Datum: 5. 10. 2016
Autor: Michal Nulíček, Jan Tomíšek, publikováno na epravo.cz
Evropská komise dne 12. 7. 2016 oficiálně schválila program Privacy Shield umožňující snadné předávání osobních údajů vybraným společnostem v USA. O programu se jednalo už od podzimu loňského roku, a to v reakci na zrušení systému Safe Harbor Soudním dvorem Evropské unie z důvodu nedostatečné úrovně ochrany předávaných údajů. Co Privacy Shield ve své finální podobě přináší pro správce osobních údajů a lze se na něj spoléhat?
V říjnu roku 2015 zrušil Soudní dvůr Evropské unie (dále jen „SDEU“) rozhodnutí Evropské komise č. 2000/520/ES, které umožňovalo předávání osobních údajů společnostem z USA registrovaným v tzv. programu Safe Harbor. Několik tisíc společností, které na základě tohoto programu předávaly osobní údaje z Evropské unie do USA, tak ze dne na den musely začít hledat náhradní řešení, aby předávání nemusely ukončit.[1]
Jedním z řešení, ke kterému se společnosti v tomto směru často přiklonily, bylo uzavření smluv, ke kterým byly připojeny tzv. standardní smluvní doložky. O to větší nervozitu proto vyvolala zpráva, že irský komisař pro ochranu osobních údajů se chystá požadovat, aby tyto standardní doložky a příslušné rozhodnutí Evropské komise[2] byly rovněž předloženy SDEU, který by měl posoudit jejich platnost. Ačkoli rozhodnutí o platnosti standardních smluvních doložek nelze očekávat v nejbližších měsících, mohlo by v budoucnu zasadit další ránu společnostem předávajícím osobní údaje mimo EU.
Předávání dat do zahraničí a zejména mezi evropskými a americkými společnostmi přitom v dnešní digitální ekonomice hraje klíčovou roli. Proto ihned po vydání rozhodnutí SDEU ve věci Safe Harbor započala intenzivní jednání mezi Evropskou komisí a vládou USA, jejichž výsledkem byl první návrh nového programu Privacy Shield, zveřejněný v únoru 2016.[3]
Zásadním pro další osud toho návrhu bylo stanovisko Pracovní skupiny podle článku 29,[4] která sdružuje evropské regulátory v oblasti ochrany osobních údajů. Těm říjnové rozhodnutí SDEU ve věci Safe Harbor přiznalo pravomoc konkrétní předávání osobních údajů mimo EU při nedostatečné úrovni ochrany osobních údajů zakázat, i když se zpracování opírá o rozhodnutí Evropské komise, a proto byla jejich stanovisku přikládána velká váha.
Stanovisko vytýkalo návrhu vedle nepřehlednosti a terminologických nejasností především příliš nízkou úroveň ochrany předávaných údajů před plošným sledováním a celkově netransparentní regulaci přístupu vlády USA k předávaným osobním údajům. S ohledem na tyto nedostatky doporučili regulátoři Evropské komisi návrh programu přepracovat. Obdobné nedostatky byly původnímu návrhu vytýkány i v dalším posudku, který vypracoval Evropský inspektor ochrany údajů dne 30. května 2016.[5]
Finální podoba rozhodnutí o programu Privacy Shield, kterou dne 12. 7. 2016 Evropská komise přijala,[6] zohledňuje řadu z připomínek, které byly v rámci obou stanovisek vzneseny. Došlo mimo jiné k objasnění vybrané terminologie, posílení pozice ombudsmana, který bude řešit stížnosti na zpracování ze strany americké administrativy, a také k přesnějšímu vymezení povinností pro společnosti v souvislosti s uchováváním a předáváním osobních údajů.
