Evropské právo

Na evropské úrovni je základ relevantní právní úpravy obsažen zejména v čl. 16 Smlouvy o fungování EU (dále jen „SFEU“), podle něhož „každý má právo na ochranu osobních údajů, které se jej týkají“. Na základě odst. 2 téhož článku SFEU, „Evropský parlament a Rada přijmou řádným legislativním postupem pravidla o ochraně fyzických osob při zpracovávání osobních údajů orgány, institucemi a jinými subjekty Unie a členskými státy, pokud vykonávají činnosti spadající do oblasti působnosti práva Unie, a pravidla o volném pohybu těchto údajů. Dodržování těchto pravidel podléhá kontrole nezávislými orgány.“

Podle čl. 8 Listiny základních práv EU, „každý člověk má právo na ochranu údajů osobního charakteru, které se ho týkají. S těmito údaji musí být nakládáno čestně, pouze k přesně danému účelu a na základě souhlasu dotyčné osoby či na základě jiného legitimního opodstatnění uvedeného v zákoně. Každý člověk má právo na přístup k údajům sebraným o jeho osobě a na jejich zpřesnění. Respektování těchto pravidel podléhá kontrole nezávislé moci.“

Z hlediska sekundární evropské legislativy je důležitá směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „Směrnice“). Podle čl. 25 odst. 1 Směrnice, „Členské státy stanoví, že k předávání osobních údajů, které jsou předmětem zpracování nebo které mají být předmětem zpracování po předání, do třetích zemí může dojít, aniž by tím bylo dotčeno dodržování vnitrostátních předpisů přijatých na základě ostatních ustanovení této Směrnice, pouze pokud dotyčná třetí země zajistí odpovídající úroveň ochrany.“ Článek 26 Směrnice pak stanoví výjimky, kdy může dojít k předání osobních údajů i do třetí země, která odpovídající úroveň ochrany nezajišťuje (souhlas subjektu údajů s předáním, důležitý veřejný zájem, životně důležitý zájem subjektu údajů atd.).

Na tomto místě lze upozornit na rozhodnutí Evropského soudního dvora ve věci Bodil Lindqvist[1], podle něhož umístění osobních údajů na server umístěný v EU, který je ovšem přes internet celosvětově dostupný, neznamená předávání údajů do třetích zemí podle čl. 25 Směrnice.

Dne 4. května 2016 bylo v souvislosti s reformou ochrany údajů[2] v Úředním věstníku EU zveřejněno Obecné nařízení o ochraně osobních údajů 2016/679[3] (dále jen „Nařízení“). Toto Nařízení aktualizuje, modernizuje a prohlubuje pravidla ochrany uvedené v Směrnici, což je pochopitelné vzhledem k době, kdy byla Směrnice přijata, tj. téměř před 22 lety. Nařízení bude použitelné a zároveň zrušuje Směrnici s účinkem ode dne 25. května 2018.   

České právo

Podmínky předání osobních údajů do jiných států upravuje ZOÚ ve svém § 27. Podle odst. 1 tohoto ustanovení, „volný pohyb osobních údajů nemůže být omezován, pokud jsou údaje předány do členského státu Evropské unie.“ Obsahově shodnou formulaci obsahuje i čl. 1 odst. 2 Směrnice, podle něhož „členské státy nemohou omezit ani zakázat volný pohyb osobních údajů mezi členskými státy z důvodu ochrany zajištěné podle odst. 1 (ochrana základních práv a svobod fyzických osob, zejména jejich soukromí, v souvislosti se zpracováním osobních údajů).“ V tomto případě není nutné žádat Úřad o povolení k předání osobních údajů.

V souladu s ustanovením § 27 odst. 2 ZOÚ, „do třetích zemí mohou být osobní údaje předány, pokud zákaz omezování volného pohybu osobních údajů vyplývá z mezinárodní smlouvy, k jejíž ratifikaci dal Parlament souhlas, a kterou je Česká republika vázána, nebo jsou osobní údaje předány na základě rozhodnutí orgánu Evropské unie. V kontextu tohoto ustanovení se mezinárodní smlouvou rozumí např. Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat č. 108, vyhlášená pod č. 115/2001 Sb. m. s.(dále jen „Úmluva“). Tok osobních údajů přes hranice států upravuje čl. 12 odst. 2 tak, že „smluvní strana nemůže pouze z důvodu ochrany soukromého života zapovědět nebo podrobit zvláštnímu povolení tok osobních údajů směřující na území druhé smluvní strany“, přičemž třetí odstavec tohoto ustanovení stanoví 2 výjimky z tohoto pravidla.[4] Povinnost žádat Úřad o povolení k předání osobních údajů v tomto případě neplatí.

Do rámce pojmu rozhodnutí orgánu Evropské unie spadají např. standardní smluvní doložky, které lze vymezit jako vzorový text smlouvy mezi správcem osobních údajů, který hodlá předat osobní údaje do třetí země mimo Evropskou unii, resp. mimo EHP, a příjemcem osobních údajů v této zemi.[5] Společnosti však standardní smluvní doložky nemohou měnit. Po změně by již doložky nebyly „standardní“.[6] V případě předání osobních údajů zpracovateli osobních údajů do třetích zemí lze použít standardní smluvní doložky, které jsou přílohou Rozhodnutí Komise ze dne 5. února 2010 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle Směrnice.[7] Z formálního hlediska jsou standardní smluvní doložky upraveny rozhodnutím Komise. Další rozhodnutí Komise patřící do této kategorie jsou uvedeny na internetových stránkách Úřadu.[8] Rovněž v tomto případě se povinnost žádat Úřad o povolení k předání osobních údajů neaplikuje.

Podle § 27 odst. 3 ZOÚ, není-li podmínka podle odstavců 1 a 2 splněna (tj. nejedná-li se o předávání osobních údajů do členských států EU nebo zákaz omezování volného pohybu osobních údajů vyplývající z mezinárodní smlouvy, resp. rozhodnutí orgánu EU), může být předání osobních údajů uskutečněno, jestliže správce prokáže splnění stanovených podmínek.[9] Před předáním osobních údajů do třetích zemí podle tohoto odstavce je správce povinen požádat Úřad o povolení k předání, nestanoví-li zvláštní zákon jinak. O podání žádosti o povolení rozhoduje Úřad postupem podle zákona č. 500/2004 Sb. , správní řád, ve lhůtě 30 dnů, ve složitějších případech 60 dnů.[10]

Naproti tomu, o povolení k předání údajů do třetích států nebude nutné Úřad žádat v souladu s konkrétním ustanovením zvláštního zákona, např. podle § 80 odst. 9 zákona č. 273/2008 Sb. , o Policii České republiky[11], § 12i odst. 2 písm. b) zákona č. 283/1993 Sb. , o státním zastupitelství[12], atd.

Zvláštní záruky ochrany a bezpečnosti osobních údajů (viz § 27 odst. 3 písm. b) ZOÚ) mohou dále vyplývat také ze závazných podnikových pravidel (Binding Corporate Rules, dále jen „BCR“), které představují určitý kodex ochrany osobních údajů, uplatňovaný v rámci nadnárodní společnosti. V této souvislosti je nutné zdůraznit, že BCR platí pouze pro přenos osobních údajů v rámci jedné nadnárodní společnosti, nikoli již pro předání mimo tuto společnost. Společnost tedy na základě BCR není oprávněna poskytovat osobní údaje třetím osobám. Pro tyto případy (tzv. „onward transfer“) je možné použít např. standardní smluvní doložky. Společnost, která se rozhodne zavést BCR, se musí zavázat, že stanovená pravidla ochrany osobních údajů budou přijata v celé společnosti (tedy všemi organizačními složkami), a že bude zajištěno jejich dodržování prostřednictvím zavedených dozorových mechanizmů. Na rozdíl od standardních smluvních doložek neexistuje závazné rozhodnutí obecně upravující BCR.[13] Podrobné informace o BCR poskytují doporučení Pracovní skupiny pro ochranu dat podle článku 29 (Working party 29, dále jen „Pracovní skupina“), která jsou publikována v pracovních dokumentech WP 74, WP 107, WP 108 (1), WP 133, WP 153, WP 154 a WP 155. Obecně platí, že BCR musejí být v souladu se Směrnicí i s právními předpisy všech zemí EU, ve kterých má nadnárodní společnost své pobočky.[14] Praktické využití BCR je vhodné zejména pro velké nadnárodní společnosti.[15]

Z hlediska režimu předávání osobních údajů do jiných států lze tedy rozlišovat:

• volný pohyb v rámci EU (bez povolení Úřadu)
• volný pohyb vyplívající z mezinárodní smlouvy (bez povolení Úřadu)
• volný pohyb vyplývající z rozhodnutí orgánu EU (např. standardní smluvní doložky, bez povolení Úřadu)
• závazná podniková pravidla (v rámci nadnárodní korporace, bez povolení Úřadu)
• předání osobních údajů do zahraničí podle § 27 odst. 3 a odst. 4 ZOÚ (s povolením Úřadu), nestanoví-li zvláštní zákon jinak.
  

Americká specifika

Soudní dvůr Evropské unie v rozsudku ve věci C-362/14 Maximillian Schrems v. Data Protection Commissioner ze dne 6. října 2015 prohlásil za neplatné rozhodnutí Komise ze dne 26. července 2000 podle Směrnice o odpovídající ochraně poskytované podle zásad „bezpečného přístavu“, na základě kterého bylo možné předávat osobní údaje do USA americkým společnostem, které se zavázaly dodržovat zásady „bezpečného přístavu“ (Safe Harbor). Jinými slovy, „bezpečný přístav“ je minulostí a v přechodné době od jeho zrušení jsou nástrojem zajišťujícím odpovídající úroveň ochrany osobních údajů zejména standardní smluvní doložky, BCR či povolení Úřadu podle § 27 odst. 3 a odst. 4 ZOÚ.

