EU sice neurčil odloženou účinnost svého rozhodnutí, dohledové orgány však stěží okamžitě budou vyšetřovat a postihovat veškerá dotčená předávání.
Společnosti by neměly panikařit a měly by zmapovat veškeré své přenosy osobních údajů do USA. Na základě toho by měly vyhodnotit zejména to, kam údaje předávají, zda jde o vnitroskupinové přenosy údajů, nebo o přenosy údajů třetím osobám, případně na základě čeho se to odehrává. Měly by být prověřeny smlouvy se všemi partnery, kterým jsou údaje předávány. Využívá někdo v tomto řetězci zásad bezpečného přístavu? Je skutečně předávání osobních údajů do USA nezbytné? Pak bude na místě hledat jiné vhodné řešení tak, jak bylo naznačeno výše.