Soudní dvůr EU nepovažuje USA za zemi, ve které jsou osobní údaje chráněny v souladu s evropskými pravidly. Co to znamená pro firmy v EU?

Předávání údajů do USA je pro spoustu firem v EU naprosto klíčová věc. Spousta z nich totiž využívá služeb amerických dodavatelů, jako jsou Google, Amazon, Microsoft nebo Facebook. Doposud většina transferů dat probíhala na základě jednoho z těchto režimů (případně i kombinace obou):

  1. „Štít soukromí (Privacy Shield)“: Štít soukromí ve zkratce znamenal, že využívání služeb amerických firem, které se k tomuto režimu přihlásily, bylo z hlediska ochrany osobních údajů bezpečné.
  2. Tzv. standardní smluvní doložky schválené Evropskou komisí: Jde o standardizovanou dohodu mezi stranami převodu údajů, od níž se (až na drobnosti) nelze odchýlit. Právě neměnnost podmínek transferu měla zajistit odpovídající ochranu údajů.

Aktuální rozhodnutí Soudního dvora EU (označované jako Schrems II) se dotýká obou těchto režimů.

Štít soukromí (Privacy Shield)

V souladu s názorem Maxe Schremse Soudní dvůr prohlásil Štít soukromí EU-USA za neplatný pro rozpor s principy ochrany osobních údajů občanů EU. Hlavními důvody byly jednak různé americké předpisy upravující pravomoci úřadů sledovat komunikaci, datové toky a informace v rámci zpravodajských služeb, jednak nedostatečné zajištění práv osob na ochranu před neoprávněným sledováním. Právní režim v USA podle Soudního dvora není v souladu s úrovní ochrany údajů podle práva EU. Nadále tak již není možné předávat osobní údaje do USA na základě Štítu soukromí.


Štít EU-USA
Nařízení GDPR stanoví pro soukromé společnosti přísnější podmínky, než jaké vyžadují regulace většiny zemí mimo EU. Předávání osobních údajů do třetí země je možné, jen pokud dotyčná třetí země zajistí odpovídající úroveň ochrany těchto údajů. Brusel proto v roce 2016 po dohodě s Washingtonem zavedl systém pravidel pro ochranu údajů. Během prvních tří let se do něj zapojilo téměř 5 000 amerických společností. Podle místopředsedkyně Evropské komise Věry Jourové USA postupně zlepšují dohled nad dodržováním dohody, připustila však, že stále existují problematické bodyStandardní smluvní doložky.


Standardní smluvní doložky

Standardní smluvní doložky Soudní dvůr svým rozsudkem přímo nezrušil, jejich použití však podmiňuje testem přiměřenosti přijatých opatření, a to zaprvé v závislosti na okolnostech předání a zadruhé na podmínkách panujících v zemi, kam se údaje mají předat.  Tyto doložky tedy nelze jen mechanicky podepsat, aniž by se ověřila skutečná úroveň ochrany osobních údajů. V praxi to znamená, že na standardní smluvní doložky nelze spoléhat, pokud není doloženo a ověřeno, že údaje budou ve třetí zemi v bezpečí v souladu s pravidly EU. Tuto povinnost má podle Soudního dvora přímo firma, která hodlá údaje do třetí země předávat (respektive která využívá služeb dodavatele v USA).

Pro USA lze na základě zmíněného rozhodnutí Soudního dvora dovodit, že z důvodu nepřiměřeného plošného sledování neposkytují dostatečné záruky ochrany osobních údajů a standardní doložky tak bez dalších záruk a opatření nelze použít.

Jak tedy mohou firmy převádět data do třetích zemí?

Podmínky pro předávání osobních údajů do třetích zemí (tj. mimo EU a Evropský hospodářský prostor) stanoví obecné nařízení o ochraně osobních údajů (GDPR). To umožňuje předávat osobní údaje bez dalších zvláštních povolení do zemí poskytujících odpovídající úroveň zabezpečení. Seznam těchto zemí lze nalézt zde. Doposud však obsahuje i rozhodnutí ve vztahu k USA, které bylo zrušené rozhodnutím Soudního dvora. USA jinými slovy nadále nepatří k „bezpečným“ zemím.

Ohledně možného využití standardních smluvních doložek je nutné vycházet z rozhodnutí Soudního dvora Schrems II. Český úřad doporučuje následující postup:

[Firmy musí] řešit s dovozcem údajů [dodavatelem] konkrétní dopady rozsudku, hledat a navrhovat řešení v podobě dalších bezpečnostních záruk (např. uložení dat včetně metadat pouze na území EU, šifrování bez zadních vrátek apod.). Přitom by [firma] neměla zapomenout na zásadu transparentnosti a informovat subjekt údajů o konkrétních opatřeních a postupech, komu a do jakých zemí jsou údaje zpřístupňovány/předány, za jakých podmínek, jak jsou jeho údaje chráněny, případně rizika s tím související.

Pokud ale firma není schopná se svým dodavatelem nalézt odpovídající technická nebo právní opatření, pak není možné transfer dat provádět. Zde je nutné dodat, že nalézt jakákoli efektivní opatření proti přístupu amerických státních úřadů k údajům z EU bude velmi složité, ne-li nemožné, vzhledem k tomu, že tento přístup umožňují platné právní předpisy USA, které nelze smluvní dohodou vyloučit nebo omezit.

V současné chvíli zatím nejsou k dispozici žádná konkrétní opatření ani doporučení ze strany EU nebo evropských dozorových úřadů. Nezbývá tedy než začít mapovat a analyzovat jednotlivé datové toky a pokusit se najít vhodné řešení pro jejich zabezpečení ve spolupráci s vašimi dodavateli.

Mohlo by vás také zajímat:

Evropská komise rozhodla, že Japonsko zajišťuje odpovídající ochranu osobních údajů

Ochrana soukromí při komunikaci mezi EU a USA funguje podle Komise dobře

Bez osobních údajů zákazníků se nehnete? Dejte jim najevo, že se o ně nemusejí bát