Dne 29. února 2016 Evropská komise oznámila, že režim „bezpečného přístavu“ bude nahrazen dohodou o tzv. EU – U.S. Privacy Shield (dále jen „Privacy Shield“)[16], neboli tzv. štítem pro ochranu osobních údajů mezi EU a USA s cílem poskytovat záruky pro předávání osobních údajů na úrovni rovnocenné evropským standardům.[17] Pracovní skupina konstatovala, že Privacy Shield představuje podstatné zlepšení v porovnání s režimem „bezpečného přístavu“, avšak proces shromažďování údajů v masovém měřítku a jejich následného vymazávání zůstává i nadále problematický.[18]

Nicméně, zatím ve vztahu k Privacy Shieldu na politické úrovni neexistuje názorová jednota či alespoň konsenzus, což potvrdilo i jednání Evropského parlamentu ze dne 25. května 2016, kde zaznělo ze strany europoslanců množství výhrad. Evropský parlament požádal Komisi, aby znovu zahájila jednání s USA ohledně odstranění nedostatků Privacy Shieldu.[19] Zůstává proto doufat, že ať už osud Privacy Shieldu bude jakýkoliv, úroveň ochrany osobních údajů občanů EU ve vztahu k USA po sledovacích skandálech bude v budoucnu vyšší a důkladnější.

Matej Lofaj


Weinhold Legal, v.o.s. advokátní kancelář

Florentinum
Na Florenci 15
110 00 Praha 1

Tel.:    +420 225 385 333
Fax:    +420 225 385 444
email:    wl@weinholdlegal.com


---------------------------------------------------
[1] Dostupné na www, k dispozici >>> zde. 
[2] Dostupné na www, k dispozici >>> zde. 
[3] Dostupné na www, k dispozici >>> zde. 
[4] Seznam smluvních států Úmluvy, dostupný na www, k dispozici >>> zde. 
[5] Dostupné na www, k dispozici >>> zde. 
[6] NOVÁK, D. Zákon o ochraně osobních údajů a předpisy související – komentář. Praha: Wolters Kluwer, 2014, 504 s.
[7] Dostupné na www, k dispozici >>> zde. 
[8] Dostupné na www, k dispozici >>> zde. 
[9] a) předání údajů se děje se souhlasem nebo na základě pokynu subjektu údajů, b) jsou v třetí zemi, kde mají být osobní údaje zpracovány, vytvořeny dostatečné zvláštní záruky ochrany osobních údajů, např. prostřednictvím jiných právních nebo profesních předpisů a bezpečnostních opatření. Takové záruky mohou být upřesněny zejména smlouvou uzavřenou mezi správcem a příjemcem, pokud tato smlouva zajišťuje uplatnění těchto požadavků nebo pokud smlouva obsahuje smluvní doložky pro předání osobních údajů do třetích zemí zveřejněné ve Věstníku Úřadu, c) jde o osobní údaje, které jsou na základě zvláštního zákona součástí datových souborů veřejně přístupných nebo přístupných tomu, kdo prokáže právní zájem; v takovém případě lze osobní údaje zpřístupnit jen v rozsahu a za podmínek stanovených zvláštním zákonem, d) je předání nutné pro uplatnění důležitého veřejného zájmu vyplývajícího ze zvláštního zákona nebo z mezinárodní smlouvy, kterou je Česká republika vázána, e) je předání nezbytné pro jednání o uzavření nebo změně smlouvy, uskutečněné z podnětu subjektu údajů, nebo pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů, f) je předání nezbytné pro plnění smlouvy uzavřené v zájmu subjektu údajů mezi správcem a třetí stranou, nebo pro uplatnění jiných právních nároků, nebo g) je předání nezbytné pro ochranu práv nebo životně důležitých zájmů subjektu údajů, zejména pro záchranu života nebo pro poskytnutí zdravotních služeb.
[10] Dostupné na www, k dispozici >>> zde. 
[11] „K předání osobních údajů do zahraničí podle tohoto zákona se nevyžaduje povolení Úřadu pro ochranu osobních údajů (dále jen „úřad“) podle jiného právního předpisu.“
[12] „Při zpracování osobních údajů podle odstavce 1 státní zastupitelství postupuje podle zvláštního právního předpisu s výjimkou, kdy k předání nebo předávání osobních údajů do jiných států v rámci spolupráce v trestních věcech uskutečňované na základě vyhlášené mezinárodní smlouvy, kterou je Česká republika vázána, není nutný předchozí souhlas Úřadu pro ochranu osobních údajů.“
[13] MORÁVEK, J., BURIAN, D. Předávání osobních údajů do zahraničí: česká a evropská právní úprava, otázky a odpovědi. Praha: Linde, 2012, s. 142
[14] Dostupné na www, k dispozici >>> zde. 
[15] Dostupné na www, k dispozici >>> zde. 
[16] Oficiální dokument Komise, dostupný na www, k dispozici >>> zde.  
[17] Dostupné na www, k dispozici >>> zde. 
[18] Dostupné na www, k dispozici >>> zde. 
[19] Dostupné na www, k dispozici >>> zde. 


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz