Soudní dvůr EU zrušil v červenci takzvaný Privacy Shield, tedy rozhodnutí Evropské komise udávající právní rámec, na jehož základě se mohly osobní údaje snadno předávat mezi EU a USA. Pro Soudní dvůr byly problematickými zejména široké pravomoci amerických zpravodajských služeb, pro které nejsou osobní údaje v USA chráněny tak jako v Evropské unii.

Ačkoliv soud zrušil Privacy Shield, zachoval platnost standardních smluvních doložek, které nabízí alternativní rámec pro předávání osobních údajů. Ani ty však nemohou samy o sobě zajistit rovnocennou úroveň ochrany ve státě, do kterého jsou údaje předávány. Soud proto dovodil, že správce nebo zpracovatel osobních údajů musí vždy zvážit nejen smluvní ochranu, ale také relevantní aspekty právního řádu cílového státu. Rozhodnutí může mít dalekosáhlé dopady a ovlivní předávání osobních údajů nejen do USA, ale i do dalších států. Technologické giganty jako Facebook, Google či Microsoft, ale také v podstatě všechny společnosti předávající osobní údaje mimo Evropskou unii, jsou proto pod hrozbou sankcí nuceny přehodnotit své procesy předávání dat mimo EU.

Rozhodnutí Evropské komise o odpovídající úrovni ochrany poskytované štítem EU−USA na ochranu soukromí z roku 20161 💬, zrušené rozhodnutím soudu2 💬, bylo právním základem pro snadné předávání osobních údajů mezi EU a více než pěti tisíci americkými společnostmi, které se do programu Privacy Shield zapsaly. Samotná registrace do programu vyžadovala poskytnutí identifikačních a kontaktních údajů, popis procesů zpracovávajících osobní údaje, jmenování odpovědné osoby v rámci společnosti a přijetí závazku o způsobu řešení sporů a spolupráci s evropskými dozorovými úřady. Cílem programu bylo u těchto společností vytvořit úroveň ochrany v zásadě rovnocennou ochraně v rámci EU.

Rovnocenná úroveň ochrany?

Komise je při hodnocení úrovně ochrany podle GDPR povinna posoudit hned několik faktorů, jako je dodržování pravidel právního státu, a to včetně předpisů týkajících se veřejné bezpečnosti, obrany, národní bezpečnosti a trestního práva a přístupu orgánů veřejné moci k osobním údajům, existenci a účinné fungování alespoň jednoho nezávislého dozorového úřadu, plnění mezinárodních závazků. Zjištěná úroveň ochrany musí být v zásadě rovnocenná s úrovní ochrany v EU.

Privacy Shield však dle rozhodnutí Soudního dvora selhal a nechránil osobní údaje evropských občanů dostatečně, a to z důvodu širokých pravomocí amerických zpravodajských služeb a nemožnosti dovolání se soudní ochrany před americkými soudy.

Na druhou stranu však vyvstává otázka, zda Soudní dvůr nenastavuje standard, kterému nejsou schopny dostát ani členské státy. Dle našeho mínění zde vzniká propast mezi ochranou osobních údajů na papíře a v praxi, která je značně poznamenaná liknavostí některých členských států při řádném vymáhání pravidel ochrany osobních údajů.3 💬 V jiných státech jsou navíc pravomoci zpravodajských služeb také značně široké a právní řád nabízí minimum právních záruk a ochrany.4 💬 Některé členské státy koneckonců mají problém i se zachováním principů právního státu jako takového.5 💬

Klikli jste na článek, který patří do předplatitelské sekce iHNed.cz
Chcete si přečíst celý článek?