Neděle 9. srpna 2020svátek má Roman 32 °C skoro jasno Předplatné LN
Lidovky.cz > Byznys > Právo a justice

KOMENTÁŘ: Nastal soumrak nad předáváním dat mimo EU?

(ilustrační snímek)  | na serveru Lidovky.cz | aktuální zprávy (ilustrační snímek) | foto: Shutterstock

PRAHA Soudní dvůr EU zrušil minulý týden tzv. Privacy Shield, systém, na jehož základě mohly společnosti jednoduše předávat osobní údaje svých zákazníků z EU do USA. Trnem v oku Soudnímu dvoru byla především široká oprávnění amerických zpravodajských služeb, v jejichž důsledku nebyly osobní údaje za oceánem chráněny stejně jako v Evropě.

Rozhodnutí může způsobit komplikace nejen technologickým gigantům, jako jsou Facebook, Google nebo Microsoft, ale v podstatě všem společnostem, které předávají osobní údaje svých zákazníků mimo Evropskou unii, nejen do USA.

Od května 2018 na území Evropské unie platí nařízení o ochraně osobních údajů známé jako GDPR. Podle něj je ve všech členských státech zaručena stejná úroveň ochrany dat. To však neplatí ve třetích zemích, a proto kdykoliv data opouštějí EU, musí být zajištěno, že ani za jejími hranicemi nedojde k jejich ohrožení.

Jedním ze způsobů zabezpečení údajů předávaných do USA byl systém Privacy Shield, založený rozhodnutím Evropské komise na základě závazků a prohlášení vlády USA. Systém do nedávna využívala řada evropských a amerických společností. Podle Soudního dvora EU však Privacy Shield data evropských občanů nechránil dostatečně, a to zejména kvůli širokým pravomocem amerických zpravodajských agentur a nemožnosti občanů EU vymáhat svá práva před soudy v USA.

Na jednu stranu na programy hromadného sledování uživatelů internetu PRISM nebo UPSTREAM upozornil Edward Snowden už v roce 2013 a pravomoci amerických tajných služeb se od té doby výrazně nezmenšily. Na druhou stranu pravomoci evropských tajných služeb jsou mnohdy také široké, je tedy otázkou, jestli od USA nepožadujeme standard, který sami nejsme schopni dodržet.

Řešení? Smluvní doložky

Po praktické stránce zrušení rozhodnutí Komise o systému Privacy Shield znamená, že nejen nadnárodní korporace, ale i evropské pobočky společností s centrálou v USA nemohou využít tento nástroj pro jednoduché předávání osobních údajů do USA. Nejde však o jediný způsob, jak legálně dostat data do USA. Americké společnosti totiž mohou s těmi evropskými uzavřít tzv. standardní smluvní doložky, ve kterých se zaváží k zajištění ochrany osobních údajů v evropském standardu.
A řada z nich tak již v minulosti učinila.

Advokát Michal Nulíček.

Advokát Michal Nulíček.

Tyto standardní smluvní doložky Soudní dvůr EU také přezkoumal a nezrušil je. Zdůraznil však, že každý, kdo s jejich pomocí chce předávat osobní údaje mimo EU, musí nejdříve ověřit, že je v cílové zemi možné zajistit ochranu dat v souladu s doložkami. Roli přitom hraje legislativa v cílové zemi i to, jak je v praxi vymahatelná. To platí nejen vůči USA, ale i pro kterýkoli stát mimo EU. Vedle toho Soudní dvůr připomněl, že jednotlivé dozorové úřady jsou oprávněny zakázat předávání osobních údajů do zahraničí, pokud není prokázáno, že je pro předávaná data zajištěna dostatečná ochrana.

Samotné dozorové úřady na rozhodnutí reagovaly různě. Irský úřad, který dohlíží na technologické giganty jako Facebook či Microsoft, zatím vyčkává. Naopak ten berlínský vyzval společnosti k tomu, aby data dosud ukládaná v USA přesunuly do Evropy, a varoval je před sankcemi, které může uložit. Český Úřad pro ochranu osobních údajů se k rozhodnutí zatím blíže nevyjádřil. Velké společnosti jako Facebook či Microsoft na standardní smluvní doložky dále spoléhají a ujišťují své zákazníky, že výměna dat mezi Evropou a USA bude pokračovat standardním způsobem.

Klíčová budou rozhodnutí dozorových úřadů

Rozhodující v nejbližších dnech a týdnech tedy budou konkrétní kroky dozorových úřadů. Svou roli by zde měl sehrát Evropský sbor pro ochranu osobních údajů, který byl měl v postupu dozorových úřadů v takto zásadní otázce zajistit jednotnost. Zda se to však podaří, je nejasné. Než padnou první rozhodnutí a zákazy nebo pokuty, bude řada společností s konkrétními opatřeními vyčkávat.

Přesto lze již nyní doporučit začít mapovat situaci. Bez informace, které konkrétní procesy společnosti jsou závislé na předávání osobních údajů mimo EU (např. kvůli využití cloudové služby) a do kterých konkrétních zemí data proudí, nebude možné plánovat další postup. V tomto by si tedy společnosti měly udělat jasno co nejdříve. Pokud se v některém případě opíralo předávání pouze o Privacy Shield, je třeba jej nahradit jiným nástrojem. V případě použití standardních smluvních doložek je pak třeba začít zvažovat, zda je předání do konkrétní země z pohledu ochrany dat bezpečné. V tomto směru nemusí být problematické jen předávání dat do USA – stejným nebo větším problémem může být předávání například do Ruska nebo Číny.

Autor je advokát a partner advokátní kanceláře ROWAN LEGAL.

CHCETE SE TAKÉ VYJÁDŘIT?

Jste právník/právnička a rád/a byste se vyjádřil/a k současnému dění, právnickému stavu či novinkám v legislativě? Napište nám na tomas.nahodil@lidovky.cz.

Biolog Komárek: Jsme účastníky největšího sociologického experimentu všech dob

Biolog, filozof a autor dvou desítek odborných knih a tří románů Stanislav... | na serveru Lidovky.cz | aktuální zprávy

Premium Měsíce trvající pandemie nám převrátila životy naruby. Známý biolog, filozof a autor dvou desítek odborných knih a tří...

Brzy dospěju do bodu, kdy si účet na Facebooku zruším, říká Lucie Výborná

Lucie Výborná | na serveru Lidovky.cz | aktuální zprávy

Premium „Je to hra. Hra, která by měla být přínosná, užitečná, inspirativní,“ říká o své práci moderátorka Českého rozhlasu...

Proč koronavirus už téměř nezabíjí. Vytratí se, nebo se vrátí ještě silnější?

Zdravotník odebírá vzorky pro testování na covid-19 v indické Kalkatě. (23.... | na serveru Lidovky.cz | aktuální zprávy

Premium Koronavirus je záhadný. Nečitelný. I když ho zkoumají ti nejchytřejší lidé, pořád o něm víme málo. Chová se jinak. Je...