Až do začátku října se Spojené státy považovaly za zemi, která poskytuje citlivým evropským datům dostatečnou ochranu. Společnosti tak mohly bez omezení posílat svým americkým matkám třeba databázi klientů nebo údaje o zaměstnancích. Evropa teď ale kvůli jednomu rakouskému studentovi práv volné sdílení zakázala.

USA už nejsou "bezpečný přístav"

V roce 2000 vydala Evropská komise rozhodnutí, ve kterém definovala zásady tzv. bezpečného přístavu (Safe Harbor) pro osobní údaje a řekla, že americkým společnostem, které se zavážou tyto zásady dodržovat, mohou být data z Evropy posílána bez omezení. Oficiální seznam důvěryhodných společností čítal přes čtyři a půl tisíce firem, mezi nimi i giganty jako Google, Yahoo!, Amazon nebo Facebook.

Právě poslední zmíněná sociální síť se stala trnem v oku rakouskému studentovi práv Maxi Schremsovi. Ten požadoval, aby Facebook přestal předávat údaje o svých uživatelích z EU na servery ve Spojených státech, protože tam není dostatečná ochrana před sledováním ze strany státních orgánů. Nakonec se svou žalobou uspěl - soudní dvůr Evropské unie na začátku října prohlásil zmíněné rozhodnutí komise kvůli nedostatečné ochraně za neplatné a volnou výměnu dat v režimu bezpečného přístavu zrušil. "Účast příjemce osobních údajů v programu Safe Harbor fakticky nemohla zajistit odpovídající úroveň ochrany osobních údajů ve Spojených státech amerických, což bylo nyní potvrzeno autoritou Soudního dvora EU," přivítal rozhodnutí mluvčí Úřadu pro ochranu osobních údajů David Pavlát.

Společnosti hledají alternativu

Firmy musí nyní hledat jiné způsoby, jak data do USA legálně předávat. Asi nejlepší alternativou, kterou doporučila i eurokomisařka Věra Jourová, je uzavření smlouvy se zapracováním vzorových evropských doložek o ochraně osobních údajů. Odborníci ale upozorňují, že přísné požadavky EU budou pro řadu amerických společností těžko přijatelné. Doložkou se totiž příjemce údajů zavazuje, že se podrobí rozhodovací pravomoci soudů a úřadů na ochranu údajů země, ze které se data vyvážejí. Současně souhlasí s tím, že poskytovatelům citlivých dat kdykoliv umožní inspekci zařízení, na kterých údaje zpracovává. "Doložky navíc obsahují i klauzuli, na základě které se mohou dodržování jejich pravidel vůči příjemci údajů domáhat přímo i osoby, jejichž osobní údaje se předávají," vysvětluje advokát Ondřej Kramoliš z kanceláře Allen & Overy.

Doložky ale nelze použít pro předání dat v rámci jedné právnické osoby. Pokud si americká firma založí v Česku pobočku, a nikoliv samostatnou dceřinou společnost, je řešením přijetí závazných podnikových pravidel o zpracování údajů v rámci skupiny. Třetí variantou, jak data legálně předávat, je získat souhlas člověka, kterého se osobní údaje přímo týkají. "Zisk souhlasu, stejně jako závazná podniková pravidla však v Česku podléhají schválení Úřadem pro ochranu osobních údajů," uvedl Michal Nulíček, partner advokátní kanceláře Rowan Legal.

Zrušení systému se týká i poskytovatelů cloudů, třeba provozovatelů e-mailových služeb nebo úložišť, jako je Dropbox. "Velcí poskytovatelé však již delší dobu umožňují svým uživatelům z EU umístění jejich dat na evropských serverech, takže by na ně v zásadě toto rozhodnutí nemělo mít vážnější dopad," dodává Ondřej Kramoliš.

Dodržování pravidel posoudí jednotlivé státy

Kromě zrušení režimu bezpečného přístavu vyslovil Soudní dvůr EU také jedno velmi důležité pravidlo. Řekl, že i když existuje rozhodnutí Komise potvrzující dostatečnou úroveň ochrany osobních údajů ve třetích zemích, národní orgány dozoru musí mít možnost posoudit, zda jsou opravdu dodrženy všechny požadavky. V praxi to znamená, že přímo jednotlivé unijní státy mohou rozhodovat o tom, jestli předání osobních dat odpovídá evropským pravidlům.

"Neočekáváme, že by orgány pro ochranu osobních údajů napříč Evropskou unií nyní zahájily tažení proti firmám, které takto údaje doposud předávaly. Riziko však představují stížnosti občanů, jako je Max Schrems, proti konkrétním službám a společnostem. Těmito stížnostmi se evropské orgány včetně našeho Úřadu pro ochranu osobních údajů budou muset zabývat. Pokud v daném případě zjistí, že předávání je v rozporu se zákonem, mohou jej mimo jiné zakázat," vysvětluje Michal Nulíček.

Podle právníků by se na pozoru měly mít všechny firmy předávající data do států mimo EU, tedy nejen ty zaměřené na USA. Argumentace použitá v rozhodnutí soudního dvora totiž může v budoucnu sloužit ke zpochybnění i ostatních způsobů poskytování dat do třetích zemí.

Článek vyšel 29. října v časopise Ekonom.

 

Související