• Josef Bátrla

[Článek] Konec Privacy Shield – jak nyní předávat údaje do USA?

Médii proběhla zpráva o zrušení Privacy Shield, kterou většina lidí přešla bez povšimnutí. Těm, kteří se věnují problematice GDPR, se však trochu zježily vlasy – podobně, jako když byl poprvé zrušen Safe Harbour. Soudní dvůr Evropské unie (Soudní dvůr) totiž zrušil rozhodnutí Komise EU známé jako EU-US Privacy Shield. Co to znamená pro předávání osobních údajů do USA do budoucna?


Soudní dvůr svým rozhodnutím zasáhl do praxe předávání osobních údajů do USA, a tedy i využívání tamních poskytovatelů (jako jsou například služby cloudu či hostingu). Znamená to, že subjektům do USA již osobní údaje předávat nemůžeme? Navzdory prvním unáhleným názorům, které to tvrdily, se domníváme, že to tak není. Soudní dvůr totiž nezrušil rozhodnutí Komise, které se týká předávání na základě standardních smluvních doložek (SSD), a přestože i toto předávání má svoje mouchy (jak si dále uvedeme), nelze automaticky tvrdit, že dokud se nezmění právní řád USA, osobní údaje evropských občanů zde musí být nutně v nebezpečí.

Podle nového rozhodnutí soudu už nejde snadno využívat americké cloudy ani hostingy

O co šlo v rozhodnutí Soudního dvora?

Za celým případem stojí, jak už to bývá, jeden velký hráč – Facebook. Již v říjnu roku 2015 Soudní dvůr rozhodl, že rozhodnutí Komise 2000/520/ES ze dne 26. července 2000 (známé jako „Safe Harbour“) je neplatné. Soudní dvůr tak rozhodl po tom, co irský dozorový úřad odmítl prošetřit stížnost, kterou podal známý internetový aktivista Max Schrems v červnu roku 2013. Tomu se totiž nelíbilo, že Facebook (konkrétně Facebook Ireland, Ltd) předává osobní údaje o uživatelích do USA, kde jsou dále zpracovávány (minimálně uloženy na lokálních serverech).


Zjednodušeně řečeno Soudní dvůr konstatoval, že rozhodnutí Komise, na základě kterého k takovému předávání osobních údajů docházelo, je neplatné. Důvod? Spojené státy neposkytují dostatečné záruky ochrany osobních údajů, které by zajišťovaly odpovídající úroveň ochrany osobních údajů tak, jako kdyby byly zpracovávány uvnitř EU.


Bylo tomu tak proto, že v té době unikly informace, které se týkaly různých sledovacích programů (například programů UPSTREAM či PRISM, o nichž informace unikly díky Edvardu Snowdenovi). Schremsovi se (celkem po právu) nelíbí, že americké digitální firmy umožňují tamním bezpečnostním složkám přístup k osobním údajům uživatelů, a to i těch, kteří jsou z EU. Klíčové je to, že takové zpřístupnění není úplně dobrovolné, ale vychází z legislativy USA.

Toto už je však minulostí, neboť po rozhodnutí Soudního dvora přijala Komise prakticky obratem další rozhodnutí (již známé jako Privacy Shield), v rámci něhož konstatovala, že posoudila mnohá opatření ze strany USA (jako zavedení institutu ombudsmana) a že záruky nad právy subjektů údajů jsou dostatečné a tedy úroveň ochrany je odpovídající.


Po prvním rozhodnutí Soudního dvora bylo zamítnutí stížnosti pana Schremse zrušeno a irská komisařka se touto věcí musela zabývat znovu. Facebook však v tuto chvíli přišel s vysvětlením, že osobní údaje jsou předávány na základě SSD, nikoli tedy na základě rozhodnutí Komise týkajícího se odpovídající úrovně ochrany. Na základě toho byl Schrems vyzván, aby svoji stížnost přeformuloval, což se také stalo dne 1. prosince 2015. Tehdy opět argumentoval nedostatečností záruk, respektive slabou úrovní ochrany jeho osobních údajů, neboť se nic nezměnilo na faktu, že Facebook (a další) má povinnost předávat osobní údaje americkým orgánům, jako je právě Národní bezpečnostní agentura (NSA) nebo Federal Bureau of Investigation (FBI). Na základě této žádosti se komisařka sama obrátila na vrchní soud, aby tuto věc předložil Soudnímu dvoru – to se stalo 4. května 2018.


Soudní dvůr vs. Privacy Shield

Určitě doporučujeme si rozhodnutí přečíst, jeho znění najdete zde. Samotné rozhodnutí má ovšem téměř 90 normostran a Soudní dvůr se v textu zabývá celkem 11 otázkami, které mu předložil irský vrchní soud. Protože je prakticky nemožné věnovat se všem aspektům, pokusíme se vypíchnout to nejdůležitější. Tím jsou prakticky dva závěry – Soudní dvůr zrušil Privacy Shiled, ale zároveň nezrušil ani obecně nenaboural rozhodnutí týkající se SSD.

Co se týče Privacy Shield, Soudní dvůr dal za pravdu Schremsovi. Přes všechna odůvodnění Komise bylo totiž konstatováno, že v případě sledovacích programů není zajištěna odpovídající úroveň ochrany subjektů údajů – ty totiž nemají možnost se účinně bránit před soudy USA. V souvislosti s tím tak není dodržen ani princip proporcionality a tento závěr neovlivnil ani fakt, že v USA vytvořili speciální orgán ombudsmana, který měl poskytovat prostředky možné nápravy – s tím se Soudní dvůr nespokojil už jen proto, že tento ombudsman je podřízen ministrovi zahraničních věcí, tudíž o nezávislosti na výkonné moci nemůže být řeč.


Jak se Soudní dvůr postavil k SSD?

Co se týče SSD, Soudní dvůr konstatoval, že systémově neodhalil žádnou vadu, která by obecně měla rozhodnutí o SSD činit neplatné. V tomto bodě bychom si mohli oddechnout a v zásadě se spokojit s tím, že firmy, které doposud předávaly osobní údaje na základě Privacy Shield, přestoupí na SSD (tak, jak o tom ujišťoval například Microsoft). Jenže tak jednoduché to není, jak konstatoval Soudní dvůr:

„Neexistuje-li rozhodnutí o odpovídající ochraně platně přijaté Komisí, je příslušný dozorový úřad povinen dočasně nebo trvale zakázat předávání osobních údajů do třetí země na základě standardních doložek o ochraně osobních údajů přijatých Komisí, když tento dozorový úřad dospěje na základě všech okolností daného předávání k názoru, že tyto doložky nejsou nebo nemohou být v této třetí zemi dodrženy a že ochrana předaných údajů vyžadovaná unijním právem, zejména články 45 a 46 GDPR a Listinou, nemůže být v případě, že předávání nepozastavili nebo neukončili sám správce nebo zpracovatel usazení v Unii, zajištěna jinými prostředky.“


Je tak jen otázka času, kdy a který dozorový úřad se k takovému přezkoumání dostane. A nyní přichází klíčová otázka – pokud Soudní dvůr konstatoval, že právní řád USA je by default důvodem, proč nemůže být řeč o dostatečných zárukách a dodržení pravidel v rámci předávání, a proto zrušil Privacy Shield – jak můžeme dodržení záruk předpokládat u SSD?


Lze se spolehnout na SSD?

Znamená to, že SSD jsou automaticky nepoužitelný institut? Ne nutně! Nejprve si musíme uvědomit, že odpovědnost za předávání leží na správci. Neprodleně bychom tedy měli zjistit, zda nepředáváme osobní údaje mimo EU (zejména do USA), a pokud ano, pak na základě čeho. Pokud pouze na základě Privacy Shield, už víme, že je to špatně. Co ale v rámci SSD?

Nelze jednoduše přejít z Privacy Shield na standardní smluvní doložky

Názor, že i předávání pomocí SSD je neplatné, považujeme za předčasný a zjednodušující. Je totiž pravdou, že ne nutně každé předání do USA musí znamenat riziko pro subjekty údajů (s přihlédnutím k existenci sledovacích programů a nemožnosti účinné obrany). V rámci analýzy bychom totiž měli zahrnout nejen právní, ale i technické aspekty samotného předávání. Do posouzení bychom tak měli zahrnout technické okolnosti, jakou jsou metody šifrování, pseudonymizace, popřípadě tokenizace a další parametry. Pokud ani náš smluvní partner v USA nemá sám přístup k osobním údajům, měli bychom ověřit, zda nepřetrvávají rizika, která byla konstatována v rozhodnutí Soudního dvora. S nadějí tak budeme muset čekat, jak se k věci postaví dozorový úřad.


Tak či tak je zřejmé, že revizi současných předávání se nevyhneme. Blíže se této problematice budeme věnovat v publikaci GDPR: Změny v ochraně osobních údajů v návodech a vzorech, kde se můžete těšit na bližší informace a postupy.


Článek byl publikován v Elektronickém zpravodaji pro pověřence dne 6.8.2020

Sdělení pro spotřebitele: Případné spory z poskytování právních služeb můžete řešit mimosoudně prostřednictvím České advokátní komory v souladu se zákonem č. 634/1992 Sb., o ochraně spotřebitele. Další informace včetně postupu naleznete zde  

© 2020 by Josef Bátrla.