Bezpečný přístav vyschl, vyšlete data na rozbouřené moře

Stanovisko generálního advokáta Yvese Bota ze dne 23. září 2015 předznamenalo velký třesk, který 6. října 2015 rozsudkem v řízení Maximillian Schrems v Data Protection Commissioner (věc C-362/14) způsobil Soudní dvůr EU. Rozsudkem bylo zrušeno rozhodnutí Komise 2000/520/ES ze dne 26. července 2000 podle směrnice 95/46 o odpovídající ochraně poskytované podle zásad „bezpečného přístavu“ a s tím souvisejících „často kladených otázek“ vydaných Ministerstvem obchodu Spojených států, které sloužilo jako základ pro přesuny osobních údajů mezi starým kontinentem a Spojenými státy americkými. Vývoz dat do USA mohl na základě rozhodnutí probíhat bez dalších administrativních překážek, protože certifikace Safe Harbor měla zajistit osobním údajům vyváženým z členských států EU odpovídající ochranu – a to i přesto, že Spojené státy obecně nejsou z pohledu evropské ochrany osobních údajů za zemi poskytující odpovídající ochranu považovány. Rozhodnutí se mimořádně intenzivně dotklo tisíců společností, které používají datová úložiště ve Spojených státech, a jejich zákazníků. I na americké straně šlo o oblíbený nástroj: seznam amerických společností – příjemců osobních údajů z EU, které se v rámci programu Safe Harbor certifikovaly, čítá přes 5 tisíc záznamů.

Přes dramatické dopady rozsudek Schrems ve skutečnosti jen potvrdil to, co bylo možné dlouho očekávat a co v posledních dvou letech Komise několikrát naznačila: 15 let starý rámec pro předávání osobních údajů do USA nezaručuje subjektům osobních údajů dostatečnou ochranu a je třeba celý model předávání osobních údajů do zámoří zrevidovat.

Max Schrems před SDEU

K prohlášení rozhodnutí o Safe Harbor za neplatné a k uspíšení snah o nastolení bezpečného rámce pro předávání osobních údajů do USA nakonec nejvíce přispěl nyní 28letý rakouský student práv. Maximillian Schrems se registroval na Facebooku v roce 2008 a v roce 2013 se pod vlivem Snowdenových odhalení rozhodl bránit proti praxi irské pobočky Facebooku, která osobní údaje evropských uživatelů předávala dále do Spojených států amerických. Schrems tvrdil, že s ohledem na aktivity zpravodajských služeb v zámoří není jeho osobním údajům v USA garantována dostatečná míra ochrany, a domáhal se, aby irský úřad na ochranu osobních údajů zakázal předávání osobních údajů evropských uživatelů Facebooku do Spojených států amerických. Věc se po odmítnutí Schremsovy žádosti irským komisařem pro ochranu osobních údajů dostala až k Vrchnímu soudu (High Court of Ireland), jenž se obrátil na Soudní dvůr EU s cílem zjistit, zda je národní úřad pro ochranu osobních údajů oprávněn sám přezkoumávat adekvátnost ochrany osobních údajů, která je založena na rozhodnutí Komise.

Soudní dvůr EU uvedl, že rozhodnutí Komise o odpovídající úrovni ochrany osobních údajů nezbavuje národní úřady možnosti přezkoumat úroveň ochrany v dané zemi na základě žádosti subjektu údajů. Rozhodnutí Komise pak konkrétně vytkl to, že (i) program Safe Harbor funguje na základě příliš rozvolněných pravidel (osvědčení Safe Harbor dostane organizace na základě dotazníku, ve kterém sama popisuje a hodnotí interní procesy na ochranu osobních údajů); (ii) že americká legislativa neposkytuje dostatečnou ochranu před sledovacími aktivitami zpravodajských služeb; a (iii) že chybí i prostředky soudní ochrany. Rozhodnutí Komise klíčové pro aktivity mnohých evropských společností tím bylo zrušeno.

Safe Harbor is dead, long live Standard Contractual Clauses?

Lusknutím prstů se osobní údaje tisíců uživatelů sociálních sítí, e-mailových klientů i dalších (nejen) cloudových služeb ocitly na druhé straně Atlantiku v právním vakuu. Ne však nepřekonatelném. Evropské právo na ochranu osobních údajů poskytuje i další nástroje, které mohou sloužit jako rámec pro předávání osobních údajů do třetích zemí. Nejméně praktickým řešením je vyžadování souhlasu subjektu údajů s předáním údajů do třetích zemí v každém individuálním případě předání – i pracovní skupina zřízená podle článku 29 směrnice 95/46 uvádí, že při hromadných nebo opakovaných transferech dat do zahraničí není souhlas vhodným nástrojem. Zbývají tedy závazná podniková pravidla – ta lze ovšem použít pouze pro transfery osobních údajů v rámci nadnárodních korporací a jen po zdlouhavém a nákladném schvalovacím procesu – a standardní smluvní doložky, které se nyní jeví jako nejvhodnější varianta pro předání osobních údajů do USA.

Standardní smluvní doložky jsou vzorové texty smluv mezi evropským vývozcem osobních údajů a jejich příjemcem ve třetí zemi, schválené dvěma rozhodnutími Komise: pro předání mezi evropským správcem a správcem mimo EHP, případně mezi evropským správcem a zpracovatelem mimo EHP.  V současné době se i na základě doporučení pracovní skupiny čl. 29 po rozsudku Schrems právě standardní smluvní doložky jeví jako nejvhodnější právní nástroj pro předávání osobních údajů do Spojených států amerických (nelze ovšem pominout, že komisařka Jourová v projevu odkazovaném na JP Lukášem Hoderem uvádí, že alternativní nástroje pro předávání údajů do USA – tedy i standardní smluvní doložky – nejsou dlouhodobě vhodné). Celá situace je ale komplikovanější, protože Soudní dvůr EU svým rozhodnutím otevřel národním úřadům možnost zpochybnit na základě stížnosti subjektu údajů úroveň ochrany osobních údajů i při předání do těch zemí, kde by na základě rozhodnutí Komise měla být garantována ochrana dostatečná, tedy právě i v případech předání na základě standardních smluvních doložek.

Prvním stínem pochybnosti nad udržitelností standardních smluvních doložek bylo společné stanovisko německých úřadů na ochranu osobních údajů (Sondersitzung der DSK am 21. Oktober 2015 in Frankfurt), které pozastavilo další schvalování závazných podnikových pravidel. Zároveň se německé úřady negativně vyhradily vůči možnosti udělovat souhlasy s ad hoc vývozy osobních údajů. U standardních smluvních doložek německé stanovisko naznačilo možnost případného pozastavení jejich používání s tím, že německé úřady mají pravomoc předávání osobních údajů na základě standardních smluvních doložek zakázat a nezávisle vyhodnotit úroveň ochrany osobních údajů v přijímající zemi. Šlesvicko-holštýnský úřad na ochranu osobních údajů zašel ještě dále, když transfer na základě standardních smluvních doložek zcela zpochybnil s argumentem, že americký příjemce osobních údajů pravděpodobně nemůže dle doložky 5. b) modelové smlouvy věrohodně zaručit, že „nemá důvod se domnívat, že mu právní předpisy, kterým podléhá, brání plnit pokyny vývozce údajů a jeho povinnosti vyplývající ze smlouvy“.

Úvaha německých úřadů je logická – standardní smluvní doložky de facto neposkytují výrazně větší ochranu osobním údajům předávaným do USA. Stále jde o zaoceánský přesun dat, kde možnost kontroly evropského vývozce osobních údajů nad nakládáním s osobními údaji je spíše teoretická, a stejně jako Safe Harbor ani smluvní doložky neobsahují mechanismy, které by zabránily přístupu amerických úřadů k datům uloženým na serverech na území Spojených států. Obavy, že ke zpochybnění předávání osobních údajů na základě standardních smluvních doložek dříve či později dojde, jsou dle mého názoru na místě. To však nic nemění na skutečnosti, že evropští vývozci dat momentálně na standardní smluvní doložky spoléhají jako na hlavní nástroj pro vývoz údajů do USA. Zcela pragmaticky je nutné konstatovat, že jim ani moc jiných možností nezbývá, nyní také s ohledem na časový tlak – mají již jen posledních pár dnů na to, aby v souladu se stanoviskem pracovní skupiny čl. 29 reagovali na zneplatnění rozhodnutí o Safe Harbor, jinak se vystavují riziku postihu. Standardní smluvní doložky vyžadují „pouze“ doplnění typu předávaných údajů, popis technických a organizačních bezpečnostních opatření přijatých americkým dovozcem a podpisy obou stran. Znění doložek jako takových nesmí být měněno (s výjimkou ustanovení o dílčích zpracovatelích), odpadá tedy vyjednávání konkrétního obsahu, a tím se podpis oběma stranami výrazně urychlí.

Safe Harbor 2.0 – lepší, bezpečnější … žádný

Vzhledem ke spíše formálním rozdílům mezi ochranou osobních údajů v rámci Safe Harbor a ochranou poskytovanou standardními smluvními doložkami lze rozhodnutí Soudního dvora EU chápat hlavně jako prostředek politického nátlaku na americkou stranu v táhnoucím se vyjednávání o novém rámci pro předávání osobních údajů. Jako problém při vyjednáváních se opakovaně ukazovala zejména absence americké legislativy, která by dávala evropským subjektům osobních údajů efektivní prostředky ochrany proti nežádoucímu zacházení s jejich údaji na americkém území a která by také zajišťovala, že přístup amerických orgánů veřejné moci k osobním údajům evropských subjektů bude – pokud ne výrazně omezen – alespoň podrobně monitorován.

Po zrušení rozhodnutí o Safe Harbor frekvence schůzek mezi oběma stranami vzrostla a snahy o dosažení shody na novém bezpečném přístavu nabyly na intenzitě (nadměrný optimismus posílila i zpráva agentury Reuters, která v původním znění v důsledku údajné chyby v překladu prohlášení komisařky Jourové avizovala dosažení dohody nejpozději 17. prosince 2015). Veškeré snažení zatím kýžený data deal nepřineslo a s koncem ledna 2016 se neúprosně blíží zmiňovaný termín, do kterého musí evropští vývozci dat přijmout náhradní řešení namísto Safe Harbor - v českých podmínkách to bude typicky pro správce osobních údajů znamenat podpis standardních smluvních doložek s americkými příjemci osobních údajů a oznámení této skutečnosti Úřadu pro ochranu osobních údajů v rámci změny registrace.

Zatím nelze říci, zda schůzka vyjednavačů z obou stran Atlantiku plánovaná na úterý 2. února 2016 (jeden z vyjednavačů, Justin Antonipillai, Deputy General Counsel of the Department of Commerce, neopomenul zdůvodnit zpoždění tím, že 31. ledna připadá na neděli) přinese nějaké rozuzlení. Pokud by se tak stalo a dohody by bylo dosaženo, znamenalo by to bez ohledu na konečné znění dohody velký ústupek na evropské straně: ještě do minulého týdne totiž zásadní problém představoval americkým Senátem neprojednaný Judicial Redress Act, zákon, který by dával občanům členských států EU nástroje účinné ochrany před nedovoleným zacházením s osobními údaji. A poslední vývoj ve Washingtonu naznačuje, že jeho přijetí ve stávajícím znění je ohroženo a dohoda o Safe Harbor by tak mohla být ochuzena o jeden z vyzdvihovaných prostředků ochrany. Uspěchané přijetí amerických podmínek dohody o Safe Harbor je v každém případě nežádoucí – Věra Jourová v odkazovaném projevu jasně vypočítává, jaké podmínky si Evropská unie klade, a lze pouze doufat, že šibeniční termín pro přijetí nového rámce (který si navíc evropské instituce samy dobrovolně stanovily) nedonutí komisařku Jourovou a její tým na tuto pozici rezignovat a letošní blizzard nezavane naděje Maxe Schremse na lepší ochranu osobních údajů.