Evropská unie má poměrně přísné standardy ochrany osobních údajů, které jsou stanoveny především nařízením GDPR. Jejich dodržování při nakládání s údaji občanů členských států se vyžaduje po všech subjektech, které osobní údaje spravují nebo zpracovávají, a to i mimo území EU. Úprava USA na druhé straně není jednotná, jelikož si každý stát pravidla ochrany osobních údajů nastavuje podle vlastního uvážení. Některé úpravou nedisponují vůbec, jiné (zejm. Kalifornie) mají úpravu, kterou se snaží vyrovnat úpravě evropské.
Připadají vám výše pokut za porušení GDPR vysoké?
Aby bylo umožněno předávání osobních údajů mimo EU, je podle čl. 45 GDPR třeba vydání rozhodnutí Evropské komise, které by určilo, že mimoevropský stát zajišťuje odpovídající úroveň ochrany srovnatelnou s tou, která je poskytována v rámci Evropské unie.
Takové rozhodnutí vydala Evropská komise ve vztahu k USA již dne 6. 7. 2000. Tímto rozhodnutím stanovila zásahy Safe Harbor, které měly odpovídající úroveň ochrany zajistit. Na základě tohoto rozhodnutí probíhalo volné předávání osobních údajů až do roku 2015, kdy Soudní dvůr Evropské unie rozhodl o neplatnosti daného rozhodnutí.
Druhým pokusem, který měl zajistit předávání osobních údajů do USA, bylo rozhodnutí Evropské komise ze dne 12. 7. 2016, kterým byl zaveden Privacy Shield. Na jeho základě bylo možné, aby společnost v USA uskutečnila samocertifikaci, a přihlásila se tak k dodržování zásad, pravidel a povinností stanovených rámcem Privacy Shield. Ačkoli Privacy Shield vznikl až po nabytí účinnosti nařízení GDPR, nařízení příliš nerespektoval a spokojil se s nižšími standardy ochrany.
Již od počátku bylo jasné, že Privacy Shield trpí řadou nedostatků, počínaje chybějícími definicemi zásadních pojmů, přes absenci zákazu plošného uchovávání údajů po nedostatečnou ochranu subjektů údajů před automatizovaným rozhodováním.
Nakonec v roce 2020 Soudní dvůr Evropské unie zrušil i toto rozhodnutí Evropské komise, a to s odůvodněním, že Privacy Shield umožňuje tajným službám i dalším vládním agenturám USA vyžádat si od soukromých amerických společností osobní údaje, přičemž v takovém případě jsou evropské standardy ochrany osobních údajů odsunuty do pozadí a společnosti v USA musejí součinnost poskytnout.
Ani procesní ochrana subjektů údajů v případě podezření na protiprávní nakládání s osobními údaji nebyla podle soudního dvora v souladu s požadavky evropského práva. Namísto nezávislého soudu poskytoval subjektům údajů ochranu ombudsman, jehož rozhodovací pravomoci nebyly považovány za dostatečně efektivní.
Tímto rozhodnutím Soudního dvora Evropské unie nastalo v podstatě vakuum, během něhož musel být přenos osobních údajů do USA řešen alternativním způsobem, a to na základě poskytnutí vhodných záruk podle čl. 46 GDPR. V praxi se využívala závazná podniková pravidla, která musela společnost v USA přijmout, přičemž tato pravidla musela být předem schválena dozorovým orgánem. Druhou možností bylo předávání osobních údajů na základě standardních doložek o ochraně osobních údajů, jejichž znění stanovila Evropská komise, které se musely stát součástí smlouvy o zpracování osobních údajů.
Avšak ani přijetí těchto vhodných záruk zcela nezajišťovalo, že předávání osobních údajů do USA bude v konečném důsledku vyhodnoceno za souladné s právem EU, což způsobovalo evropským i americkým společnostem nemálo problémů.
