Co se stalo
6. října loňského roku vydal Soudní dvůr Evropské unie (SDEU) rozsudek, že rozhodnutí Evropské komise (EK), že lze Spojené státy americké považovat za tzv. bezpečný přístav (Safe Harbor), protože USA nesplňují podmínky pro ochranu dat občanů EU.
Na počátku všeho byla stížnost rakouského studenta práv Maxe Schremse, že firma Facebook sbírá pro americkou vládní agenturu NSA informace o uživatelích a poskytuje jí přístup ke svým serverům v USA, kam přenáší data uživatelů z EU. Schrems neuspěl u (podle sídla evropské centrály Facebooku) místně příslušného irského komisaře pro ochranu dat, odvolal se a věc se nakonec dostala až k SDEU.
Registrace/prezence účastníků na konferenci SECURITY 2016
Režimy předávání dat
O tom, jaké konkrétní dopady zrušení Safe Harbor má a jaké další režimy předávání dat lze ještě využívat, na konferenci SECURITY 2016 hovořil Michal Nulíček (advokát–partner z firmy Rowan Legal), právník zaměřující se mj. na oblast osobních údajů.
Začal popisem základního rámce EU pro tuto oblast: „Předávání osobních údajů v rámci EU mezi jednotlivými členskými státy se řídí stejnými principy jako třeba svoboda pohybu, kapitálu apod., takže předpis garantuje svobodný pohyb osobních údajů. Přeshraničnímu předávání by neměly být kladeny žádné administrativní překážky. To je implementováno v zákoně, který při předávání v rámci EU žádné administrativní procesy nepožaduje.“
Pro předávání mimo EU právo počítá s několika různými tituly. Může probíhat na základě mezinárodní smlouvy, na základě rozhodnutí EK (buď že některá země poskytuje dostatečnou úroveň ochrany, nebo rozhodnutí o standardních smluvních doložkách), předání na základě závazných vnitropodnikových pravidel, předání na základě souhlasu subjektu údajů nebo pro účely plnění smlouvy (kdy už je potřeba souhlas národního regulátory, tedy u nás ÚOOÚ).
Zrušený Safe Harbor existoval na základě rozhodnutí EK, že USA poskytují dostatečnou úroveň ochrany osobních údajů občanů EU.
Safe Harbor byl pro předávání do USA zdaleka nejvyužívanější. „Těch amerických společností, které se v systému Safe Harbor registrovaly, bylo zhruba 4 500. Byla to pro ně velmi atraktivní varianta, protože jim stačilo prohlášení o splnění zásad pro osobní údaje, které byly zveřejněny na stránkách amerického ministerstva obchodu.“
Proč bylo zrušeno rozhodnutí EK
Max Schrems se k akci proti Facebooku rozhodl poté, co vyslechl proslov právníka firmy, z něhož čišel malý respekt k dodržování pravidel pro nakládání s osobními údaji. „Druhým spouštěčem pro tu jeho aktivitu proti Facebooku bylo zveřejnění informací panem Snowdenem ohledně plošného zpracování osobních údajů americkými zpravodajskými službami.“ Domáhal se toho, aby se předávání údajů do USA zakázalo, protože mohou být plošně zpřístupňovány americkým službám.
Soudní dvůr EU rozhodnutí EK o předávání osobních údajů do USA prohlásil za neplatné. Důvodů byla řada. Na základě veřejně dostupných informací o tom, jak americké bezpečnostní služby zpracovávají data Evropanů, především SDEU seznal, že americké právo neposkytuje dostatečnou úroveň ochrany. Občané EU také například neměli žádnou možnost soudního přezkoumání manipulace s jejich osobními údaji.
SDEU deklaroval, že příslušný orgán v každém členském státě by měl mít možnost přezkoumat každé jednotlivé předání osobních údajů do USA. Od okamžiku zrušení rozhodnutí EK je předávání údajů v režimu Safe Harbor protizákonné. Současně je ale otázka, zda se důvody zrušení nemohou uplatnit i u ostatních titulů pro předávání údajů.
Michal Nulíček při své přednášce
Safe Harbor není – co dál?
Na zrušení reagovali národní regulátoři, kteří jsou sdruženi v tzv. Article 29 Working Party. Snažili se zajistit kontinuitu a proto dali EK čas do konce ledna 2016, aby vyjednala s USA novou smlouvu. Ta by měla implementovat požadavky vyslovené SDEU. Do tohoto termínu by regulátoři neměli plošně řešit případy předávání údajů, budou však muset řešit individuální stížnosti subjektů údajů.
„Tím vlastně posunuli účinnost a umožnili předávání na základě alternativních titulů,“ vysvětluje Michal Nulíček. „Tento pragmatický přístup však nezvolili všichni regulátoři. Například zemský úřad pro Šlesvicko-Holštýnsko se k tomu postavil velmi radikálně a na svých stránkách deklaroval, že do budoucna nelze předávat ani na základě standardních smluvních doložek. (…) A že ani souhlas subjektu údajů nebude akceptován jako titul pro předávání.“
EK přezkoumala všechny ostatní tituly předávání a prozatím doporučila firmám použití standardních smluvních doložek. S tím, že deklarovala snahu do konce ledna dojednat s USA nový instrument. To se EK nepovedlo, žádná dohoda uzavřena nebyla. Komisařka Jourová pouze v tiskové zprávě stručně popsala stav vyjednávání s USA a dojednávané podmínky ve velmi obecných tezích.
Regulátoři s tím byli hrubě nespokojeni a vyzvali EK ke zveřejnění dokumentů, o kterých se hovoří. EK by tak měla učinit ve druhé polovině února. Regulátoři by pak měli dokumenty začít studovat během března. Zatím panuje nejistota – jak u regulátorů, tak hlavně u firem. Další vývoj je záhodno bedlivě sledovat.
Nevýhodou standardních smluvních doložek je, že jsou poměrně pevně definovány, nelze se od určené podoby odchýlit. Některé závazné podmínky navíc mohou být obtížně splnitelné.
Chystané nařízení o ochraně osobních údajů
„Je to úplně nový předpis, který byl dohodnut na evropské úrovni v prosinci minulého roku v rámci trialogu mezi Radou, Evropskou komisí a Evropským parlamentem. Ten zavádí v oblasti osobních údajů, nebál bych se říct, revoluci. Ten režim, který byl původně nastaven směrnicí, je [v něm] skutečně hodně zostřen. Jsou tam nové povinnosti pro správce, (…) je tam celá řada nových práv subjektů údajů, (…) například právo portability údajů, tedy právo nechat si přenést osobní údaje k jinému správci.“
Změna bude také v oblasti sankcí. Ty se přibližují oblasti ochrany hospodářské soutěže, kde se sankce vypočítávají z čistého obratu. Tedy i tady dojde k zostření, především pro velké firmy. Z hlediska platnosti je změna samozřejmě v tom, že nařízení je přímo účinné v celé EU, kdežto dosavadní směrnici členské státy implementovaly do svých legislativ.
Shrnutí
Aktuálně lze osobní údaje předávat – navíc s jistou dávkou opatrnosti – na základě standardních smluvních doložek. Brzy by Evropská komise měla přijít s dlouhodobějším řešením. Je také vhodné se zvolna připravovat na chystané nařízení, které výrazně zpřísní podmínky pro nakládání s osobními údaji.
Předávání cen výhercům z řad účastníků konference, kteří vyplnili anketu
Brzy si budete moci v časopisu IT Systems přečíst rozhovor s Michalem Nulíčkem na téma osobních údajů i jiných záležitostí. Můžete se také podívat na videozáznam z přednášky.
