Po půlroce jednání vznikla nová dohoda mezi Evropskou unií a USA „Privacy Shield“ upravující, kdo a jakým způsobem s osobními daty občanů Evropské unie a Švýcarska může ve Spojených státech nakládat.

Podmořskými kabely mezi evropskou pevninou a Spojenými státy proteče denně ohromné množství dat. Určit, jaký je v nich podíl osobních a citlivých údajů, je v podstatě nemožné. Jisté je, že tam jsou.

Z přístavu ke štítu

Privacy Shield nahradí starší dohodu „Safe Harbour“, jejíž pravidla vloni na podzim úspěšně zpochybnil rakouský právník Max Schrems. Ten napadl přístup, jakým se k osobním údajům staví lídr sociálních sítí, společnost Facebook, a to, že k jím zpracovávaným údajům, mají pravděpodobně přístup americké tajné služby.

Na vyjednávání nové dohody se podílela i česká eurokomisařka Věra Jourová. Pro obě strany byla dohoda o digitálních datech zásadní i proto, že podle odhadů amerického ministerstva obchodu dosahuje vzájemný digitální obchod mezi EU a Spojenými státy hodnoty až 260 miliard dolarů ročně.

„Osobní údaje byly předmětem ochrany i dříve. Nicméně s rozmachem internetu, informačních technologií a sociálních sítí možnost předávání dat raketově vzrostla. Soukromí osob je tedy třeba více chránit a mít nárůst shromažďovaných i zpracovávaných dat alespoň do jisté míry pod zákonnou kontrolou a případné porušení této ochrany účinně sankcionovat,“ říkají právníci z advokátní kanceláře Wolf Theiss, Radek Kraus a Kateřina Kulhánková.

„Mezi Evropou a Spojenými státy protéká každý den obrovské množství dat, proto bylo nutné poskytnout USA speciální režim. Spojené státy zároveň nepatří mezi země, jejichž standardy ochrany osobních údajů byly příslušnými orgány Evropské unie prohlášeny za dostačující a do nichž lze tedy předávat osobní údaje bez dalšího. Proto bylo nutné vypracovat speciální dohodu,“ dodávají v rozhovoru pro HlídacíPes.org.

• Jak problém v ochraně soukromí na trase EU – USA vlastně vznikl?

Společnosti z USA, které se zavázaly dodržovat zásady takzvaného bezpečného přístavu – Safe Harbour – , měly dlouhou dobu v oblasti předávání osobních údajů z EU privilegované postavení. To využívali zejména mezinárodní skupiny, kdy americká mateřská společnost například zpracovává personální agendu pro celou skupinu. Když ale v důsledku aféry Snowden v roce 2013 došlo k odhalení přístupu amerických bezpečnostních agentur k osobním údajům shromažďovaným americkými společnostmi, začalo se zajištění ochrany osobních údajů poskytovaných z EU do USA intenzivně řešit. Vše odstartoval rakouský student práv Max Schrems, který podal stížnost proti zpracování svých osobních údajů a jejich dalšímu předávání do USA ze strany Facebooku. Po vyčerpání vnitrostátních prostředků ochrany požádal Soudní dvůr EU o posouzení předběžné otázky. Koncem roku 2015 Soudní dvůr EU předávání osobních údajů ze zemí EU do USA výrazně zkomplikoval tím, že Safe Harbour zrušil. Dnes mají tedy USA stejnou pozici jako jiné státy mimo EU a pro předávání osobních údajů z EU do USA se aplikují standardní postupy.

• Evropská unie tedy sama sebe považuje za místo, kde je ochrana dat na nejvyšší možné úrovni a chce stejný standard pro předávání dat do třetích zemí?

V rámci EU má Evropská komise ochranu osobních dat pod kontrolou prostřednictvím směrnic a nařízení. Třetí státy jsou však mimo její dosah. Protože je transatlantická komunikace velmi frekventovaná, EU a USA hledaly způsob, jakým mezi sebou předávání dat zjednodušit. Výsledkem byl rámec, díky němuž, pokud se americká společnost kvalifikovala jako bezpečná v nakládání s osobními údaji, měla pro přijímání osobních údajů zjednodušený režim.

A co na to americká NSA…

• Což ale vloni úspěšně zpochybnil soudní spor týkající se Facebooku a obavy, že informace končí u americké tajné služby NSA.

Ano, rakouský aktivista Max Schrems odmítal, aby k jeho údajům měla prostřednictvím Facebooku přístup americká NSA. Proto u soudu napadl fakt, že Facebook je v Evropské unii považován z hlediska osobních údajů právě za firmu s kvalifikací Safe Harbour a Evropský soudní dvůr v říjnu 2015 původní dohodu zrušil. Tím padl celý rámec Safe Harbour a hrozilo, že Spojené státy přijdou o možnost jednoduššího předávání osobních údajů do třetích států.

• Nyní vzniká nová dohoda, takzvaný Privacy Shield. Co má zaručovat?

Má obsahovat záruky toho, kdo bude mít přístup k osobním údajům, jaká budou jeho práva, jakým způsobem bude transfer těchto údajů zabezpečen a co budou muset přijímající americké společnosti splnit.

• V původní dohodě, ale i v té nové má být ale klauzule o tom, že k osobním údajům mohou mít přístup složky zodpovědné za boj s terorismem, špionáží či kriminalitou. Není to tak, že i nová smlouva sledování ze strany NSA umožní?

Je velmi pravděpodobné, že i v nové dohodě bude způsob, jakým budou moct k osobním údajům přistupovat bezpečnostní složky. Je však rozdíl, pokud mají k informacím přístup bez dalších omezení a pokud je to pouze v odůvodněných případech, jako třeba v rámci boji s terorismem. I když je hranice mezi tím, co je a co není odůvodněné nahlížení, samozřejmě neostrá.

• Koho se v rámci Evropské unie téma předávání osobních údajů do USA týká?

Pasivně se týká vlastně kohokoli – tedy všech občanu Evropské unie. Stačí být například český zákazník, který nakupuje na americkém e-shopu. Aktivně to však musejí řešit především právnické osoby – firmy, které jednotlivé informace do USA předávají.

Lidé mohou, firma musí

• Jakým způsobem se moje, či jakákoli třeba i česká data dostanou do USA a proč?

Příkladem mohou být osobní data zaměstnanců. Můžete být zaměstnán českou společností, která ale bude mít mateřskou společnost v USA. Tato americká společnost bude provádět personální a mzdovou agendu, a proto bude potřebovat přístup k osobním údajů všech zaměstnanců, včetně těch v České republice.

• Nicméně problematika předávání osobních údajů se ale netýká jen USA.

Týká se to samozřejmě i jiných států. Spojených států se však týká novinka kolem dohody Safe Harbour. Jsou státy, které jsou Evropskou komisí schváleny s tím, že poskytují dostatečný standard ochrany osobních údajů. Jsou ale i státy, které pro nedostatečný standard schváleny nejsou a v nichž musí být předávání osobních dat vždy předem schváleno lokálním Úřadem pro ochranu osobních údajů.

• Není to ale nakonec ochrana dat de facto proti naší vůli? Řada lidí ochranu osobních údajů vůbec neřeší.

Fyzická osoba může udělit souhlas s jakýmkoli předáváním dat, Pokud o ochranu dat nestojí, nemusí se tím zabývat. Firmy se však ochranou osobních údajů zabývat musejí.