Úvod

V nedávné době zpozorněla většina uživatelů a fanoušků sociálních sítí Facebook a Instagram, jelikož společnost Meta pohrozila ukončením poskytování svých služeb na území Evropské unie. Společnost uvedla ve své výroční zprávě za rok 2021 pro komisi s cennými papíry, že podmínky předávání osobních údajů evropských uživatelů do Spojených států pro ni začínají být neúnosné. Jaká nyní existují pravidla regulace pro předávání osobních údajů do zemí mimo EU a hrozí opravdu konec zavedených (amerických) digitálních služeb v Evropě?

Pravidla pro předávání dat do USA a jiných třetích zemí

V souladu s nařízením (EU) 2016/679 ze dne 27. dubna 2016 (dále jako GDPR) lze předávat data do třetích zemí či mezinárodním organizacím výlučně tehdy, je-li:

• předávání založeno na rozhodnutí o odpovídající ochraně (článek 45 GDPR),
• předávání založeno na vhodných zárukách (článek 46 GDPR),
• předávání založeno na základě výjimky pro specifické situace (článek 49 GDPR).

Předávání dat do USA fungovalo až do poloviny roku 2020 na základě prováděcího rozhodnutí Evropské komise ze dne 12. 7. 2016 o odpovídající úrovni ochrany poskytovaní štítem EU-USA (dále jako prováděcí rozhodnutí), tzn. předávání bylo založeno na rozhodnutí o odpovídající ochraně ve smyslu čl. 45 GDPR. Prováděcí rozhodnutí umožnilo předávat osobní údaje organizacím mimo EU na základě schváleného seznamu, který zřídilo podle článku 1 odst. 3 prováděcího rozhodnutí Ministerstvo obchodu USA. Díky prováděcímu rozhodnutí stačilo, aby byl příjemce veden v seznamu ministerstva, a předávání bylo z tohoto hlediska v souladu s právem EU. Jinými slovy nebylo zapotřebí činit další kroky či přijímat jiná opatření a vývozce dat podléhající regulaci GDPR mohl předat údaje jakékoli organizaci vedené na předmětném seznamu. Tento systém byl označován jako tzv. EU-US Privacy Shield.

Situaci však zkomplikovalo rozhodnutí Soudního dvora Evropské unie (SDEU) ve věci C-311/18 ze dne 16. 7. 2020 (dále jako rozhodnutí Schrems II), kterým došlo mimo jiné ke zrušení prováděcího rozhodnutí, a tedy i možnosti předávat data organizaci s pouhým odkazem na seznam ministerstva.[1] Přestože americké ministerstvo nadále seznam vede a spravuje, není již platným mechanismem pro splnění požadavků kladených unijní legislativou a nelze se jej dovolávat.[2] Bez dalšího tak již nelze do USA vyvážet osobní údaje, přestože organizace může být nadále součástí seznamu. Systém Privacy Shieldu byl rozhodnutím Schrems II okamžikem jeho vydání zrušen.

Praktické dopady rozhodnutí Schrems II

Jak bylo naznačeno v úvodu, zrušení Privacy Shieldu způsobilo značné problémy právě pro poskytovatele služeb ze třetích zemí (USA), kteří po vydání rozhodnutí Schrems II musí hledat jiné způsoby, jak zajistit compliance s GDPR. Problém s předáváním dat se zdaleka netýká pouze společnosti Meta. Podmínky předávání dat do třetích zemí nebo mezinárodním organizacím musí splňovat každý subjekt, který v pozici správce nebo zpracovatele osobních údajů předává tyto údaje příjemci mimo Evropský hospodářský prostor. Povinnosti stanovené v článku 44 a násl. GDPR tak nedopadají jen na technologické giganty jako jsou Meta, Microsoft či Google, ale na všechny společnosti předávající osobní údaje evropských uživatelů mimo země Evropské unie.[3]

Protože předávání dat do USA založené na rozhodnutí o odpovídající ochraně není do případného vydání nového „prováděcího rozhodnutí“ možné jako doteď podle čl. 45 GDPR, nabízí se otázka, jak aktuální stav vyřešit. Aby bylo předávání dat legální, musí být splněny jiné podmínky, a to buď podle čl. 46 nebo 49 nařízení GDPR. Typicky byly pro tyto účely ve vztahu k jiným třetím zemím, pro které dosud nebylo schváleno rozhodnutí o odpovídající ochraně podle čl. 45 GDPR, využívány standardní smluvní doložky. Ty ale pro USA rovněž představují problém, jelikož rozhodnutí Schrems II kromě zrušení Privacy Shieldu uvedl, že právní řád USA neposkytuje srovnatelnou úroveň ochrany zaručenou v Evropské unii a doložky nemusí být dostatečnou zárukou pro subjekt údajů.[4]

Vývoj po vydání rozhodnutí Schrems II

Přestože rozhodnutí Schrems II zásadně změnilo poměry pro správce a zpracovatele osobních údajů předávající data do USA, orgány Evropské unie dosud nenabídly uspokojivé řešení. Praktické dopady rozhodnutí jsou navíc umocněny skutečností, že soud zrušil dosavadní systém s okamžitou účinností, tedy nebyla ponechána žádná lhůta, aby se dotčené subjekty na situaci přizpůsobily. Měly by tak přizpůsobit svoje fungování ze dne na den, což v právu zásadně nebývá zvykem.

Základním pokladem sloužícím poskytovatelům služeb, kteří nyní pro svoji činnost potřebují osobní údaje vyvážet, může být doporučení Evropského sboru pro ochranu osobních údajů ze dne 18. 6. 2021, které popisují základní krokové schéma, jak zajistit soulad s GDPR při neexistenci prováděcího rozhodnutí podle čl. 45 GDPR (tedy nynější případ EU-USA).

Dle doporučení bude záviset na výsledku posouzení rizik konkrétního subjektu se zohledněním okolností předávání údajů a vhodných opatření, která lze zavést. Obecně nově platí, že právní předpisy USA mohou narušit rovnocennou úroveň ochrany bez ohledu na ujednání standardních smluvních doložek. K zajištění rovnocenné úrovně ochrany tak sice soud ponechává vývozcům osobních údajů volnou ruku v tom, jak úroveň ochrany zajistit, nicméně bude zapotřebí individuální přístup ke každému jednotlivému případu, nikoli použití vzorových smluvních ujednání, což bezesporu zvedne transakční a časové náklady na přijetí takových opatření, nadto do jisté míry sníží právní jistotu vývozců.

Podle doporučení sboru by vývozci měli postupovat následovně:

1. Vývozci dat by nejprve měli znát, jaké údaje vlastně předávají, přičemž by se mělo jednat toliko o adekvátní, nutné údaje v omezeném rozsahu k zajištění účelu, pro které jsou údaje zpracovávány.
2. Pokud se nelze odvolat na prováděcí rozhodnutí ve smyslu čl. 45, musí být zajištěn jiný zákonný důvod předávání dat podle čl. 46 nebo 49 GDPR.
3. V závislosti na tom, jak bude zajištěna zákonnost vývozu dat, je důležité případně zajistit dostatečnou ochranu osobních údajů, zejména ověřit soulad legislativy třetí země s právem Evropské unie. Pouhé využití standardních smluvních doložek nemusí bez dalšího znamenat soulad předávání osobních údajů s GDPR, tak jako tomu bylo před vydáním rozhodnutí Schrems II.
4. Dojde-li vývozce k závěru, že je nutné přijmout dodatečná opatření k zajištění rovnocenného standardu ochrany, je právě na vývozci dat, aby rovnocennou ochranu zajistil. Jako příklad lze uvést využití opatření technické povahy (například způsob ukládání či šifrování dat), smluvní závazky (transparentnost či audity) nebo organizační opatření (vnitřní předpisy nakládání s daty).
5. V závislosti na tom, na jakém důvodu dle GDPR bude předávání dat založeno, může být zapotřebí učinit další formální kroky vyžadované legislativou, jelikož některá opatření třeba vyžadují schválení dozorujícího orgánu.
6. Konečně je třeba sledovat, jestli se nezměnila pravidla pro vývoz dat do třetí země, a včas reagovat na případné změny.