Některé z připomínek však zůstaly neřešeny. Dle názoru Pracovní skupiny zůstává v komerčním sektoru například nedostatečně upravena problematika automatizovaných rozhodnutí a vyslovení nesouhlasu subjektem údajů. Také v oblasti regulace přístupu vládních organizací k předávaným údajům i nadále absentují konkrétní závazky a záruky, což posiluje obavy z plošného sledování a shromažďování údajů ze strany USA.[7]
Předsedkyně Pracovní skupiny Isabelle Falque-Pierrotin prohlásila, že evropští regulátoři navzdory zmíněným nedostatkům nehodlají proti programu Privacy Shield podnikat kroky směřující k jeho zastavení a vyčkají na posouzení, které proběhne v rámci prvního společného ročního přezkumu v květnu roku 2017.[8] Bude se jednat o klíčový moment, jehož výsledky budou podkladem pro případné dodatečné úpravy. Tento každoroční přezkum je přitom zásadním prvkem celého programu – jeho prostřednictvím bude monitorováno fungování systému Privacy Shield a kontrolována dostatečnost a efektivnost zavedených záruk.
Od 1. srpna se americké společnosti mohou do programu registrovat a získat tak znovu možnost snadněji přijímat osobní údaje předávané z EU. Podmínkou nicméně je, že jejich interní politiky ochrany údajů budou v souladu s novým rámcem. Jak dlouho však tato možnost zůstane dostupná je nejisté. Dle názoru odborné veřejnosti se přezkumu programu Privacy Shield SDEU stejně dříve či později nevyhneme, ať už na základě popudu některého evropského regulátora, či třeba dalšího aktivisty v oblasti ochrany osobních údajů, jakým byl Max Schrems.[9] Stejně tak lze očekávat, že program Privacy Shield bude upravován v souvislosti s nařízením Evropského parlamentu a Rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), které vstoupí v účinnost v květnu roku 2018 a přinese firmám řadu nových povinností. O problematice předávání osobních údajů do USA proto ještě rozhodně uslyšíme.
[1] Společnosti, které náhradní řešení nenašly a předávní neukončily, se dosud vystavovaly významnému riziku sankcí, které např. u tří společností v Německu dosáhly celkem 28 000 eur. German privacy regulator fines three firms over U.S. data transfers. Reuters [online]. 6. 6. 2016 [cit. 9. 8. 2016]. Dostupné na www, k dispozici >>> zde.
[2] Commission decision of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council (2010/87/EU), Rozhodnutí. [online]. [cit. 9. 8. 2016]. Dostupné na www, k dispozici >>> zde.
[3] European Comission, Restoring trust in transatlantic data flows through strong safeguards: European Commission presents EU-U.S. Privacy Shield. European Commission [online]. [cit. 9. 8. 2016]. Dostupné na www, k dispozici >>> zde.
[4] ARTICLE 29 DATA PROTECTION WORKING PARTY, Opinion 01/2016 on the EU – U.S. Privacy Shield draft adequacy decision, 13 April 2016. [online]. [cit. 9. 8. 2016]. Dostupné na www, k dispozici >>> zde.
[5] Opinion on the EU-U.S. Privacy Shield draft adequacy decision [online]. [cit. 9. 8. 2016]. Dostupné na www, k dispozici >>> zde.
[6] European Commission launches EU-U.S. Privacy Shield: stronger protection for transatlantic data flows. European Commission [online]. [cit. 9. 8. 2016]. Dostupné na www, k dispozici >>> zde.
[7] Article 29 Working Party Statement on the decision of the European Commission on the EU-U.S. Privacy Shield. Tisková zpráva [online]. [cit. 9. 8. 2016]. Dostupné na www, k dispozici >>> zde.
[8] EU watchdogs permit Privacy Shield to run for one year. BBC news [online]. [cit. 9. 8. 2016]. Dostupné na www, k dispozici >>> zde.
[9] Hamburg’s DPA aiming to challenge Privacy Shield. The Privacy Advisor [online]. 4. 8. 2016 [cit. 9. 8. 2016]. Dostupné na www, k dispozici >>> zde.
