GDPR závaznou metou pro celý svět? V zemích, kde se zpracovávající údaje unijních občanů, určitě, rozhodl soud

 FOTO: profimedia.cz

Michal Půr

19. 08. 2020 • 17:56
Soudní dvůr EU klíčové rozhodnutí Schrems II, které zásadně mění poměry v oblasti ochrany osobních údajů unijních občanů. S komplikacemi se budou teď potýkat především velké americké korporace, nová pravidla ale ovlivní i jiné zahraniční společnosti. Jaké konkrétní změny můžeme očekávat, a jak jim firmy ze zemí mimo EU mohou úspěšně čelit? Ptali jsme se Mgr. Michala Nulíčka, LL.M., partnera z advokátní kanceláře Rowan Legal. Ta se na problematiku ochrany osobních údajů dlouhodobě specializuje.

Co můžeme považovat za hlavní gró nového rozhodnutí Soudního dvora EU?

Jednoznačně zrušení programu Privacy Shield. Zjednodušeně to znamená konec volného předávání osobních údajů z evropských poboček na americké centrály, ale komplikace to způsobuje i jakýmkoliv jiným tokům osobních údajů mezi společnostmi na obou březích Atlantiku. Do budoucna budou všichni muset ctít stejná pravidla a před samotným předáním dat ověřit, že v USA je zajištěna dostatečná úroveň jejich ochrany. Ta by měla v zásadě odpovídat ochraně, která je zakotvená v evropském nařízení GDPR a prováděcích zákonech na úrovni jednotlivých členských států EU. Doplňkovou ochranu poskytuje i evropská Listina základních práv. Tyto předpisy dohromady vytvářejí určitý standard ochrany. V jakékoliv třetí zemi, která se jeho naplňování nepřiblíží, nebude možné soustředit a zpracovávat osobní údaje evropských občanů.

V čem soud spatřoval největší nebezpečí pro osobní údaje Evropanů?

Soudní dvůr EU v rozhodnutí výslovně označil za problematické rozsáhlé pravomoci federálních zpravodajských služeb. Upozornil, že vnitrostátní předpisy USA jim v podstatě dávají bezbřehou volnost, co se týče sledovacích programů. Přestože právní řád Spojených států dopadá především na tamní občany, soudci si prozíravě povšimli, že neposkytuje žádné pevné záruky, které by umožňovaly evropským občanům bránit se proti využívání osobních údajů při sledování. Takové opomenutí oproti GDPR nikdy nemůže obstát.

Budou své strategie muset přehodnotit všechny americké firmy působící v Evropě, nebo změny ovlivní jen některé z nich?

Změny se budou vyžadovat u všech firem na území Evropy, které s daty pracují za oceánem právě způsobem umožněným Privacy Shieldem. To nutně neznamená, že to jsou všechny. Pokud se ale bavíme o těch opravdu velkých mezinárodních korporacích se sídlem v Americe, půjde opravdu prakticky o všechny.

Vezměte si třeba sociální sítě. Důvodem k vydání tohoto rozhodnutí byly praktiky společnosti Facebook. Soud tak vyhověl stížnosti Rakušana Maximiliana Schremse. Ten chtěl zabránit předávání citlivých údajů o své osobě do zámoří, protože si správně myslel, že americké standardy ochrany osobních údajů dostatečně nechrání jeho práva jako občana Evropské unie. Tím vlastně umožnil toto revoluční rozhodnutí – a vyvolal i debatu o praxi standardních smluvních doložek. Ta bude pravděpodobně čile diskutována během nadcházejících měsíců.

Dotkne se dané rozhodnutí zásadním způsobem jen poboček amerických firem na území evropských států, nebo můžeme očekávat, že výrazně ovlivní i subjekty ze třetích zemí?

Soud se primárně zabýval aktivitami amerických firem a povinnostmi, které jim ukládají americké zákony. To ale neznamená, že se nevyslovil se závazností i pro jiné země. Jak jsem řekl, teď očekáváme debatu o standardních smluvních doložkách. Tato smluvní ustanovení vlastně opravňují k předávání údajů za hranice EU. Soud je ponechal v platnosti. Přesto můžeme očekávat, že se jejich využívání značně zkomplikuje. Od teď se totiž ochrana osobních údajů v jakékoliv třetí zemi bude muset zkoumat prizmatem GDPR. Ve státech, které zaručují podobnou ochranu údajů, bude nadále možné data soustřeďovat a pracovat s nimi. Na druhou stranu v těch, které ze srovnání vyjdou špatně, to umožněno nebude. USA patří dle předmětného rozhodnutí spíše do druhé skupiny. Čistě tuzemských firem se to ale nedotkne. Data zpracovávají většinou tady, maximálně v jiném členském státě. Tam všude je GDPR závazné, neměly by tedy vznikat vzniknout žádné komplikace.

Budou své strategie muset přehodnotit všechny americké firmy působící v Evropě, nebo změny ovlivní jen některé z nich?

Změny se budou vyžadovat u všech firem na území Evropy, které s daty pracují za oceánem právě způsobem umožněným Privacy Shieldem. To nutně neznamená, že to jsou všechny. Pokud se ale bavíme o těch opravdu velkých mezinárodních korporacích se sídlem v Americe, půjde opravdu prakticky o všechny.

Vezměte si třeba sociální sítě. Důvodem k vydání tohoto rozhodnutí byly praktiky společnosti Facebook. Soud tak vyhověl stížnosti Rakušana Maximiliana Schremse. Ten chtěl zabránit předávání citlivých údajů o své osobě do zámoří, protože si správně myslel, že americké standardy ochrany osobních údajů dostatečně nechrání jeho práva jako občana Evropské unie. Tím vlastně umožnil toto revoluční rozhodnutí – a vyvolal i debatu o praxi standardních smluvních doložek. Ta bude pravděpodobně čile diskutována během nadcházejících měsíců.

Dotkne se dané rozhodnutí zásadním způsobem jen poboček amerických firem na území evropských států, nebo můžeme očekávat, že výrazně ovlivní i subjekty ze třetích zemí?

Soud se primárně zabýval aktivitami amerických firem a povinnostmi, které jim ukládají americké zákony. To ale neznamená, že se nevyslovil se závazností i pro jiné země. Jak jsem řekl, teď očekáváme debatu o standardních smluvních doložkách. Tato smluvní ustanovení vlastně opravňují k předávání údajů za hranice EU. Soud je ponechal v platnosti. Přesto můžeme očekávat, že se jejich využívání značně zkomplikuje. Od teď se totiž ochrana osobních údajů v jakékoliv třetí zemi bude muset zkoumat prizmatem GDPR. Ve státech, které zaručují podobnou ochranu údajů, bude nadále možné data soustřeďovat a pracovat s nimi. Na druhou stranu v těch, které ze srovnání vyjdou špatně, to umožněno nebude. USA patří dle předmětného rozhodnutí spíše do druhé skupiny. Čistě tuzemských firem se to ale nedotkne. Data zpracovávají většinou tady, maximálně v jiném členském státě. Tam všude je GDPR závazné, neměly by tedy vznikat vzniknout žádné komplikace.

SDÍLET