Znovu princip „samoosvědčení“

Podobně jako u bezpečného přístavu bude i nadále zapojení amerických společností do nového systému ochranného štítu ponecháno na jejich vůli. Americké společnosti mohou veřejně deklarovat, že se zavazují k dodržování základních zásad pro nakládání s osobními údaji, které stanoví Komise EU v rozhodnutí o přiměřenosti, jímž má být režim Privacy Shield zaveden.[2] Ochranný štít tedy bude spočívat také na principu “samoosvědčení“ učiněného jednotlivými společnostmi, na základě něhož se zařadí na seznam amerických společností, kterým bude možné předávat osobní údaje z EU, aniž by evropské společnosti musely získat od národního dozorčího orgánu zvláštní povolení k exportu údajů do USA anebo uzavřít s dotyčnou americkou společností smlouvu obsahující tzv. standardní smluvní doložku.

Nová opatření

Nicméně nový režim Privacy Shield má implementovat některé nová opatření, která podle Komise EU zajistí dostatečnou ochranu osobních údajů občanů EU. Americké úřady budou dohlížet a každoročně vyhodnocovat, jak společnosti zapojené do režimu Privacy Shield plní požadované standardy. Jestliže americké úřady zjistí, že společnosti své povinnosti nedodržují, tak těmto společnostem budou hrozit sankce a dokonce i vyškrtnutí ze seznamu společností oprávněných ke zpracování osobních údajů importovaných z EU. Za účelem zvýšení transparentnosti bude mít každá společnost zařazená na seznam Privacy Shield povinnost zveřejnit svůj přístup (privacy policy) k ochraně osobních údajů na svých webových stránkách. Současně se zpřísňují podmínky pro předávání údajů dalším zpracovatelům („subdodavatelům“), kteří zpravidla zpracovávají údaje pro velké společnosti. Všechny takové transfery údajů bude možné realizovat pouze ve vymezených a odůvodněných případech a pouze na základě smlouvy, která zavazuje tyto subdodavatele k zajištění stejné úrovně ochrany osobních údajů.

Ochranný štít má rovněž posílit účinnou ochranu práv občanů EU zavedením několika možných způsobů nápravy. Občané EU se budou mít právo obrátit se stížností ohledně zpracování jejich osobních údajů přímo vůči americkým společnostem, které musí stížnost vyřešit nejpozději do 45 dnů. Alternativně se občané EU budou moci domáhat svých práv u nezávislého orgánu (ať už v EU, nebo v USA), který musí americké společnosti předem určit a zveřejnit ve svých přístupech k ochraně obchodních údajů. Tento alternativní způsob řešení stížností musí být ad hoc potvrzen Ministerstvem obchodu USA (US Department of Commerce). Dále budou mít občané EU možnost podat stížnost ke svému národnímu dozorčímu orgánu (v ČR k Úřadu pro ochranu osobních údajů), který by měl zajistit vyřízení stížnosti prostřednictvím Ministerstva obchodu USA nebo případně prostřednictvím Federální obchodní komise USA (Federal Trade Commission). V tomto případě budou mít americké úřady 90 dní na reakci. Pokud by v rámci výše uvedených postupů nedošlo k nápravě, tak nový ochranný štít ještě slibuje zřízení nezávislého rozhodčího soudu (Privacy Shield Panel), který bude mít pravomoc vydávat závazná a vykonatelná rozhodnutí ve sporech týkajících se stížností občanů EU na způsob nakládání s jejich osobními údaji.

Z dalších opatření, která má nový systém Privacy Shield zavést, lze ještě uvést zřízení úřadu veřejného ochránce práv při Ministerstvu zahraničních věcí USA, jenž má být nezávislý na amerických bezpečnostních složkách. Tento „ombudsman“ se bude zabývat zejména stížnostmi občanů EU směřujícími proti neoprávněnému zacházení s osobními údaji ze strany amerických veřejných orgánů vykonávajících působnost v oblasti národní bezpečnosti.

Účinné řešení zneužívání osobních údajů občanů EU má také podpořit nový americký federální zákon o soudní nápravě (Judicial Redress Act) přijatý v únoru tohoto roku, který poskytuje občanům EU právo domáhat se nápravy přímo v USA, pokud dojde k porušení jejich práv v souvislosti s jejich osobními údaji importovanými do USA.

Další kroky

Stávající podoba režimu Privacy Shield ještě není definitivní, nicméně patrně nelze předpokládat významné změny. V průběhu dubna se k rozhodnutí Komise EU o přiměřenosti, které má implementovat Privacy Shield, vyjádří pracovní skupina WP29 složená ze zástupců úřadů pro ochranu osobních údajů členských států EU. Následně musí být rozhodnutí Komise EU o zavedení systému Privacy Shield schváleno členskými státy (resp. jejich zástupci v rámci tzv. výboru dle článku 31 směrnice 95/46/ES). Teprve poté může Komise EU rozhodnutí přijmout. Spojené státy by měly mezitím provést opatření nezbytná pro zavedení nových kontrolních mechanismů a nové funkce ombudsmana. S ohledem na to, že současná absence zjednodušeného právního režimu pro předávání dat z EU do USA limituje mezinárodní digitální obchod mezi EU a USA, který dosahuje až 300 miliard dolarů ročně, usilují všechny zúčastněné strany o co nejrychlejší zavedení nového režimu Privacy Shield. Lze tedy očekávat, že tento režim bude platit již od června tohoto roku.

Otázkou však zůstává, zda výše uvedená opatření v rámci Privacy Shield budou dostačující z pohledu Soudního dvora EU, který zrušil předchozí systém Safe Harbor. Nový štít pro ochranu osobních údajů zřejmě také bude časem přezkoumáván Soudním dvorem EU stejně jako původní režim bezpečného přístavu. Velmi diskutovaným a problematickým tématem může být především ochrana proti zneužívání osobních údajů americkými bezpečnostními složkami. Pokud by Soudní dvůr EU dospěl k závěru, že ani Privacy Shield nezaručuje občanům EU dostatečnou ochranu jejich osobních údajů předávaných do USA, tak může být v budoucnu zrušen i tento nový režim. Jaký názor Soudní dvůr EU nakonec zaujme, však nelze předvídat. Prozatím je podstatné, že evropští podnikatelé budou mít opět možnost předávat údaje do USA v rámci nového režimu Privacy Shield, aniž by k tomu potřebovali zvláštní povolení národních úřadů pro ochranu osobních údajů nebo uzavřít s dotyčnou americkou společností smlouvu obsahující standardní smluvní doložku.




JUDr. Martin Kartner,
partner

Mgr. Jiří Prouza,
advokátní koncipient


CHSH Kališ & Partners s.r.o., advokátní kancelář

Týn 639/1
110 00  Praha 1 – Staré Město

Tel.:    +420 221 111 711
Fax:    +420 221 111 725
e-mail:    office@chsh.cz


--------------------------------------------
[1] Rozsudek SDEU ze dne 6. října 2015 ve věci M. Schrems proti Data Protection Commissioner (C-362/14). O tomto rozsudku jsme již informovali v našem předchozím článku Změna způsobu předávání osobních údajů do USA, který je dostupný na www, k dispozici >>> zde.
[2] Návrh tohoto rozhodnutí Komise EU je dostupný na www, k dispozici >>> zde.


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz