Oblasti ochrany osobních údajů se v posledních letech dostává zvýšené pozornosti nejen odborné veřejnosti a politiků. Můžeme vzpomenout na dřívější zásadní rozhodnutí SDEU (C–293/12), kterým byl v EU zrušen právní základ pro tzv. data retention, tedy plošný a neadresný sběr provozních a lokalizačních údajů. Naposledy rozproudily veřejnou debatu odhalení whistleblowera Edwarda Snowdena o masovém sledování ze strany bezpečnostních složek USA (program PRISM), kdy americké zpravodajské agentuře NSA s dodáváním osobních údajů asistovaly právě velké technologické firmy. Kauza Snowden hrála významnou roli rovněž v současném zrušení bezpečného přístavu ze strany SDEU.

V příslušném rozhodnutí ve věci C-362/14 se jednalo o spor rakouského občana Maxe Schremse s irským Data Protection Commissioner (komisařem pro ochranu osobních údajů, obdobou českého regulátora v této oblasti, tedy Úřadu pro ochranu osobních údajů). Schrems jako každý uživatel sociální sítě Facebook v Evropě, uzavřel smlouvu se společností Facebook Ireland, dceřinou společností amerického Facebook Inc. Osobní údaje klientů (uživatelů) irský Facebook předává ke zpracování na servery Facebook Inc., umístěné v USA, a to na základě doktríny Safe Harbor (bezpečného přístavu).

Schrems na základě zveřejněných informací o sledovacím programu PRISM podal irskému komisaři stížnost, kterou se domáhal, aby komisař v rámci svých pravomocí zakázal společnosti Facebook Ireland předávat jeho osobní údaje do USA, a to z důvodu, že právní předpisy a praxe v USA nezajišťují dostatečnou ochranu osobních údajů uchovávaných na jejím území před sledováním tamními orgány veřejné moci. Irský komisař tuto stížnost zamítl s odůvodněním, že neexistuje důkaz, že by osobní údaje pana Schremse byly využity tajnou službou NSA a že rozhodnutí Komise 2000/520 stanoví, že předávání údajů do USA je možné, jelikož Spojené státy zajišťují odpovídající úroveň ochrany osobních údajů. Max Schrems proti tomuto rozhodnutí podal žalobu k irskému vrchnímu soudu, který věc předložil k posouzení SDEU.

Princip Safe Harbor

Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, která je v České republice provedena zákonem č. 101/2000 Sb. o ochraně osobních údajů, stanoví pro předávání osobních údajů mimo členské státy EU poměrně přísná pravidla. Zásadní podmínkou pro možnost předání údajů je, aby stát, kam mají být údaje předány, zaručoval úroveň ochrany odpovídající pravidlům, obsaženým ve směrnici.

Komise pak svými rozhodnutími určuje nečlenské státy EU, které takovou ochranu dle jejího názoru zaručují a osobní údaje je tam tedy možné předávat bez dalších omezení. Mezi tyto země Komise řadí např. Švýcarsko, Izrael a další. Rozhodnutí Komise 2000/520 vztáhlo tento režim tzv. bezpečného přístavy rovněž na USA. Americkým společnostem, které chtěly využívat tohoto pohodlného způsobu předávání, stačilo pouze veřejně deklarovat a zavázat se k dodržování základních zásad, stanovených v předmětném rozhodnutí Komise ve spolupráci s americkým Ministerstvem obchodu. Nejednalo se tak o žádný složitý proces, nýbrž o jakési „samoosvědčení“. K datu rozhodnutí SDEU bylo na tzv. Safe Harbor List zařazeno přibližně čtyři tisíce společností.

Trhliny dostal tento systém po výše popsaných zjištěních o hromadném sledování a využívání osobních údajů nejen evropských občanů ze strany amerických bezpečnostních složek. K tématu bezpečnosti osobních údajů předávaných do USA se Komise vyjádřila ve sdělení Evropskému parlamentu a Radě „Obnovení důvěry v toky údajů mezi EU a USA“ ze dne 27. listopadu 2013, a dále také Evropský parlament ve svém usnesení z 12. února 2014 o programu agentury NSA pro sledování, subjektech členských států pro sledování a dopadech na základní práva občanů EU a na transatlantickou spolupráci v oblasti spravedlnosti a vnitřních věcí (2013/2188(INI).

Rozsudek SDEU

Ve svém rozhodnutí tak SDEU prohlásil rozhodnutí Komise o bezpečném přístavu za neplatné, a to ze dvou zásadních důvodů. Prvním je samotné jádro či princip bezpečného přístavu, který spočívá v tom, že USA musí zajistit ochranu odpovídající úrovni ochrany na území EU. Bez detailního zkoumání přesných podmínek Safe Harbor na americké straně je dle SDEU zjevné, že ačkoliv rozhodnutí Komise tvrdí opak, nezaručují USA práva, jaká mají subjekty osobních údajů v EU, tedy zejména možnost vůbec získat přístup k údajům, které se jich týkají, možnost opravy či výmazu, možnost soudní nápravy ve vztahu ke shromažďování osobních údajů apod. Masový a nediferencovaný přístup k osobním údajům je v příkrém rozporu se zásadou proporcionality, tedy aby při nutném zásahu byly negativní důsledky takového zásahu minimalizovány. Rozhodnutí Komise v této časti porušuje základní práva občanů EU dle čl. 7 a 8 Listiny základních práv EU, tedy právo respektování soukromého a rodinného života a právo na ochranu osobních údajů.

Druhý klíčový faktor způsobující neplatnost bezpečného přístavu je nepřípustné omezení jednotlivých národních dozorových orgánů (v ČR tedy Úřadu pro ochranu osobních údajů) v možnosti individuálně posoudit žádost týkající se tvrzené neslučitelnosti rozhodnutí Komise s ochranou osobních údajů daného žadatele. Komise tímto z pohledu SDEU fakticky upírá vnitrostátním orgánům pravomoci, plynoucí z příslušné směrnice, respektive jejích národních implementací (v ČR zákona o ochraně osobních údajů), které ve výsledku opět oslabuje možnosti subjektu údajů bránit se proti neoprávněnému zpracovávání jeho osobních dat.

Jaký bude další vývoj?

Následné komentáře k dění příštích měsíců jsou poměrně různorodé. Je zjevné, že velké technologické společnosti, ať už dotčený Facebook či další lídři na trhu jako Google, Amazon, Twitter a další, přes původní prohlášení ve stylu „ono se zase tolik nestalo“ budou muset vynaložit nemalé prostředky na změnu organizace a právních podmínek předávání osobních údajů. Ještě komplikovanější situace nastává pro menší společnosti, které potřebnými prostředky a know-how na změnu nemusí disponovat.

Komise, aktuálně pod vedením české komisařky Věry Jourové, zahájila vyjednávání s americkou stranou a dalšími zainteresovanými subjekty, aby bylo možné politicky, právně i technicky předávání údajů co nejdříve obnovit pokud možno v původním rozsahu. V cestě však stojí několik zásadních překážek. Pojetí ochrany osobních údajů, respektive práva na soukromí vůbec, se v USA od evropského podstatně liší. Práva, která poskytuje právo EU svým občanům, nezaručují Spojené státy ani svým vlastním občanům. Hovoří se o tom, že jakýsi Safe Harbor by mohl být součástí kontroverzní připravované obchodní dohody Transatlantic Trade and Investment Partnership (TTIP), nicméně pokud se na obou stranách Atlantiku partneři nevyvarují chyb, vytýkaných SDEU, jakákoliv obdobná dohoda zůstane snadno právně zpochybnitelná.

Dočasný stav přesto nabízí několik alternativ, ani jedna se však pro svou komplikovanost a náročnost nedá s režimem Safe Harbor srovnat. Pomineme-li výslovný souhlas např. v obchodních podmínkách, kdy je poměrně nereálné, aby subjekty souhlasily se zpracováním svých údajů bezpečnostními složkami v USA, lze využít tzv. standardní smluvní doložky, které by přímo obsahovaly detailní popis práv a povinností správce a zpracovatele osobních údajů. Další možnost představují závazná podniková pravidla. Zpracovatel by přijal vnitřní předpis, který by podrobně upravil proces zpracování a ochrany osobních údajů ve výše popsaném duchu. Tento způsob je však administrativně velmi náročný, neboť taková interní směrnice vyžaduje schválení národním dozorovým orgánem a zároveň je připomínkována i dalšími regulátory v zemích, kde taková společnost působí. Evropská komise 6. listopadu 2015 zveřejnila několik základních doporučení, která nejdůležitější pravidla je nutné dodržovat při využívání různých způsobů předávání dat uvedených výše, a to včetně vzorových standardních smluvních doložek pro předávání mimo území EU. Podle Jourové by diskuse s americkou stranou o nové podobě rámce pro předávání měly být ukončeny zhruba do tří měsíců.

Mimo tyto čistě právní způsoby je pak možné řešit situaci např. využitím datacenter umístěných přímo na území EU, čímž by odpadla nutnost předávat data ke zpracování do USA, toto řešení však nemusí být pro velké hráče ideální z důvodu jejich daňové optimalizace.

	Martin Hrdlík Autor článku je advokátem ve společnosti KPMG Legal.
	Filip Horák Spoluautor je v této společnosti advokátním koncipientem.