Stanovisko
generálního advokáta Yvese Bota ze dne 23. září 2015 předznamenalo velký třesk,
který 6. října 2015 rozsudkem v řízení Maximillian
Schrems v Data Protection Commissioner (věc C-362/14) způsobil Soudní dvůr
EU. Rozsudkem bylo zrušeno rozhodnutí Komise 2000/520/ES ze dne 26. července
2000 podle směrnice 95/46 o odpovídající
ochraně poskytované podle zásad „bezpečného přístavu“ a s tím souvisejících
„často kladených otázek“ vydaných Ministerstvem obchodu Spojených států,
které sloužilo jako základ pro přesuny osobních údajů mezi starým kontinentem a
Spojenými státy americkými. Vývoz dat do USA mohl na základě rozhodnutí
probíhat bez dalších administrativních překážek, protože certifikace Safe
Harbor měla zajistit osobním údajům vyváženým z členských států EU
odpovídající ochranu – a to i přesto, že Spojené státy obecně nejsou
z pohledu evropské ochrany osobních údajů za zemi poskytující odpovídající
ochranu považovány. Rozhodnutí se mimořádně intenzivně dotklo tisíců společností,
které používají datová úložiště ve Spojených státech, a jejich zákazníků. I na americké straně šlo o oblíbený nástroj: seznam amerických
společností – příjemců osobních údajů z EU, které
se v rámci programu Safe Harbor certifikovaly, čítá přes 5 tisíc záznamů.
Přes dramatické dopady rozsudek Schrems ve skutečnosti jen potvrdil to, co bylo možné dlouho očekávat a co v posledních dvou letech Komise několikrát naznačila: 15 let starý rámec pro předávání osobních údajů do USA nezaručuje subjektům osobních údajů dostatečnou ochranu a je třeba celý model předávání osobních údajů do zámoří zrevidovat.
Max Schrems před SDEU
Soudní dvůr EU uvedl, že rozhodnutí Komise o odpovídající úrovni ochrany osobních údajů nezbavuje národní úřady možnosti přezkoumat úroveň ochrany v dané zemi na základě žádosti subjektu údajů. Rozhodnutí Komise pak konkrétně vytkl to, že (i) program Safe Harbor funguje na základě příliš rozvolněných pravidel (osvědčení Safe Harbor dostane organizace na základě dotazníku, ve kterém sama popisuje a hodnotí interní procesy na ochranu osobních údajů); (ii) že americká legislativa neposkytuje dostatečnou ochranu před sledovacími aktivitami zpravodajských služeb; a (iii) že chybí i prostředky soudní ochrany. Rozhodnutí Komise klíčové pro aktivity mnohých evropských společností tím bylo zrušeno.
Safe Harbor is dead, long live Standard
Contractual Clauses?
Lusknutím
prstů se osobní údaje tisíců uživatelů sociálních sítí, e-mailových klientů i
dalších (nejen) cloudových služeb ocitly na druhé straně Atlantiku
v právním vakuu. Ne však nepřekonatelném. Evropské právo na ochranu
osobních údajů poskytuje i další nástroje, které mohou sloužit jako rámec pro
předávání osobních údajů do třetích zemí. Nejméně praktickým řešením je
vyžadování souhlasu subjektu údajů s předáním údajů do třetích zemí
v každém individuálním případě předání – i pracovní skupina zřízená podle
článku 29 směrnice 95/46 uvádí, že při hromadných nebo opakovaných transferech
dat do zahraničí není souhlas vhodným nástrojem. Zbývají tedy závazná
podniková pravidla – ta lze ovšem použít pouze pro transfery osobních údajů v rámci nadnárodních
korporací a jen po zdlouhavém a nákladném schvalovacím procesu – a standardní
smluvní doložky, které se nyní jeví jako nejvhodnější varianta pro předání osobních údajů do USA.
Standardní
smluvní doložky jsou vzorové texty smluv mezi evropským vývozcem osobních údajů
a jejich příjemcem ve třetí zemi, schválené dvěma rozhodnutími Komise: pro
předání mezi evropským správcem a správcem mimo EHP, případně mezi evropským
správcem a zpracovatelem mimo EHP. V současné
době se i na základě doporučení pracovní skupiny čl. 29 po
rozsudku Schrems právě standardní smluvní doložky jeví jako nejvhodnější právní
nástroj pro předávání osobních údajů do Spojených států amerických (nelze ovšem pominout, že komisařka Jourová v projevu odkazovaném na JP
Lukášem Hoderem uvádí, že alternativní nástroje pro předávání údajů do USA –
tedy i standardní smluvní doložky – nejsou dlouhodobě vhodné). Celá situace je ale komplikovanější, protože Soudní dvůr EU svým
rozhodnutím otevřel národním úřadům možnost zpochybnit na základě stížnosti
subjektu údajů úroveň ochrany osobních údajů i při předání do těch zemí, kde by
na základě rozhodnutí Komise měla být garantována ochrana dostatečná, tedy právě i
v případech předání na základě standardních smluvních doložek.
Prvním stínem
pochybnosti nad udržitelností standardních smluvních doložek bylo společné
stanovisko německých úřadů na ochranu osobních údajů (Sondersitzung der DSK am 21. Oktober 2015 in Frankfurt), které
pozastavilo další schvalování závazných podnikových pravidel. Zároveň se
německé úřady negativně vyhradily vůči možnosti udělovat souhlasy s ad hoc vývozy osobních údajů. U
standardních smluvních doložek německé stanovisko naznačilo možnost případného
pozastavení jejich používání s tím, že německé úřady mají pravomoc předávání
osobních údajů na základě standardních smluvních doložek zakázat a nezávisle
vyhodnotit úroveň ochrany osobních údajů v přijímající zemi.
Šlesvicko-holštýnský úřad na ochranu osobních údajů zašel ještě dále, když
transfer na základě standardních smluvních doložek zcela zpochybnil s
argumentem, že americký příjemce osobních údajů pravděpodobně nemůže
dle doložky 5. b) modelové smlouvy věrohodně zaručit, že „nemá důvod se
domnívat, že mu právní předpisy, kterým podléhá, brání plnit pokyny vývozce
údajů a jeho povinnosti vyplývající ze smlouvy“.
Úvaha
německých úřadů je logická – standardní smluvní doložky de facto neposkytují
výrazně větší ochranu osobním údajům předávaným do USA. Stále jde o zaoceánský
přesun dat, kde možnost kontroly evropského vývozce osobních údajů nad
nakládáním s osobními údaji je spíše teoretická, a stejně jako Safe Harbor
ani smluvní doložky neobsahují mechanismy, které by zabránily přístupu
amerických úřadů k datům uloženým na serverech na území Spojených států.
Obavy, že ke zpochybnění předávání osobních údajů na základě standardních
smluvních doložek dříve či později dojde, jsou dle mého názoru na místě. To
však nic nemění na skutečnosti, že evropští vývozci dat momentálně na
standardní smluvní doložky spoléhají jako na hlavní nástroj pro vývoz údajů do
USA. Zcela pragmaticky je nutné konstatovat, že jim ani moc jiných možností
nezbývá, nyní také s ohledem na časový tlak – mají již jen posledních pár
dnů na to, aby v souladu se stanoviskem pracovní skupiny čl. 29 reagovali na
zneplatnění rozhodnutí o Safe Harbor, jinak se vystavují riziku postihu. Standardní smluvní doložky vyžadují „pouze“ doplnění typu předávaných údajů,
popis technických a organizačních bezpečnostních opatření přijatých americkým
dovozcem a podpisy obou stran. Znění doložek jako takových nesmí být měněno (s
výjimkou ustanovení o dílčích zpracovatelích), odpadá tedy vyjednávání
konkrétního obsahu, a tím se podpis oběma stranami výrazně urychlí.
Safe Harbor 2.0 – lepší, bezpečnější …
žádný
Vzhledem ke
spíše formálním rozdílům mezi ochranou osobních údajů v rámci Safe Harbor
a ochranou poskytovanou standardními smluvními doložkami lze rozhodnutí
Soudního dvora EU chápat hlavně jako prostředek politického nátlaku na
americkou stranu v táhnoucím se vyjednávání o novém rámci pro předávání
osobních údajů. Jako problém při vyjednáváních se opakovaně
ukazovala zejména absence americké legislativy, která by dávala evropským
subjektům osobních údajů efektivní prostředky ochrany proti nežádoucímu
zacházení s jejich údaji na americkém území a která by také zajišťovala,
že přístup amerických orgánů veřejné moci k osobním údajům evropských
subjektů bude – pokud ne výrazně omezen – alespoň podrobně monitorován.
Po zrušení
rozhodnutí o Safe Harbor frekvence schůzek mezi oběma stranami vzrostla a snahy
o dosažení shody na novém bezpečném přístavu nabyly na intenzitě (nadměrný optimismus
posílila i zpráva agentury Reuters, která
v původním znění v důsledku údajné chyby v překladu prohlášení
komisařky Jourové avizovala dosažení dohody nejpozději 17. prosince 2015). Veškeré
snažení zatím kýžený data deal
nepřineslo a s koncem ledna 2016 se neúprosně blíží zmiňovaný termín, do
kterého musí evropští vývozci dat přijmout náhradní řešení namísto Safe Harbor
- v českých podmínkách to bude typicky pro správce osobních údajů znamenat podpis
standardních smluvních doložek s americkými příjemci osobních údajů a oznámení
této skutečnosti Úřadu pro ochranu osobních údajů v rámci změny registrace.
Zatím nelze
říci, zda schůzka vyjednavačů z obou stran Atlantiku plánovaná na úterý 2. února 2016 (jeden z vyjednavačů,
Justin Antonipillai, Deputy General Counsel of the Department of Commerce,
neopomenul zdůvodnit zpoždění tím, že 31. ledna připadá na neděli) přinese
nějaké rozuzlení. Pokud by se tak stalo a dohody by bylo dosaženo, znamenalo by
to bez ohledu na konečné znění dohody velký ústupek na evropské straně:
ještě do minulého týdne totiž zásadní problém představoval americkým Senátem neprojednaný Judicial Redress Act, zákon, který by dával občanům členských států EU nástroje
účinné ochrany před nedovoleným zacházením s osobními údaji. A
poslední vývoj ve Washingtonu naznačuje, že jeho přijetí ve stávajícím znění je
ohroženo a dohoda o Safe
Harbor by tak mohla být ochuzena o jeden z vyzdvihovaných prostředků ochrany.
Uspěchané přijetí amerických podmínek dohody o Safe Harbor je v každém
případě nežádoucí – Věra Jourová v odkazovaném projevu jasně vypočítává,
jaké podmínky si Evropská unie klade, a lze pouze doufat, že šibeniční termín
pro přijetí nového rámce (který si navíc evropské instituce samy dobrovolně
stanovily) nedonutí komisařku Jourovou a její tým na tuto pozici rezignovat a letošní blizzard nezavane naděje Maxe Schremse na lepší ochranu osobních údajů.
Žádné komentáře:
Okomentovat