Významný posun nastal dne 10. 7. 2023, kdy došlo k přijetí (v pořadí již třetího) rozhodnutí Evropské komise, které je jasnou reakcí na soudní rozhodnutí, jímž byl zrušen Privacy Shield. Rozhodnutí zakotvuje Data Privacy Framework, na jehož základě je opět umožněn přenos osobních údajů z Evropské unie (ale i zbývajících států Evropského hospodářského prostoru i Velké Británie a Švýcarska) do USA. Rozhodnutí opět stojí na čl. 45 GDPR a znovu deklaruje, že ochrana osobních údajů v USA je obdobná ochraně poskytované v Evropské unii. Přijetím Data Privacy Framework tak opět odpadá nutnost sjednávat standardizované doložky nebo přijmout závazná podniková pravidla.
Pravidla pro předávání do USA na základě Data Privacy Framework do jisté míry stavějí na rámci Privacy Shield tak, jak jej známe. Také v tomto případě podstupují společnosti samocertifikaci, kterou potvrzují dodržování zásad ochrany osobních údajů podle Data Privacy Framework. Seznam certifikovaných organizací povede Ministerstvo obchodu USA, přičemž pouze zapsaným společnostem je možné na základě rozhodnutí Evropské komise osobní údaje předávat. Ostatní firmy, které v seznamu uvedeny nejsou, mohou i nadále získat přístup k osobním údajům subjektů údajů ze států EU pouze na základě poskytnutí vhodných záruk.
Pro subjekty údajů uvedené rozhodnutí značí, že jejich data mohou být volně předávána do USA, jako by byla předávána v rámci EU. Budou jim však také zajištěna obdobná práva, jaká stanoví GDPR, a to i na území USA. Jde zejména o právo na přístup k osobním údajům, právo na opravu nepřesných osobních údajů nebo výmaz osobních údajů v případě, že není nadále důvod pro jejich zpracovávání.
Na rozdíl od Privacy Shield obsahuje Data Privacy Framework již řadu limitací, s jejichž pomocí by měl být přístup vládních agentur k osobním údajům podstatně omezen. Jde nejen o omezení přístupu k datům pouze z nezbytných důvodů a způsobem přiměřeným ochraně národní bezpečnosti, ale též o zvýšení dohledu nad činnostmi zpravodajských služeb v USA s cílem zajistit dodržování zmíněných povinností.
Také nově zřízený Data Protection Review Court má být nezávislým prvkem soudní soustavy, který by měl umožnit subjektům údajů z EU domoci se nápravy při zpracovávání osobních údajů na území USA. Konečně Data Privacy Framework bude každoročně přezkoumáván ze strany Evropské komise, která může v případě vyhodnocení, že přiměřená úroveň ochrany není nadále zajištěna, rozhodnutí pozastavit nebo i zrušit.
Tato opatření by měla být prostředkem k vypořádání se s nejzásadnějšími výtkami, které ve svém rozhodnutí vyslovil Soudní dvůr Evropské unie. Je však třeba poznamenat, že nic z toho nezaručuje, že Soudní dvůr Evropské unie bude stejného názoru a zachová Data Privacy Framework v platnosti. Nutno podotknout, že příležitost k tomu jistě mít bude, neboť již v den vydání rozhodnutí byla publikována řada názorů uvádějících, že Data Privacy Framework není nic jiného než pouhá kopie Privacy Shield, která vlastně žádné zásadní změny nepřináší. Na konečný výsledek si tak možná ještě chvíli počkáme.
Autor je právník, Šetina, Komendová & Partners, advokátní kancelář
Celý článek vyšel v magazínu Computerworld 11/2023.
Computerworld si můžete objednat i jako klasický časopis. Je jediným odborným měsíčníkem na českém a slovenském trhu zaměreným na profesionály v oblasti informačních a komunikačních technologií (ICT). Díky silnému zázemí přináší aktuální zpravodajství, analýzy, komentáře a přehledy nejnovejších technologií dříve a na vyšší odborné úrovni, než ostatní periodika na tuzemském trhu.
Obsah Computerworldu je určen odborníkům a manažerům z firem a institucí, kteří se podílejí na rozhodovacím procesu při nákupu ICT technologií. Jednotlivá čísla si můžete objednat i v digitální podobě.