Poskytování osobních údajů ze států EU do USA ještě donedávna probíhalo dle zásad stanovených Rozhodnutím Komise 2000/520 (dále jen „Rozhodnutí 2000/520“),[1] které bylo přijato na základě Směrnice Evropského parlamentu a Rady 95/46/ES (dále jen „Směrnice“).[2] Toto Rozhodnutí 2000/520 poskytovalo právní základ pro předávání osobních údajů z EU společnostem usazených v USA, a to za podmínky přijetí zásad tzv. Safe Harbor (bezpečného přístavu) vydaných Ministerstvem obchodu Spojených států za účelem ochrany těchto údajů. Bylo tak stanoveno, že odpovídající úrovně ochrany ve smyslu příslušných ustanovení Směrnice je dosaženo jednoznačným a veřejným závazkem organizace sídlící v USA dodržovat tyto zásady. Další podmínkou bylo, že taková organizace musela podléhat zákonným pravomocím orgánu veřejné správy Spojených států, kterými jsou pro tento případ Federální obchodní komise a Ministerstvo dopravy USA.

Mezi organizace předávající osobní údaje svých evropských klientů na území USA, které se k dodržování zásad Safe Harbor zavázaly, patří internetové společnosti jako Google, Facebook, Microsoft, Apple nebo Yahoo.

Zásady bezpečného přístavu však obsahovaly výjimku pro případ, kdy na základě zákona, nařízení nebo soudcovského práva vznikly navzájem si odporující závazky. Tam, kde právo USA ukládalo závazek odporující zásadám Safe Harbor, byla organizace v USA povinna dodržovat toto národní právo bez ohledu na to, zda se účastnila Safe Harbor, či nikoliv. Rozpor vyplaval na povrch po aféře rozpoutané zveřejněním informací Edwardem Snowdenem, dle kterých měla Národní bezpečností agentura USA přístup k serverům několika poskytovatelů internetových služeb. Bezpečnostní orgán USA tak získával přístup k osobním údajům občanů a to nad rámec toho, co je nezbytně nutné a přiměřené pro ochranu bezpečnosti státu. Tento postup rozpoutal mediálně známou kauzu ve spojení s užíváním Facebooku - Rakušan Schrems podal stížnost proti Facebooku (Schrems v. Data Protection Commissioner: C-362/14) a žádal ukončení předávání dat uživatelů této sociální sítě na své servery umístěné v USA.

Vyústěním této kauzy bylo vydání přelomového Rozhodnutím Soudního dvora ze dne 6. října 2015 (dále jen „Rozsudek“),[3] kterým soud rozhodoval ve velkém senátu ve věci ochrany fyzických osob v souvislostech se zpracováním osobních údajů a o volném pohybu těchto údajů, kdy bylo prohlášeno Rozhodnutí  2000/520 za neplatné.

Neslučitelnost Rozhodnutí 2000/520 s Listinou základních práv

Dle odůvodnění Rozsudku neobsahuje Rozhodnutí 2000/520 dostatečná zajištění ohledně opatření, prostřednictvím kterých by USA poskytovala odpovídající úroveň ochrany ve smyslu Směrnice. Rozhodnutí 2000/520 zakotvovalo přednost požadavku bezpečnosti státu, veřejného zájmu nebo prosazování zákonů před zásadami Safe Harbor, kterým tak nebyla zajištěna účinná právní ochrana, stejně jako subjektům, do jejichž práv bylo za tímto účelem zasaženo. Stejně tak Rozhodnutí 2000/520 nestanovilo subjektům žádnou možnost využít právních prostředků s cílem získat přístup k osobním údajům, které se jich týkají, nebo dosáhnout opravy či výmazu těchto údajů.

Jak uvedl Soudní dvůr v Rozsudku, respektování práva na ochranu osobních údajů a soukromého života na unijní úrovni vyžaduje, aby výjimky z ochrany osobních údajů a její omezení byly činěny v mezích toho, co je naprosto nezbytné. Za naprosto nezbytnou není možné považovat takovou právní úpravu, která globálně dovoluje uchovávání všech osobních údajů všech osob, jejichž údaje byly předány z EU do USA, a to, bez stanovení objektivního kritéria, které by striktně vymezovalo podmínky přístupu veřejných orgánů k těmto údajům.

