Základní standardy ochrany osobních údajů pro členské státy Evropské unie vymezuje Směrnice Evropského parlamentu a Rady 95/46/ES o ochraně jednotlivců v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů ze dne 24. 10. 1995 (dále jen „Směrnice“). Tyto byly transponovány do české vnitrostátní právní úpravy a začleněny do zák. č. 101/2000 Sb. , o ochraně osobních údajů (dále jen „ZOOÚ“).

Nejjednodušším způsobem předávání osobních údajů je jejich transfer v rámci členských zemí Evropské Unie, který nepodléhá žádným formálním požadavkům, naopak v souladu se základní zásadou volného pohybu musí být i zde zakotven volný režim, bez něhož by bylo možno realizovat volný pohyb zboží, osob, služeb i kapitálu jen stěží.

Odlišný režim nastává tehdy, směřují-li osobní údaje do třetích zemí, tedy do států mimo Evropskou Unii. I zde však existuje možnost zjednodušení předávání osobních údajů, a to v případech, kdy tak stanoví mezinárodní smlouvy.[1] Za stěžejní smlouvu v této oblasti lze považovat Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů (tzv. Úmluva č. 108), kterou až do dnešního dne ratifikovalo 47 členů Rady Evropy.[2] Orgánům EU byla navíc poskytnuta možnost, aby svým rozhodnutím stanovily, které země zajišťují Směrnicí požadovanou úroveň ochrany osobních údajů, do nichž je následně možno předávat osobní údaje bez omezení (příkladem těchto zemí je např. Švýcarsko, Argentina, Izrael a další). Ve všech ostatních případech podléhá transfer vždy povolení národního dozorčího orgánu. 

Zejména z obchodních důvodů však vyvstala potřeba zjednodušit způsob předávání informací do USA. Proto byl rozhodnutím Komise 2000/520/ES[3] (dále jen „Rozhodnutí“) vytvořen speciální režim zvaný „Safe Harbor“ neboli bezpečný přístav.

„Safe Harbor“ neboli bezpečný přístav

Podstata bezpečného přístavu byla přitom jednoduchá. Jednotlivé americké společnosti samy rozhodovaly o tom, zda se do programu bezpečného přístavu zapojí či nikoliv.  Pokud ano, musely tak deklarovat veřejně a zavázat se k dodržování základních zásad, stanovených ve výše uvedeném Rozhodnutí Komise. Jednalo se tedy o jakési „samoosvědčení“, činěné společností, na základě kterého byla zařazena na tzv. „Safe Harbor list“., tedy seznam, který obsahoval všechny společnosti, kterým bylo možné bez dalšího předávat osobní data z EU, aniž by bylo třeba žádat o povolení Úřadu pro ochranu osobních údajů (dále jen „ÚOOÚ“) nebo jiného obdobného národního dozorčího orgánu. Soudní dvůr však toto Rozhodnutí Komise ve sporu mezi rakouským absolventem práv se společností Facebook Ireland Ltd. prohlásil za neplatné.

Schrems v. Data Protection Commissioner

Základem sporu se stala odmítnutá stížnost Maximilliana Schremse, podaná Komisaři pro ochranu osobních údajů, ve které se domáhal prošetření, zda je zajištěna odpovídající ochrana osobních údajů, které uživatelé poskytují společnosti Facebook Ireland Ltd. Tato dceřiná společnost americké společnosti Facebook Inc. totiž veškeré údaje o svých klientech předávala do USA a ukládala je na tamějších serverech. Svá tvrzení o nedostatečnosti poskytnutých záruk ze strany USA opíral o zjištění Edwarda Snowdena, který v roce 2013 zveřejnil informace o praktikách americké NSA. Tato bezpečnostní agentura měla totiž podle něj přímý přístup nejen k účtům uživatelů služby Facebook, ale i Googlu, Apple a dalších, a to aniž by k němu potřebovala přivolení soudu. Stížnost byla komisařem odmítnuta, neboť argumentoval, že sama Komise svým rozhodnutím již konstatovala, že ochrana osobních údajů poskytována Spojenými státy je dostatečná. M. Schrems se tedy odvolal a irský High Court (vrchní soud) podal Soudnímu dvoru předběžné otázky, zabývající se tím, zda jsou úřední osoby vázány závěrem Komise, obsaženým v rozhodnutí, o zajištění dostatečné ochrany osobních údajů ze strany USA.

Soudní dvůr konstatoval, že vnitrostátní orgány dozoru musí být schopny posuzovat, zda jsou při předání osobních údajů zajištěny požadavky na jejich ochranu ve smyslu Směrnice, avšak nejsou nadány pravomocí rozhodnout o neplatnosti unijního aktu. Toto právo náleží pouze Soudnímu dvoru. V návaznosti na toto tvrzení tedy Soudní dvůr posuzoval, zda je Rozhodnutí Komise slučitelné s požadavky na ochranu soukromí a základních práv a svobod osob. Problematickým se zde stalo mimo jiné ustanovení Rozhodnutí, podle kterého mají před jeho aplikací přednost „požadavky na bezpečnost státu, veřejný zájem nebo prosazování zákonů“, a to aniž by byl osobám, do jejichž práv bylo za tímto účelem zasaženo, k dispozici jakýkoliv mechanismu účinné obrany nebo opravy či výmazu poskytnutých údajů. Takový zásah musí být umožněn pouze za dodržení principu přiměřenosti, a omezit se tedy jen na situace, kdy je to naprosto nezbytné. Stanovená úprava tomuto požadavku neodpovídala. V neposlední řadě bylo tímto Rozhodnutím Komise zasaženo i do práva vnitrostátních orgánů vykonávat dozor nad dodržováním základních práv a svobod osob. Proto bylo Rozhodnutí Komise Soudním dvorem zrušeno.

Jak postupovat dál?

Zrušením bezpečného přístavu ztratily Spojené státy své výsadní postavení v oblasti přeshraničního předávání osobních údajů, od nyní tedy podléhají stejnému režimu jako třetí země. Toto má dalekosáhlé důsledky, neboť „Safe Harbor“ představoval nejjednodušší způsob transferu dat do USA. Toto rozhodnutí se nedotkne pouze velkých amerických korporací, jakými jsou Facebook, Google nebo provozovatelé cloudových řešení, ale zejména jejich evropských klientů. Rozsah problému spočívá zejména v tom, že globálně největšími poskytovateli datových úložišť jsou právě americké společnosti. Naštěstí existují i jiné způsoby, jakými je možno realizovat předávání osobních údajů.

1. Standardní smluvní doložky

Prvním ze způsobů je uzavření standardní smluvní doložky.[4] Zahrnutím standardní smluvní doložky do smlouvy hlavní se smluvní strana zavazuje, že jí předávané osobní údaje do třetích zemí budou dostatečně chráněny před neoprávněnými zásahy, neboť sama doložka stanoví konkrétní povinnosti stran, rozsah odpovědnosti, způsob řešení sporů apod.

2. Závazná podniková pravidla (tzv. „binding corporate rules“)

Nadnárodní korporace, působící jak v zemích EU, tak i mimo, mohou dále využít možnost přijmout závazná podniková pravidla. Jedná se o interní předpis, působící pouze v rámci korporace, společnost tedy na jejich základě není oprávněna poskytovat osobní údaje třetím osobám. Zpravidla se bude jednat o transfer informací ohledně klientů společnosti či jejích zaměstnanců. Proces přijetí těchto pravidel je však značně komplikovaný. Společnost si sama vytváří návrh těchto pravidel, který musí předložit ke schválení určenému orgánu dozoru v rámci EU, zpravidla ve státě mateřské společnosti. Zároveň se k jejich znění vyjadřují i všechny národní orgány dozoru ve všech zemích, kde má společnost pobočky. Pravidla tedy musí odpovídat všem národním předpisům na ochranu osobních údajů. Až po vypořádání připomínek jednotlivých úřadů je přijato jejich finální znění.

3. Povolení ÚOOÚ

V ostatních případech bude třeba požádat ÚOOÚ o vydání povolení k předání osobních údajů, přičemž musí být naplněn alespoň jeden z důvodů, které předpokládá § 27 odst. 3 ZOOÚ. Jedná se mj. jak o situace, kdy k předání osobních údajů dochází na základě souhlasu subjektů, tak i případy, kdy je předání nezbytné pro uzavření smlouvy nebo jejího plnění či případy, kdy to vyžaduje důležitý veřejný zájem.

JUDr. Martin Kartner,
partner

Mgr. Andrea Hromadová,
advokátní koncipient

CHSH Kališ & Partners s.r.o., advokátní kancelář

Týn 639/1
110 00  Praha 1 – Staré Město

Tel.: +420 221 111 711
Fax: +420 221 111 725
e-mail: office@chsh.cz

--------------------------------------------------------------------------------
[1] K jejíž ratifikaci dal Parlament ČR souhlas a jíž je Česká republika vázána, které zakazují omezování volného pohybu osobních údajů ve svých ustanoveních a zároveň se jimi země zavazují k zajištění odpovídající úrovně dat.
[2] Aktuální seznam zemí, které ratifikovaly Úmluvu je dostupný na www, k dispozici >>> zde.
[3] Rozhodnutí Komise o odpovídající ochraně poskytované podle zásad bezpečného přístavu a s tím souvisejících často kladených otázek vydaných Ministerstvem obchodu Spojených států amerických ze dne 26. 7. 2000.
[4] Jejich vzory jsou přílohou rozhodnutí Komise 2010/87/EU ze dne 5.2.2010 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle Směrnice.

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz