Hledat v komentářích
Investiční doporučení
Výsledky společností - ČR
Výsledky společností - Svět
IPO, M&A
Týdenní přehledy
 

Detail - články
Safe Harbour není bezpečným přístavem pro evropské údaje

Safe Harbour není bezpečným přístavem pro evropské údaje

02.11.2015 5:05

Z pohledu evropského práva jsou Spojené státy americké (USA) třetí zemí, na kterou se neuplatní zásada volného pohybu osobních údajů, jako je tomu v rámci Evropské unie. Avšak vzhledem k tomu, že mezi USA a starým kontinentem tradičně existuje významná obchodní i jiná spolupráce, došlo spolu se vznikem regulace ochrany osobní údajů na evropské půdě také k přijetí mechanismů, které mají předávání osobních údajů do USA usnadňovat.

Jedním z takových mechanismů bylo i v anotaci zmíněné rozhodnutí Evropské komise, které umožnilo předávat a přijímat osobní údaje společnostem, které se zavázaly dodržovat tzv. zásady „Safe Harbour“ (zásady bezpečného přístavu). To už však po nedávném rozhodnutí Soudního dvora neplatí. Jak je to možné?

Rozhodnutí Soudního dvora EU

Dá se říci, že vše odstartovalo v roce 2013 po aféře Snowden, kdy došlo k odhalení rozsahu přístupu amerických bezpečnostních informačních služeb k údajům shromažďovaným tamními společnostmi (například Google či Facebook). To se nelíbilo rakouskému studentu práv Maxu Schremsovi. Ten nebyl zejména spokojený s tím, jak Facebook nakládá s jeho údaji a že je předává do USA. Podal proto stížnost příslušnému dohledovému orgánu proti takovému zpracování. Jelikož jeho stížnost byla zamítnuta s argumentací, že Facebook předává osobní údaje řádně na základě zásad bezpečného přístavu, nezbylo mu než se obrátit na místní soud s žádostí o přezkum. Tento soud však záhy dospěl k názoru, že se daná věc týká uplatňování unijního práva, a obrátil se proto na Soudní dvůr EU s žádostí o posouzení předběžné otázky.

Předběžná otázka se zjednodušeně týkala toho, zda může národní dohledový orgán (u nás je jím Úřad pro ochranu osobních údajů) dospět k opačnému závěru, než ke kterému dospěla Evropská komise ve svém rozhodnutí (v rozhodnutí o bezpečném přístavu), resp. zda je tímto rozhodnutím vázán. Soudní dvůr EU rozhodl, že národní dohledový orgán si může sám předávání posoudit, a to bez ohledu na závazné rozhodnutí Evropské komise. Tím se soud vyslovil pro větší pravomoci národních dohledových orgánů při vyšetřování toho, zda cílová destinace osobních údajů poskytuje odpovídající úroveň ochrany údajů.

Soudní dvůr EU šel však ještě mnohem dále a současně prohlásil, že rozhodnutí Evropské komise o bezpečném přístavu je neplatné. Důvodem byla zejména skutečnost, že zásady bezpečného přístavu zavazují pouze společnosti a nikoliv již americké bezpečnostní informační služby. Masivní sledování údajů státními orgány je přitom v demokratické společnosti nepřípustné, a proto takové země nemohou poskytovat dostatečnou ochranu pro předávané údaje. Nadto bylo zjištěno, že značný počet společností zásady bezpečného přístavu v praxi ani nedodržuje.

Co bude dál?

Rozhodnutí neznamená, že rázem dojde k přerušení veškerých toků informací mezi USA a Evropou nebo že veškeré další předávání osobních údajů do USA je nebezpečné či nemožné. Určité životní situace ani žádný zvláštní režim pro předávání údajů nevyžadují. Zejména jde o situace, kdy jsou osobní údaje předávány přímo subjektem například při uzavírání smlouvy (rezervace v hotelu) nebo v situacích, kdy je to v zájmu takové osoby (předání údajů o zdraví).

Společnosti, které z různých důvodů potřebují předávat osobní údaje do USA, mohou využít jiných způsobů. Těch je hned několik. Především lze uvést uzavření standardních smluvních doložek („Standard contractual clauses“) nebo přijetí závazných podnikových pravidel („Binding corporate rules“). Tyto dvě možnosti jsou také v současné situaci doporučovány Pracovní skupinou článku 29 (poradním orgánem Evropské komise) i českým Úřadem pro ochranu osobních údajů. Pracovní skupina článku 29 však dodává, že ani předávání osobních údajů pomocí těchto mechanismů neodebírá národním dohledovým orgánům pravomoc takové předávání vyšetřit.

Další možností, jak předávat údaje do USA, je vyžádat si příslušné povolení dohledového orgánu, tj. Úřadu pro ochranu osobních údajů. To však již vyžaduje podání žádosti dohledovému orgánu, který bude v navazujícím řízení posuzovat mimo jiné, zda jsou v třetí zemi vytvořeny dostatečné zvláštní záruky ochrany osobních údajů. S ohledem na nutnost podstoupit toto řízení se jeví výše uvedené možnosti standardních smluvních doložek či závazných podnikových pravidel jako snazší řešení.

Z regulatorního pohledu ve vztahu k ochraně osobních údajů může mít rozhodnutí Soudního dvora EU pozitivní dopad na hledání a přijetí nového řešení. Zejména by mohlo rychleji dojít k uzavření nové a přísnější dohody o zásadách bezpečného přístavu. Právě po uzavření takové dohody teď intenzivně volá Pracovní skupina článku 29. Rozhodnutí Soudního dvora bude přitom s největší pravděpodobností znamenat určité posílení Evropské unie při jednání o uzavření této dohody, jelikož do značné míry vymezuje hranice pro ústupky, které může Evropská komise ještě akceptovat.

Pro úplnost lze v této souvislosti uvést, že ani výše zmíněné standardní smluvní doložky nemají zcela pevnou půdu pod nohama. Z Německa se už ozývají hlasy volající i po přerušení předávání údajů do USA tímto způsobem. Důvodem je skutečnost, že „dovozce údajů“ se při přijetí doložek zaručuje za určitou úroveň ochrany údajů, což však při vědomí o způsobu sledování informačními službami v USA zaručit nelze. Na druhou stranu Evropská komise tento způsob předávání do USA prozatím stále podporuje a ve svém konečném důsledku tak mohou tyto diskuze vést k posílení Evropské unie při vyjednávání s USA o bezpečnosti evropských údajů.

Co firmy, které předávají na základě zásad bezpečného přístavu?

Rozhodnutí Evropské komise o odpovídající ochraně poskytované podle zásad bezpečného přístavu je neplatné, a to ve svém důsledku může znamenat jen to, že přenosy osobních údajů na základě tohoto rozhodnutí jsou protiprávní. Soudní dvůr EU sice neurčil odloženou účinnost svého rozhodnutí, dohledové orgány však stěží okamžitě budou vyšetřovat a postihovat veškerá dotčená předávání.

Společnosti by neměly panikařit a měly by zmapovat veškeré své přenosy osobních údajů do USA. Na základě toho by měly vyhodnotit zejména to, kam údaje předávají, zda jde o vnitroskupinové přenosy údajů, nebo o přenosy údajů třetím osobám, případně na základě čeho se to odehrává. Měly by být prověřeny smlouvy se všemi partnery, kterým jsou údaje předávány. Využívá někdo v tomto řetězci zásad bezpečného přístavu? Je skutečně předávání osobních údajů do USA nezbytné? Pak bude na místě hledat jiné vhodné řešení tak, jak bylo naznačeno výše.

KŠB

Váš názor
Na tomto místě můžete zahájit diskusi. Zatím nebyl zadán žádný názor. Do diskuse mohou přispívat pouze přihlášení uživatelé (Přihlásit). Pokud nemáte účet, na který byste se mohli přihlásit, registrujte se zde.
Aktuální komentáře
14.04.2021
14:10Investiční bankovnictví (a boom SPAC) pomohlo Goldman Sachs k rekordním výsledkům
13:18JPMorgan skončila kvartál s rekordním ziskem. Vyhlídky úvěrování ale trhy netěší
12:49Peníze na fond obnovy: Evropská komise si od června chce půjčovat 150 miliard eur ročně
11:47Mezinárodní agentura pro energii díky očkování zlepšila výhled poptávky po ropě
11:47Rozjíždí se výsledková sezóna, akcie lehce v plusu  
11:36Průmyslová výroba v EU i v eurozóně v únoru opět klesla
10:52ČNB začne řešit, jak dlouho bude ekonomika potřebovat její podporu, říká Rusnok
9:15Rozbřesk: Odchylka inflace od prognózy ČNB klesá
8:46Evropské burzy mají po zelené Wall Street namířeno do plusu. Více než inflace zajímají výsledky  
8:46Studie Roland Berger: Problémy s nedostatkem čipů neskončí. Poptávku zvýší elektroauta i automatizace řízení
5:58Řešení dluhů, o kterém se moc nehovoří
13.04.2021
22:02S&P 500 je na dalším maximu  
17:38Další fáze cyklu?
17:21Výnosy po inflaci klesly, zprávy o vakcíně nevadí, Nasdaq v čele růstu  
15:23Coinbase IPO: Kryptoměny vstupují na burzu  
15:09Inflace v USA roste, ale obavy nezvedá  
13:58Stratég JPMorgan: Trh obrací. Hodnotové akcie budou vítězit nad růstovými  
13:56Grab, rival Uberu, chce vstoupit na akciový trh v USA skrze SPAC
13:08Jonas: Teslu nyní musíte vlastnit. Proč?
12:14Důvěra investorů v německou ekonomiku nečekaně klesla

Související komentáře
    Nejčtenější zprávy dne
    Nejčtenější zprávy týdne
    Nejdiskutovanější zprávy týdne
    Kalendář událostí
    ČasUdálost
    Bed Bath & Beyond Inc (02/21 Q4, Bef-mkt)
    Tesco PLC (02/21 Q4)
    11:00EMU - Průmyslová výroba, y/y
    13:00JPMorgan Chase & Co (03/21 Q1)
    13:30Goldman Sachs Group Inc/The (03/21 Q1)
    14:00Wells Fargo & Co (03/21 Q1)