Hledat v komentářích
Investiční doporučení
Výsledky společností - ČR
Výsledky společností - Svět
IPO, M&A
Týdenní přehledy
 

Detail - články
Safe Harbour není bezpečným přístavem pro evropské údaje

Safe Harbour není bezpečným přístavem pro evropské údaje

2.11.2015 5:05

Z pohledu evropského práva jsou Spojené státy americké (USA) třetí zemí, na kterou se neuplatní zásada volného pohybu osobních údajů, jako je tomu v rámci Evropské unie. Avšak vzhledem k tomu, že mezi USA a starým kontinentem tradičně existuje významná obchodní i jiná spolupráce, došlo spolu se vznikem regulace ochrany osobní údajů na evropské půdě také k přijetí mechanismů, které mají předávání osobních údajů do USA usnadňovat.

Jedním z takových mechanismů bylo i v anotaci zmíněné rozhodnutí Evropské komise, které umožnilo předávat a přijímat osobní údaje společnostem, které se zavázaly dodržovat tzv. zásady „Safe Harbour“ (zásady bezpečného přístavu). To už však po nedávném rozhodnutí Soudního dvora neplatí. Jak je to možné?

Rozhodnutí Soudního dvora EU

Dá se říci, že vše odstartovalo v roce 2013 po aféře Snowden, kdy došlo k odhalení rozsahu přístupu amerických bezpečnostních informačních služeb k údajům shromažďovaným tamními společnostmi (například Google či Facebook). To se nelíbilo rakouskému studentu práv Maxu Schremsovi. Ten nebyl zejména spokojený s tím, jak Facebook nakládá s jeho údaji a že je předává do USA. Podal proto stížnost příslušnému dohledovému orgánu proti takovému zpracování. Jelikož jeho stížnost byla zamítnuta s argumentací, že Facebook předává osobní údaje řádně na základě zásad bezpečného přístavu, nezbylo mu než se obrátit na místní soud s žádostí o přezkum. Tento soud však záhy dospěl k názoru, že se daná věc týká uplatňování unijního práva, a obrátil se proto na Soudní dvůr EU s žádostí o posouzení předběžné otázky.

Předběžná otázka se zjednodušeně týkala toho, zda může národní dohledový orgán (u nás je jím Úřad pro ochranu osobních údajů) dospět k opačnému závěru, než ke kterému dospěla Evropská komise ve svém rozhodnutí (v rozhodnutí o bezpečném přístavu), resp. zda je tímto rozhodnutím vázán. Soudní dvůr EU rozhodl, že národní dohledový orgán si může sám předávání posoudit, a to bez ohledu na závazné rozhodnutí Evropské komise. Tím se soud vyslovil pro větší pravomoci národních dohledových orgánů při vyšetřování toho, zda cílová destinace osobních údajů poskytuje odpovídající úroveň ochrany údajů.

Soudní dvůr EU šel však ještě mnohem dále a současně prohlásil, že rozhodnutí Evropské komise o bezpečném přístavu je neplatné. Důvodem byla zejména skutečnost, že zásady bezpečného přístavu zavazují pouze společnosti a nikoliv již americké bezpečnostní informační služby. Masivní sledování údajů státními orgány je přitom v demokratické společnosti nepřípustné, a proto takové země nemohou poskytovat dostatečnou ochranu pro předávané údaje. Nadto bylo zjištěno, že značný počet společností zásady bezpečného přístavu v praxi ani nedodržuje.

Co bude dál?

Rozhodnutí neznamená, že rázem dojde k přerušení veškerých toků informací mezi USA a Evropou nebo že veškeré další předávání osobních údajů do USA je nebezpečné či nemožné. Určité životní situace ani žádný zvláštní režim pro předávání údajů nevyžadují. Zejména jde o situace, kdy jsou osobní údaje předávány přímo subjektem například při uzavírání smlouvy (rezervace v hotelu) nebo v situacích, kdy je to v zájmu takové osoby (předání údajů o zdraví).

Společnosti, které z různých důvodů potřebují předávat osobní údaje do USA, mohou využít jiných způsobů. Těch je hned několik. Především lze uvést uzavření standardních smluvních doložek („Standard contractual clauses“) nebo přijetí závazných podnikových pravidel („Binding corporate rules“). Tyto dvě možnosti jsou také v současné situaci doporučovány Pracovní skupinou článku 29 (poradním orgánem Evropské komise) i českým Úřadem pro ochranu osobních údajů. Pracovní skupina článku 29 však dodává, že ani předávání osobních údajů pomocí těchto mechanismů neodebírá národním dohledovým orgánům pravomoc takové předávání vyšetřit.

Další možností, jak předávat údaje do USA, je vyžádat si příslušné povolení dohledového orgánu, tj. Úřadu pro ochranu osobních údajů. To však již vyžaduje podání žádosti dohledovému orgánu, který bude v navazujícím řízení posuzovat mimo jiné, zda jsou v třetí zemi vytvořeny dostatečné zvláštní záruky ochrany osobních údajů. S ohledem na nutnost podstoupit toto řízení se jeví výše uvedené možnosti standardních smluvních doložek či závazných podnikových pravidel jako snazší řešení.

Z regulatorního pohledu ve vztahu k ochraně osobních údajů může mít rozhodnutí Soudního dvora EU pozitivní dopad na hledání a přijetí nového řešení. Zejména by mohlo rychleji dojít k uzavření nové a přísnější dohody o zásadách bezpečného přístavu. Právě po uzavření takové dohody teď intenzivně volá Pracovní skupina článku 29. Rozhodnutí Soudního dvora bude přitom s největší pravděpodobností znamenat určité posílení Evropské unie při jednání o uzavření této dohody, jelikož do značné míry vymezuje hranice pro ústupky, které může Evropská komise ještě akceptovat.

Pro úplnost lze v této souvislosti uvést, že ani výše zmíněné standardní smluvní doložky nemají zcela pevnou půdu pod nohama. Z Německa se už ozývají hlasy volající i po přerušení předávání údajů do USA tímto způsobem. Důvodem je skutečnost, že „dovozce údajů“ se při přijetí doložek zaručuje za určitou úroveň ochrany údajů, což však při vědomí o způsobu sledování informačními službami v USA zaručit nelze. Na druhou stranu Evropská komise tento způsob předávání do USA prozatím stále podporuje a ve svém konečném důsledku tak mohou tyto diskuze vést k posílení Evropské unie při vyjednávání s USA o bezpečnosti evropských údajů.

Co firmy, které předávají na základě zásad bezpečného přístavu?

Rozhodnutí Evropské komise o odpovídající ochraně poskytované podle zásad bezpečného přístavu je neplatné, a to ve svém důsledku může znamenat jen to, že přenosy osobních údajů na základě tohoto rozhodnutí jsou protiprávní. Soudní dvůr EU sice neurčil odloženou účinnost svého rozhodnutí, dohledové orgány však stěží okamžitě budou vyšetřovat a postihovat veškerá dotčená předávání.

Společnosti by neměly panikařit a měly by zmapovat veškeré své přenosy osobních údajů do USA. Na základě toho by měly vyhodnotit zejména to, kam údaje předávají, zda jde o vnitroskupinové přenosy údajů, nebo o přenosy údajů třetím osobám, případně na základě čeho se to odehrává. Měly by být prověřeny smlouvy se všemi partnery, kterým jsou údaje předávány. Využívá někdo v tomto řetězci zásad bezpečného přístavu? Je skutečně předávání osobních údajů do USA nezbytné? Pak bude na místě hledat jiné vhodné řešení tak, jak bylo naznačeno výše.

KŠB

Váš názor
Na tomto místě můžete zahájit diskusi. Zatím nebyl zadán žádný názor. Do diskuse mohou přispívat pouze přihlášení uživatelé (Přihlásit). Pokud nemáte účet, na který byste se mohli přihlásit, registrujte se zde.
Aktuální komentáře
14.12.2017
22:01Americké trhy bez výraznějších zpráv mírně ztrácely, Teva si připsala 10%
19:25Zdánlivě nerozbitná investiční teze od Morgan Stanley
18:45Světový trh s ropou bude v prvním pololetí v přebytku, říká IEA
17:59Summary: Prodej větrníků, nákup filmů a internetová neutralita
17:35Pražská burza rostla třetí den za sebou, PX +0,52 %
17:10Disney koupí aktiva Foxu za 66 miliard dolarů. Měl by se Netflix bát?
17:02Technická analýza: Týden bohatý na události rozhoupal trh s ropou
16:30ECB euru další zisky nepřinesla, zatímco dolar využil dobré zprávy z ekonomiky  
15:15ECB výrazně vylepšuje prognózu, ale dál mává holubičími křídly
15:14Česká zbrojovka a.s.: Zápis z řádné valné hromady akciové společnosti
14:41Listopad znovu nastartoval americký maloobchod  
14:38České ekonomice došli lidé, její růst v příštím roce zpomalí
14:09INFOND investiční fond s proměnným základním kapitálem: Oznámení ohledně delistace investičních akcií
13:48ECB zlepšila výhled růstu v eurozóně a Draghi hýbe eurem. Sledovali jsme ŽIVĚ
13:35Konsorcium v čele s EPH kupuje většinu v druhé největší maďarské elektrárně
13:15Sazby v Británii beze změny, další proměny rétoriky tentokrát nepřišly
11:54Ifo: Německá ekonomika poroste příští rok nejrychleji od 2011
11:37Evropa před ECB ztrácí, Vestas Wind Systems +7 %
11:01Eurodolar přestal růst, když vyprchal efekt Fedu. Jsou tu ale data a přijde ECB  
10:44VIG (-0,19 %) spojí dvě české pojišťovny

Související komentáře
Nejčtenější zprávy dne
Nejčtenější zprávy týdne
Nejdiskutovanější zprávy týdne
Denní kalendář hlavních událostí
ČasUdálost
3:00Čína - Maloobchodní tržby, y/y
3:00Čína - Průmyslová výroba, y/y
9:30DE - PMI v průmyslu
10:00CZ - Běžný účet, mld. Kč
10:00EMU - PMI v průmyslu
10:30UK - Maloobchodní tržby vč. PHM, y/y
13:00UK - Jednání BoE, základní sazba
13:45EMU - Jednání ECB, základní sazba
14:30USA - Maloobchodní tržby, m/m
14:30USA - Nové žádosti o dávky v nezam.
15:45USA - PMI v průmyslu (Markit)