Privacy Shield tak nepředstavuje jediné řešení, jak osobní údaje do USA vyvážet. Absence tohoto řešení nicméně určitě stěžuje nakládání s osobními údaji poskytovatelům digitálních služeb z USA, respektive jejich uživatelům. Standardní smluvní doložky či jiné alternativy podle GDPR mají svoje limity a mohou se k nim vázat další povinnosti. Nelze je i ve světle rozhodnutí Schrems II bez dalšího jednoduše aplikovat.

Příslušné orgány v USA se nechaly slyšet, že na vyřešení nastalé situace usilovně pracují a řešení je v dohlednu, ale jednání zatím nepřinesly výsledek a objevují se i signály, že dohodu lze očekávat nejdříve na konci roku 2022[5]. Mezi možné způsoby řešení patří zcela nová dohoda upravující předávání osobních údajů mezi USA a EU, případně i vícestranná smlouva, na které by se mohly podílet i jiné třetí země z pohledu EU.[6]

Závěr

Než budou přijata nová regulatorní pravidla, nemohou se vývozci dat spolehnout na prováděcí rozhodnutí ve smyslu čl. 45 GDPR, ale musí vyhledat jiné způsoby řešení, typicky standardní smluvní doložky s přijetím dalších opatření.

Dle mého názoru služby typu Facebook nebo Instagram nemyslí své „výhružky“ vážně a neplánují ukončit poskytování svých služeb pro uživatele ze zemí EU. Trh Evropské unie je velice lukrativní a ukončení služeb by znamenalo výrazné ekonomické ztráty. Meta se snaží spíše vyvolat veřejnou diskusi a přimět zákonodárce jednat.

Na druhou stranu nelze opomíjet aktivitu dozorujících orgánů členských států, z nichž některé podnikají konkrétní kroky proti vývozcům, kteří nedodržují pravidla. Ve Francii a Rakousku místní úřady pro ochranu osobních údajů vydaly dvě rozhodnutí[7], dle kterých služba Google Analytics odporuje požadavkům předávání dat podle rozhodnutí Schrems II, a tedy by webové stránky neměly tuto službu využívat. Přijatá opatření ze strany Google totiž nebyla úřady shledána jako dostačující.[8] Je možné, že obdobných rozhodnutí i ve vztahu k jiným subjektům jako je Meta bude přibývat, a třeba se dočkáme i stanoviska ze strany Úřadu pro ochranu osobních údajů.

V každém případě doporučujeme všem, kteří předávají osobní údaje do USA, potažmo jiných třetích zemí, aby sledovali aktuální vývoj. Je totiž možné, že se brzy výrazně změní pravidla hry a poskytovatelé služeb typu Google či Amazon budou na evropském trhu nežádoucími vývozci dat.

[1] Nejdůležitější body a možné problémy v praxi, které přináší rozhodnutí Schrems II, shrnul ve svém příspěvku ze dne 8. 9. 2020 na našem blogu Mgr. Jiří Císek.

[2] Seznam je dostupný zde a ke dni 16. 2. 2022 obsahuje 3410 aktivních zapsaných organizací. Seznam obsahuje rovněž organizace v rámci štítu Švýcarsko-USA, jehož použití bylo omezeno stanoviskem tamního Federal Data Protection and Information Commissioner (FDPIC) ze dne 8. 9. 2020.

[3] Vysokou důležitost rozhodnutí a počet dotčených subjektů dokládá i fakt, že byly vydány FAQ přímo k předmětnému rozhodnutí.

[4] Podrobněji o současné využitelnosti standardních smluvních doložek si můžete přečíst ve zmiňovaném příspěvku Mgr. Jiřího Císka o dopadech rozhodnutí Schrems II.

[5] Článek na serveru Politico Washington says a transatlantic data deal is close. Brussels disagrees.

[6] O dosavadním vývoji a debatách se můžete více dozvědět z reportu Congressional Research Service vydaného dne 22. 9. 2021. V závěru dokumentu jsou nastíněny budoucí scénáře vývoje.

[7] Více o rakouském případu se můžete dočíst zde a případu z Francie zde.

[8] Viz článek na webu Lexology ze dne 11. 2. 2022.

‍