Jinými slovy, právní úprava, která veřejným orgánům umožňuje globální přístup k obsahu elektronických komunikací, musí být považována za zasahující do podstaty práva na ochranu osobních údajů a na respektování soukromého života zaručeného Listinou základních práv.

Na první pohled se může zdát, že Rozsudek znamená vítězství jednotlivce nad neomezenou pravomoci veřejných orgánu USA, co se týče přístupů k osobním údajům subjektů, ale Rozsudek by de facto mohl vést k narušení jednotného digitálního trhu. Vliv bude mít nejenom na jednotlivce a organizace, ale i na celou společnost, kdy například v oblasti zdravotnictví proudí mezi EU a USA množství inovací, léčiv a postupů, s kterými je spjato právě předávání osobních údaj a dat o pacientech.

Budoucnost ochrany osobních údajů při jejich poskytování z EU do třetích zemí

Do doby než bude přijata alternativa k zásadám Safe Harbor, je nutné pro poskytování osobních údajů z EU do USA využívat jiné alternativy, které by naplnily požadavky Směrnice a dostatečně zabezpečily odpovídající úroveň ochrany. Takovými prostředky mohou být například standardní smluvní doložky nebo závazná podniková pravidla. Objektivně však není možné říci, že tato varianta opravdu poskytne subjektům větší ochranu osobních údajů, než tomu bylo v rámci zásad Safe Harbor.

Nutná je tak rychlá revize podmínek přenosů údajů mezi EU a USA. Pozornost se nyní upírá k přijetí Nařízení Evropské unie o ochraně osobních údajů, které má představovat zásadní reformu v oblasti ochrany osobních údajů evropských subjektů.[4] Dne 15. 6. 2015 Rada EU přijala tzv. obecný přístup k návrhu nařízení.

Návrh nařízení se oproti Směrnici vyznačuje rozšířenou působností a to nejenom věcnou, kdy jako osobní údaje výslovně uvádí i elektronické identifikátory a lokalizační údaje, ale i územní, kdy si stanovuje neskromný cíl a to aplikovatelnost na veškeré zpracovávané údaje občanů EU, bez ohledu na to, zda organizace jejich osobní údaje zpracující mají své sídlo v EU nebo mimo EU.

Poslední verze Návrhu Nařízení počítá se zavedením nových povinností pro organizace zpracovávající osobní údaje subjektů. Jedná se především o povinnost vést a uchovávat záznamy o veškerém zpracování osobních údajů dotčeného subjektu (občana Evropské unie) a poskytovat mu veškeré informace o tomto zpracování. S tímto také souvisí právo subjektu být informován, že došlo k zneužití jeho osobních údajů.

Vliv na rozvoj digitálního trhu

Vytvoří si nyní digitální trh důvěru jednotlivce nezbytnou pro plné využívání trhu? Pro to je nezbytné posílení posílit práva jednotlivce, návrh nařízení upravuje práva subjektu jako je „právo být zapomenut“, tedy právo na odstranění veškerých informací o subjektu z databáze a možnost uložit tomu, kdy poruší povinnosti dle tohoto nařízení, pokutu až do výše 1 milionu EUR nebo 2 % ročního obratu společnosti. Dále také nově zavádí možnost subjektu, jehož údaje jsou zpracovány, uplatnit svoji stížnost v jakékoliv zemi EU. Unijní provozovatelé internetových portálů ovšem nařízení vyhlíží nařízení s obavami – obávají se z důvodu zatížení administrativní záležitosti a zvýšených nákladů ztráty konkurenceschopnosti.

Dle posledních údajů bychom se znění Nařízení v jeho finální podobě měli dočkat v první polovině roku 2016.




Mgr. Barbora Horká,
advokátní koncipient


Bělina & Partners advokátní kancelář s.r.o.

Pobřežní 370/4
186 00 Praha 8

Tel.:    +420 226 287 000
Fax:    +420 226 287 001
e-mail:    recepce@belinapartners.cz


-------------------------------------------
[1] Rozhodnutí Komise 2000/520/ES ze dne 26. července 2000 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající ochraně poskytované podle zásad „bezpečného přístavu“ a s tím souvisejících „často kladených otázek“ vydaných Ministerstvem obchodu Spojených států
[2] Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů
[3] Rozsudek Soudního dvora ve věci C-362/14 ze dne 6. října 2015  Maximillian Schrems v. Data Protection Commissioner
[4] Návrh SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů a o volném pohybu těchto údajů COM (2012) 10.


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz