Na následujících řádcích se předáváním osobních údajů do zahraničí budeme zabývat z různých pohledů, tedy nejen z hlediska současné právní úpravy a aktuální judikatury Evropského soudního dvora (dále pouze „ESD“), ale pozornost zaměříme především na dlouho očekávané obecné nařízení o ochraně osobních údajů[1] (General data protection regulation, dále pouze „GDPR“ nebo „nařízení“)[2], jež by se v blízké době mělo konečně dočkat svého zveřejnění v Úředním věstníku Evropské unie (dále pouze „EU nebo „Unie“).
Stručný úvod
Rychlý rozvoj moderních technologií umožňujících zpracování a předávání stále větších objemů dat s sebou přinesl nové výzvy a problémy. Osobní údaje se předávají přes stále větší počet virtuálních a geografických hranic a ukládají na serverech v mnoha zemích. K podstatnému zvýšení přeshraničních toků údajů přispěla také hospodářská a sociální integrace vyplývající z fungování vnitřního trhu. V dnešní době vysokorychlostního internetu a stále rychlejšího přechodu ke cloudovým službám umožňujícím ukládat údaje na vzdálených serverech již ani tak nezáleží na tom, v jaké zemi jsou osobní údaje uloženy, ale jakým způsobem jsou chráněny proti neoprávněnému přístupu a kdo a za jakých podmínek k nim má přístup a může s nimi dále nakládat, resp. je zpracovávat, případně je dále předávat dalším subjektům. Vzhledem k rostoucímu počtu a složitostí případů mezinárodního předávání údajů (např. v důsledku cloud computingu, globalizace, datových center, sociálních sítí apod., je tedy pochopitelná snaha o upřesnění pravidel pro předávání osobních údajů.
Obecně je nutné k pojmu předávání říci, že se jedná nejen o činnost, kdy jsou osobní údaje přeneseny z jedné země do druhé např. prostřednictvím e-mailu, ale také o jakoukoliv operaci, prostřednictvím které jsou osobní údaje zpřístupněny jinému subjektu pro další zpracování.
Pro předávání je však typické, že se poskytování osobních údajů jinému subjektu takto označuje až, pokud k němu dochází mimo EU. Vhodným příkladem může být například zpracování osobních údajů v rámci nadnárodních společností, kdy jsou osobní údaje zaměstnanců ovládaných osob umístěny v rámci databáze na společném serveru, přičemž každá z národních entit má k takové databázi přístup a může si osobní údaje prohlížet, případně je dále určitým způsobem zpracovávat (kopírovat, ukládat apod.).
Stručný přehled současné právní úpravy
Směrnice v čl. 25 a 26 zavádí režim, jehož cílem je, aby jednotlivé členské země prováděly dohled nad předáváním údajů do třetích zemí. Nicméně je třeba si uvědomit, že tento režim je pouze doplňkový ve vztahu k obecnému režimu směrnice, který stanoví podmínky pro zákonnost zpracování osobních údajů. To znamená, že při posuzování oprávněnosti konkrétního případu předávání osobních údajů do zahraničí, je potřeba nejdříve posoudit soulad zpracování s aplikovatelným právním rámcem v obecné rovině, a až poté lze přistoupit k posouzení a nastavení parametrů souvisejícího s předáním údajů do zahraničí.
Obecně platí, že v rámci EU předávání osobních údajů omezovat nelze, neboť v opačném případě by celé budovaní jednotného vnitřního trhu, postrádalo svůj smysl. Mezinárodní toky osobních údajů do třetích zemí[3] se v současné době řídí zásadou zakotvenou v čl. 25 Směrnice Evropského parlamentu a Rady 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů z roku 1995 (dále jen „směrnice“), podle které k předávání osobních údajů může dojít pouze tehdy, pokud dotyčná třetí země zaručí odpovídající úroveň ochrany. Ta je zajištěna buď právními předpisy nebo mezinárodními závazky[4] dané země nebo jí může garantovat sám správce prostřednictvím vhodných ochranných opatření (záruk).
Zásada odpovídající úrovně ochrany[5] osobních údajů je klíčovým pojmem celé úpravy předávání osobních údajů. Jejím hlavním cílem a zároveň smyslem celé regulace mezinárodního předávání, je zajistit předávaným osobním údajům ve třetí zemi srovnatelnou úroveň ochrany se standardy obsaženými ve směrnici. Povinnost zajistit fyzickým osobám vysokou úroveň ochrany základních práv a svobod v souvislosti se zpracováním jejich osobních údajů je obecným principem stanoveným směrnicí a vztahuje se i na osobní údaje předávané mimo území EU. O odpovídající úrovni konkrétní třetí země je oprávněná rozhodnout Komise, která na základě čl. 25 postupem podle čl. 31 odst. 2 směrnice může konstatovat, že třetí země zajišťuje odpovídající úroveň ochrany na základě svých vnitrostátních předpisů nebo mezinárodních závazků.[6]
Směrnice rovněž předpokládá možnost předávat osobní údaje do třetích zemí, které nezajišťují odpovídající úroveň ochrany, pokud sám správce/vývozce údajů poskytne dostatečné garance pro ochranu předávaným osobním údajů, např. prostřednictvím závazných podnikových pravidel nebo vzorových tzv. standardních smluvních doložek.[7] Tyto nástroje se dnes těší poměrně velké oblibě, přičemž malé a střední hospodářské subjekty využívají především standardní smluvní doložky,[8] jejichž použití je v praxi snadnou záležitostí a umožňují flexibilně a rychle vyřešit problém s předáváním. Naopak velké nadnárodní společnosti, jež mají své zastoupení jak v EU, tak ve třetích zemích, stále více upřednostňují závazná podniková pravidla (BCR), která platí pouze pro předávání údajů v rámci jednotlivých jednotek korporace. Podrobněji viz níže.
Za určitých podmínek je podle platné legislativy rovněž přípustné předávat osobní údaje do třetích zemí nezajišťujících odpovídající úroveň ochrany, tedy mimo rámec pravidla o odpovídající úrovni ochrany, pokud je naplněn některý z důvodů uznaných právními předpisy (výjimek z tohoto pravidla) stanovených v čl. 26 směrnice.[9] Tyto výjimky lze použít pouze v ojedinělých případech, pokud budou rizika zásahu do práv subjektů údajů malá, nebo pokud nad právem subjektu údajů převládají jiné zájmy (veřejné zájmy nebo zájmy samotného subjektu údajů),[10] nikoliv např. v případě opakovaných, hromadných a systematických předání osobních údajů, typicky například v rámci poskytování cloudových služeb. Pokud tedy např. cestovní kancelář poskytuje zájezd do Egypta a za účelem plnění cestovní smlouvy předává osobní údaje svých klientů v nezbytném rozsahu hotelům nebo jiným obchodním partnerům, děje se tak na základě smlouvy, jejíž smluvní stranou je subjekt údajů, a v tomto případě není nutné poskytovat další záruky. Takové předávání osobních údajů ovšem ve většině členských zemí včetně ČR předpokládá předchozí autorizaci dozorového úřadu.
Nová regulace předávání osobních údajů do třetích zemí podle GDPR
Nové obecné nařízení o ochraně osobních údajů (GDPR) se otázce předávání osobních údajů do třetích zemí nebo mezinárodním organizacím věnuje v kapitole V[11], jež poskytuje poměrně detailní pravidla a podmínky, za kterých je možné osobní údaje do třetích zemí předávat. Nová regulace předávání osobních údajů si především klade za cíl zjednodušit pohyby údajů přes hranice a upřesnit pravidla pro předávání tak, aby vyhovovala požadavkům jednotného digitálního trhu a zároveň zajistila vysokou úroveň ochrany údajů při operacích mezinárodního zpracování. Do jisté míry tak reaguje na časté stížnosti ze strany hospodářských subjektů, které považují dosavadní regulaci za příliš složitou a omezující při provádění činností souvisejících s každodenní potřebou předávat osobní údaje z EU do jiných částí světa. Zda nově navržená regulace tento cíl naplní, ukáže samozřejmě až praxe. Nicméně již při letmém nahlédnutí do normativního textu nařízení, se jeví být právní úprava předávání ještě složitější a méně srozumitelnější, než ta dosavadní.
I nadále zůstává zachována zásada volného pohybu osobních údajů v rámci EU, resp. EHP, na jejímž základě nelze pouze z důvodu ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů zakázat nebo omezit předávání údajů z jednoho členského státu EU do druhého. Tato zásada byla zavedená již směrnicí a jejím cílem je v zásadě zdůraznit potřebu výměny dat pro fungování vnitřního trhu Unie, pro které je volný pohyb údajů nepostradatelný. Tento princip se ovšem aplikuje přímo na základě primárního práva EU[12] a v zásadě je tedy zbytečné jej v nařízení znovu opakovat.
Zachován byl rovněž princip tzv. odpovídající úrovně ochrany, realizovaný v prvé radě prostřednictvím přijímání rozhodnutí o přiměřenosti, tj. rozhodnutí, která potvrzují přiměřenost norem ochrany osobních údajů v třetích zemích. K významným změnám došlo v případě aplikace a rozsahu samoregulačních nástrojů používaných pro bezpečné předávání. U standardních smluvních doložek již nebude požadováno jejich předchozí schválení dozorovým úřadem, pokud budou tyto doložky přijaté Komisí nebo dozorovým úřadem s následným schválením Komise. Vypracování závazných podnikových pravidel je v nařízení detailně upraveno a podobně jako v případě standardních smluvních doložek, i zde platí, že jejich aplikace ze strany správce nebude podléhat povolovacímu režimu ze strany dozorových úřadů. Nové nařízení zavádí některé nové samoregulační nástroje[13] i další legální možnosti, jejichž cílem je přispět k celkovému zjednodušení mezinárodních přenosů údajů bez zbytečných administrativních překážek. Ve specifických případech bude možné např. předávat osobní údaje na základě závažných oprávněných zájmů správce.
Nařízení rozlišuje v podstatě 3 úrovně předávání z hlediska způsobu, jakými jsou předávaným osobním údajů poskytovány, resp. neposkytovány záruky: (i) předávání založené na rozhodnutí o odpovídající úrovni ochrany, (ii) předávání založené na vhodných zárukách garantovaných správcem/vývozcem údajů, (iii) předávání založené na tzv. výjimkách tzn., pokud neexistuje ani rozhodnutí o přiměřenosti ani vhodné záruky. V následujících řádcích se podíváme na jednotlivé právem uznané důvody legalizující předávání údajů do třetích zemí podrobněji.
I. Předávání založené na rozhodnutí o odpovídající úrovni ochrany
Nařízení, podobně jako směrnice, zmocňuje Komisi posuzovat, zda určitá třetí země (v případě nařízení navíc ještě území či odvětví zpracování v dané třetí zemi nebo určitá mezinárodní organizace),[14] zajišťuje odpovídající úroveň ochrany a následně vydávat v tomto směru rozhodnutí. K jakým aspektům by měla Komise při posuzování úrovně ochrany dané země přihlížet, je stanoveno přímo v normativní části nařízení (posouzení platné legislativy dané země, míra vymahatelnosti, právní ochrana, existence nezávislého dozoru apod.).
K výkladu pojmu odpovídající úroveň ochrany přispěl i nedávný rozsudek ESD ve věci Schrems.[15] ESD v něm uvedl, že se formálně jedná o ochranu zajištěnou vnitrostátním právem nebo mezinárodními závazky. Pokud jde o přísnost či náročnost takové ochrany, ESD sice výslovně připouští, že úroveň ochrany nemusí být identická jako v právním řádu Unie, a že třetí země může používat k ochraně jiné prostředky. Trvá však na tom, že úroveň ochrany základních práv a svobod musí být v podstatě rovnocenná směrnici, jinak by přenosy osobních údajů do třetích zemí došlo k obcházení unijní úrovně ochrany osobních údajů. Prostředky, které k ochraně třetí země použije, tedy musí v praxi účinně zajistit ochranu ve své podstatě rovnocennou neboli odpovídající ochraně poskytované v EU.
Na rozdíl od směrnice a současné praxe, je v nařízení nově upravena povinnost Komise minimálně každé 4 roky provádět přezkum již schváleného rozhodnutí, který by měl zohlednit případné změny, které mohou ve třetí zemi nebo mezinárodní organizaci v průběhu této doby nastat v souvislosti s ochranou zpracovávaných údajů. Požadavek na pravidelný přezkum je určitě krok správným směrem, neboť právní a institucionální prostředí v jednotlivých státech světa se může poměrně dynamicky vyvíjet. Proto bude zřejmě nutné i u současných rozhodnutí Komise přijatých podle dosavadní směrnice, která zůstávají i nadále v platnosti, zohlednit případný vývoj v dané třetí zemi.
Komise má zároveň pravomoc rozhodnout o tom, že daná třetí země, území, odvětví zpracování nebo mezinárodní organizace již nesplňují podmínky odpovídající úrovně ochrany a své původní rozhodnutí případně zrušit, změnit nebo pozastavit. Seznam třetích zemí, území či odvětví zpracování nebo mezinárodních organizací, které zajišťují nebo naopak nezajišťují odpovídající úroveň ochrany, musí následně Komise zveřejnit v Úředním věstníku EU a na svých webových stránkách. V této souvislosti je na místě zdůraznit, že případné rozhodnutí Komise o „nepřiměřenosti“ dotčené třetí země, automaticky neznamená, že do této země nebude možné data již více předávat. Správce/vývozce údajů se v těchto případech může opřít o další legální možnosti umožňující bezpečné předávání údajů, např. přijmout vhodné záruky, které zajistí předávaným osobním údajům dostatečnou úroveň ochrany (např. některé ze smluvních doložek), případně využít některou z výjimek z obecné zásady odpovídající úrovně ochrany viz níže.
V případě, že Komise přijme rozhodnutí o odpovídající úrovni ochrany, samozřejmě platí, podobně jako v současné době, že takové předávání nepodléhá předchozímu schvalovacímu režimu ze strany dozorových úřadů.
Aplikace zásady odpovídající úrovně ochrany popsané výše, dozajista zaručuje, že osobním údajům bude ve třetí zemi poskytnuta nejvyšší míra ochrany. Do budoucna ovšem nelze nikterak předpokládat, že bude existovat velký počet třetích zemí nebo mezinárodních organizací, které budou rozhodnutím Komise prohlášeny za subjekty poskytující odpovídající úroveň ochrany. Jednak Komise není vázána žádnými lhůtami a posouzení může trvat poměrně dlouhou dobu (např. posouzení Východní republiky Uruguay trvalo čtyři roky), a jednak výběr a počet subjektů, které se stanou předmětem posuzování, záleží zcela na vůli Komise. Do dnešní doby, tj. za bezmála 20 let vydala Komise pouze 10 rozhodnutí (viz pozn. 10). Proto lze do budoucna spíše předpokládat, že mezinárodní transfery se budou odehrávat na bázi poskytnutí vhodných záruk (garancí) přímo ze strany jednotlivých správců/vývozců údajů nebo jiných legálních důvodů tzv. výjimek (derogations).
II. Předání založené na vhodných zárukách
Jak bylo výše naznačeno, předávat osobní údaje do třetích zemí lze i mimo rámec zemí, o kterých Komise rozhodla, že poskytují odpovídající úroveň, za předpokladu, že správce nebo zpracovatel přijme vhodná ochranná opatření (záruky) a zároveň bude splněna podmínka vymahatelnosti práva a účinné právní ochrany v souvislosti se zpracováním osobních údajů subjektu údajů. Vhodné záruky lze definovat jako způsoby, jak ošetřit ochranu údajů předávaných do třetí země, jejíž právní řád z pohledu EU nezaručuje sám o sobě dostatečnou ochranu osobních údajů, tj. není zde rozhodnutí Komise o odpovídající ochraně – adequacy decision. Jsou to tedy jednotlivé podnikatelské subjekty, které v tomto případě na sebe berou odpovědnost za ochranu předávaných osobních údajů. Nařízení podstatným způsobem rozšiřuje výčet nástrojů, které takové vhodné záruky poskytují, aniž by bylo nutné předložit je dozorovému orgánu k předchozí autorizaci.
Za takové nástroje nařízení považuje zejména: (i) právně závazné a vynutitelné nástroje orgánů veřejné moci, (ii) závazná podniková pravidla definovaná nařízením, (iii) standardní doložky o ochraně osobních údajů přijatými Komisí, (iv) standardní doložky o ochraně osobních údajů přijatými orgánem dozoru a schválené Komisí, (v) schválené kodexy chování definované nařízením spolu se závazkem správce nebo zpracovatele ve třetí zemi použít vhodná ochranná opatření a (vi) schválené certifikační mechanismy definované nařízením spolu se závazkem správce nebo zpracovatele ve třetí zemi použít vhodná ochranná opatření.
Vedle dnes standardně používaných vhodných záruk pro bezpečné předávání osobních údajů do třetích zemí (standardní smluvní doložky a závazná podniková pravidla), rozšiřuje nařízení výčet těchto záruk např. o schválené kodexy chování nebo schválené certifikační mechanismy. Použitím jedné z výše uvedených záruk, bude pro správce výhodou v tom směru, že nebude povinen žádat příslušný dozorový úřad o předchozí povolení pro předávání údajů do třetích zemí, jak tomu je dnes v případě BCR nebo smluvních doložek v některých členských státech, čímž odpadne jedna z velmi kritizovaných administrativních překážek. Určitou neznámou jsou schválené kodexy chování či certifikační mechanismy, kde zatím nelze predikovat, jakým způsobem budou tyto nástroje pro předávání údajů do třetích zemí ze strany správců využívány.
Kromě výše uvedených, předpokládá nařízení ještě existenci dalších vhodných záruk, na základě kterých bude moci správce nebo zpracovatel osobní údaje do třetích zemí předávat, jež však budou podléhat předchozí autorizaci dozorového úřadu. Jsou jimi např. smluvní doložky uzavřené mezi vývozcem a dovozce údajů, které nelze podřadit pod tzv. standardní, tzn. předem neschválené Komisí nebo dozorovým úřadem, ale vytvořené ad hoc správcem/vývozcem údajů. Je to model, který funguje i v současné době, kdy se vývozce a dovozce údajů mohou domluvit, že osobní údaje budou předávány na základě dohodnutých pravidel, vtělených do smluvních doložek, které budou poskytovat předávaným údajů určitou míru ochrany. Protože ovšem takové ad hoc smluvní doložky budou vyžadovat předchozí schválení dozorového úřadu, a i vzhledem k širokému spektru jiných vhodných záruk, které povolení dozorového orgánu potřebovat nebudou, nelze předpokládat, že budou v praxi příliš častým jevem. Podobně jako tomu není ani dnes.
Mnohem zajímavější je nařízením předpokládaná možnost předávat osobní údaje mezi orgány veřejné moci či veřejnoprávními subjekty na základě uzavření správních ujednání (administrative arrangements), které budou zahrnovat vymahatelná a účinná práva subjektu údajů. Otevřenou otázkou však zůstává právní charakter takového správního ujednání, včetně situací, které má řešit. Zvýšit pravomoc veřejného orgánu správním ujednáním nad rámec zákona, by de facto znamenalo, že by šlo již o mezinárodní smlouvu. Buď tedy existuje právní titul pro předávání osobních údajů a správním ujednáním by se jen opakovaly záruky dané zákonem, v tom případě není nutné schvalovat, nebo titul v právním řádu neexistuje, a potom předání nelze uzavřít pouze na základě správního ujednání, které nemá charakter mezinárodní smlouvy. Jakákoliv správní ujednání mezi orgány veřejné moci stojící mimo rámec mezinárodní smlouvy, se pak jeví být naprosto zbytečná, pouze opakující záruky dané zákonem nebo jiným právně závazným unijním aktem – nařízením.
Předávání založené na vhodných zárukách poskytnutých samotným správcem nebo zpracovatelem, pravděpodobně do budoucna bude, nebo by alespoň mělo být, jedním z nejčastějších právních titulů pro předávání údajů do třetích zemí. Proto v následujících řádcích alespoň ve stručnosti zmíníme dva nejpoužívanější instituty poskytující vhodné záruky pro předávání údajů do třetích zemí.
Standardní smluvní doložky
O standardních smluvních doložkách bylo v obecné rovině pojednáno již výše. Na tomto místě bychom chtěli poukázat ve stručnosti na určité obtíže, které mohou v případě jejich aplikace nastat, vycházeje z nedávné konkrétní situace. Potíže při aplikaci smluvních doložek mohou vzniknout v případě, že právní předpisy třetí země obsahují požadavky na příjemce údajů, aby zpřístupnil za určitých okolností osobní údaje orgánům veřejné moci (zpravodajským složkám, policii apod.), přičemž zákonný požadavek na zpřístupnění může mít přednost před jakýmkoliv smluvním ujednáním. Určité limity smluvního přístupu k problematice předávání osobních údajů do třetích zemí neposkytující odpovídající úroveň ochrany, ukázal v nedávné době případ předávání osobních údajů do USA. Problém s předáváním údajů do USA má hlubší kořeny sahající minimálně do doby odhalení sledovacích programů USA (PRISM apod.) Edwardem Snowdenem v roce 2013, na základě kterých měla mít americká administrativa plošný přístup k údajům občanů EU, které zpracovávali na svých serverech američtí poskytovatelé internetových služeb. Problém s předáváním osobních údajů do USA, které jednotlivé podnikatelské subjekty realizovali zejména na základě rozhodnutí Komise o bezpečném přístavu,[16] vyřešil až rozsudek Evropského soudního dvora, který prohlásil rozhodnutí Komise za neplatné.[17]
Rozsudek ESD významným způsobem dopadá i na aplikaci standardních smluvních doložek, i když se jich výslovně netýká. Bezprostředně po rozsudku ESD se objevily, jak ze strany odborné veřejnosti, tak některých dozorových úřadů, obavy, zda je možné i nadále používat pro předávání osobních údajů do USA standardní smluvní doložky, resp., zda tento nástroj je schopen zajistit osobním údajům v USA odpovídající úroveň ochrany. Tyto obavy vyplývaly především z faktu, že orgány veřejné moci USA mají pravomoc vynutit si přístup i k těm osobním údajům, které jsou do USA předávány v režimu standardních smluvních doložek.[18]
Jedním z nutných předpokladů, aby standardní smluvní doložky mohly být považovány za nástroj poskytující odpovídající úroveň ochrany pro předávání údajů do třetích zemí, je nutnost rozložení míry odpovědnosti vývozce a dovozce údajů za vlastní porušení smluvních povinností včetně např. převzetí odpovědnosti vývozce údajů, pokud nevyvinul přiměřené úsilí k tomu, aby prověřil, že je dovozce údajů schopen dostát svým závazkům vyplývajícím z doložek. Je totiž především na správci/vývozci údajů, jako subjektu primárně odpovědnému za zpracování, vyhodnotit případná rizika a zkoumat, zda je např. vývozce údajů schopen dodržet závazky, ke kterým se ve standardních smluvních doložkách zavázal. Podobně je ve smluvních doložkách upravena i odpovědnost dovozce údajů, který se při podpisu smluvních doložek zavazuje k tomu, že je schopen dostát svým závazkům, vyplývajícím ze smlouvy, a že v případě, že se bude muset odchýlit od smlouvy, okamžitě informuje vývozce údajů, který může smlouvu pozastavit nebo vypovědět.
Vedle vývozce a dovozce údajů nese odpovědnost za předávání i příslušný dozorový úřad, který má podle rozhodnutí Komise o standardních smluvních doložkách pravomoc zakázat nebo pozastavit předávání za splnění stanovených podmínek, mj. v případě, kdy právní předpisy, kterým dovozce údajů podléhá, po něm vyžadují, aby se odchýlil od práva rozhodného pro ochranu údajů v rozsahu překračujícím omezení nezbytná v demokratické společnosti.
Rozsah pravomoci státní moci požadovat zpřístupnění údajů je také problém obecnějšího hodnocení přiměřenosti ochrany poskytované ve třetí zemi. V tomto případě bude na odpovědnosti správce údajů, aby důkladně posoudil všechny okolnosti předání, případně na příslušném dozorovém úřadu, pokud podle národního práva autorizuje předání uskutečněné na základě uzavření smluvních doložek
Bez ohledu na výše uvedené je nicméně, až do doby vydání nového právního rámce, [19] který by měl nahradit zrušené rozhodnutí Komise o bezpečném přístavu a nově upravit a zpřesnit pravidla pro předávání do USA, správcům/vývozcům údajů i nadále umožněno ve většině členských zemí předávat osobní údaje do USA na základě standardních smluvních doložek nebo BCR.[20]
Závazná podniková pravidla (Binding Corporate Rules)[21]
V poslední době využívá BCR pro legalizaci předávání údajů do třetích zemí stále více nadnárodních korporací.[22] V současné době nejsou BCR upravena žádným obecně závazným právním předpisem, jak tomu je např. v případě standardních smluvních doložek, nicméně WP 29[23] vydala v tomto směru řadu doporučení,[24] která přinášejí podrobné informace o základních principech i procesu tvorby. Nařízení tento stav mění a přímo v normativním textu přináší detailní úpravu obsahu náležitostí, které musí BCR obsahovat, aby mohla být považována za tzv. závazná a mohla sloužit jako nástroj pro bezpečné předávání údajů v rámci nadnárodních korporací. Základní atributy BCR (závazná povaha, právní vymahatelnost, odpovědnost, postupy pro vyřizování stížností atd.) obsažené v současné době v řadě dokumentů WP 29 tak byly upraveny právně závaznou formou – nařízením. Pracovní dokumenty WP 29 zůstanou však i nadále nezbytnou pomůckou pro nadnárodní korporace při procesu vytváření závazných pravidel.
Správci/vývozci údajů často váhají, pro jaké případy je vhodnější použít pro předávání osobních údajů do třetích zemí BCR nebo standardní smluvní doložky, případně, který ze zmíněných samoregulačních nástrojů poskytuje osobním údajům ve třetí zemi vyšší míru ochrany. Ačkoliv oba dva instituty jsou z hlediska úrovně poskytovaných záruk srovnatelné, a je na rozhodnutí správce, který z nich si nakonec zvolí, existují mezi nimi určité rozdíly. Standardní smluvní doložky je možné použít téměř okamžitě a v zásadě při všech situacích, představují tedy řešení, připravené k „okamžitému použití“, aniž by byla nutná zvláštní prováděcí opatření. To je bezesporu jejich výhoda. Naproti tomu BCR jsou založená na tom, že korporace má již v rámci skupiny zaveden dostatečně uspokojivý a spolehlivý režim ochrany údajů a jejím cílem je zajistit, aby zavedené systémy splňovaly požadavky korporátních pravidel, která by bylo možné považovat za tzv. závazné a souladné s požadavky směrnice, resp. nařízení. Navíc BCR svou povahou, tj. vnitřní závazností v rámci konkrétní korporace, poskytují nejen ochranu osobním údajům předávaným do třetích zemí, ale i ochranu soukromí a osobním údajům zaměstnanců korporace obecně, čímž se odlišují od principů standardních smluvních doložek, které zavazují pouze společnost a jejího smluvního partnera v obecné rovině, aniž by obsahovaly konkrétnější záruky ochrany osobních údajů ve vztahu k jednotlivým smluvním stranám. Určitá nevýhoda BCR spočívá stále v poměrně dlouhém procesu vlastní tvorby a následného schválení ze strany vedoucího dozorového orgánu (v současné době cca 8 měsíců). Z hlediska nároků, které GDPR klade na správce v oblasti zabezpečení osobních údajů, se jeví být zejména pro velké nadnárodní korporace vhodnější, založit přeshraniční předávání na přijetí závazných korporátních pravidel, která poskytnou záruky nejen údajům předávaným, ale obecně všem údajům v rámci korporace.
III. Předávání založené na výjimkách ze zásady odpovídající úrovně ochrany
Podobně jako směrnice, tak i nařízení stanoví výčet případů, kdy je možné údaje do třetích zemí předávat, aniž by tato třetí země poskytovala odpovídající úroveň ochrany nebo taková ochrana byla garantována samotným správcem/vývozcem údajů prostřednictvím některého z běžně užívaných samoregulačních nástrojů. Aplikace těchto tzv. odchylek (derogations) od zásady odpovídající úrovně ochrany pro jednotlivce v praxi defacto znamená, že jeho osobní údaje v přijímací zemi nebudou požívat ochrany, které mu jsou zaručeny nařízením.[25]
Na druhou stranu tento soubor ustanovení obsažených v nařízení, předávání osobních údajů do třetích zemí podstatným způsobem usnadňuje. Správce, který údaje předává, nemusí podle těchto ustanovení ani zajistit, aby příjemce poskytl odpovídající úroveň ochrany, pokud jde o zpracování osobních údajů v jeho zemi (např. zásady účelnosti, bezpečnosti, práva na přístup apod.). Systém předávání postavený na výjimkách jde očividně proti smyslu zásady o odpovídající úrovni ochrany, jakož i zásady zabránit tomu, aby se ochrana osobních údajů stanovená nařízením obcházela předáváním těchto údajů do třetích zemí. Nejedná se ale o novum, které by přineslo až nařízení, rovněž platná směrnice upravuje podobné výjimky, které správci v současné době využívají. Nařízení ovšem okruh výjimek rozšiřuje o nový důvod, kdy je možné údaje předávat do třetí země, a tím je legitimní zájem správce. Výjimku založenou na legitimním zájmu správce je však možné použít pouze v omezeném počtu případů, kdy nebudou převažovat zájmy subjektu údajů. Navíc musí správce pečlivě zvážit veškeré aspekty takového předávání (účel a dobu zpracování, povahu osobních údajů) a odvodit z nich vhodná bezpečnostní opatření. Správce by měl navíc o takovém předávání informovat dozorový úřad a subjekt údajů. GDPR rovněž předpokládá možnost předávat údaje, pokud je to nutné z důležitých důvodů veřejného zájmu stanovených právem Unie nebo vnitrostátním právem.
Obecně lze v této souvislosti uvést, že spolehlivost systému založeného na „vlastním osvědčení“ (správce se závazně přihlásí k dodržování pravidel ochrany osobních údajů, které jsou stanovena např. etickým kodexem nebo jiným samoregulačním mechanismem), a tedy i na tzv. výjimkách, předpokládá zavedení účinných mechanismů odhalování a dozoru, jež v praxi umožňují identifikovat a sankcionovat případné porušení pravidel. Takové mechanismy např. v případě institutu bezpečného přístavu zcela selhaly (viz výše kap. standardní smluvní doložky).
Pokud se bude správce rozhodovat, jaký institut z velké nabídky, které nařízení poskytuje, pro předávání zvolí, měl by upřednostňovat řešení, která poskytují subjektům údajů záruku, že po předání jejich údajů budou dotčené subjekty i nadále požívat základní práva a ochranná opatření, která jsou jim garantována nařízením, tzn. využít některý ze samoregulačních nástrojů. Naopak k výjimkám by měl přistoupit pouze v případech, kdy jsou rizika pro subjekt údajů v souvislosti s předáváním jejich osobních údajů malá, nebo kdy nad právem subjektu údajů na soukromí převládají jiné zájmy (veřejné zájmy nebo zájmy samotného subjektu údajů). V žádném případě by se výjimky neměly použít pro předávání osobních údajů, které lze kvalifikovat jako opakované nebo hromadné (např. pro předávání v rámci cloudu nebo velkých personálních databází apod.).
Rozsah výjimek, které nařízení upravuje, vzbuzuje do jisté míry obavu, že při relativně malém využívání „regulovaných“ způsobů předávání údajů, se stanou výjimky v praxi spíše pravidlem. Pokud by navíc nebyl nastaven účinný systém dohledu nad využíváním výjimek ze strany správců, mohly by se výjimky stát běžně užívaným pravidlem, přičemž by dozorové úřady ztratily jakýkoliv přehled o způsobech jejich využití a množství předávaných osobních údajů. Takový stav by pravděpodobně nenaplňoval smysl právní úpravy nařízení, kterým je účinná ochrana fyzických osob v souvislosti se zpracováním (předáváním) jejich osobních údajů. Nařízení výslovně nestanoví povinnost podrobit předávání realizované na základě aplikace některé z tzv. výjimek, schvalovací proceduře, a proto bude na národní úpravě jednotlivých členských zemí, zda taková předávání předběžnému dozoru podrobí či nikoliv, případně jaké procesní řízení pro takový dozor zvolí.
Závěr
Na úplný závěr lze pouze konstatovat, že institut předávání osobních údajů mimo EU v současnosti doznává určitých změn, kterým by měli alespoň ti správci, kteří osobní údaje do zemí mimo EU předávají, věnovat náležitou pozornost. Vzhledem k tomu, že mechanizmů, na základě kterých lze takovéto přeshraniční transfery osobních údajů provádět je celá řada a v praxi tento speciálně upravený způsob zpracování osobních údajů činí nemalé potíže, lze správcům jen doporučit, aby danou problematiku nepodceňovali. GDPR navíc stanoví poměrně velké sankce za nedodržení pravidel v oblasti přeshraničního předávání, a sice až do výše 20 000 000 EUR, nebo jedná-li se o podnik, až do výše 4% celkového ročního obratu.
* Mgr. David Burian je zaměstnancem Úřadu pro ochranu osobních údajů a Mgr. Zuzana Radičová je zaměstnaná jako právník/compliance v Raiffeisen stavební spořitelně, a.s. Příspěvek vyjadřuje osobní názory autorů, nikoliv jejich zaměstnavatelů.
[1] Jedná se o návrh nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o voleném pohybu těchto údajů (obecné nařízení o ochraně osobních údajů), které má nahradit zatím platnou směrnici Evropského parlamentu a Rady 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.
[2] Tento článek navazuje na článek autorů vydaný dne 25. 2. 2016 v Právním prostoru, v němž jsou obsaženy základní informace ohledně GDRP.
[3] O předávání osobních údajů do třetích zemí hovoříme tehdy, pokud jsou osobní údaje předávány mimo prostor EU, resp., mimo Evropský hospodářský prostor. Součástí EHP jsou i státy stojící mimo EU - Island, Lichtenštejnsko a Norsko, které jsou rovněž považovány za země poskytující odpovídající úroveň ochrany.
[4] Jedním z takových závazků může být především podpis a ratifikace Úmluvy o ochraně osob se zřetelem na automatizované zpracování osobních údajů (Rada Evropy, ETS 108, 1981, dále jen „Úmluva 108“). Země, které podepsaly Úmluvu 108, případně její Dodatkový protokol č. 181 z 24. září 2004 jsou považovány v současné době za země, které poskytují odpovídající úroveň ochrany.
[5] Metodická hlediska pro hodnocení faktického standardu ochrany osobních údajů určitého státu vtělila WP 29 do pracovního dokumentu WP12. Dle této metodologie se každá analýza odpovídající úrovně ochrany údajů zakládá na zkoumání dvou základních prvků. Jednak se jedná o obsahové zásady a jednak o procesní mechanismy sloužící k vynucování těchto standardů.
[6] Doposud přijala Komise rozhodnutí týkající se odpovídající úrovně ochrany osobních údajů v zemích: Argentina, Faerské ostrovy, Guernsey, Izrael, Jersey, ostrov Man, Švýcarsko, Kanada, Nový Zéland, Uruguayská východní republika. Donedávna se k nim řadilo i rozhodnutí Komise o Safe Harbour, které zrušil dne 6. října 2015 ESD svým rozsudkem ve věci C-362/14.
[7] Standardní smluvní doložky byly konkrétně zavedeny rozhodnutím Komise 2001/497/ES ze dne 15. června 2001, rozhodnutím Komise 2004/915/ES ze dne 27. prosince 2004, rozhodnutím Komise 2010/87/EU ze dne 5. února 2010.
[8] K oblasti standardních smluvních doložek srov. Morávek, J. a Burian, D. Předávání osobních údajů do zahraničí, česká a evropská právní úprava, otázky a odpovědi, Linde, 2012
[9] Právní úprava tzv. výjimek ze zásady odpovídající úrovně ochrany, je v zákoně č. 101/2000 Sb., upravena v § 27 odst. 3.
[10] Podrobněji se tématu aplikace článků 25 a 26 směrnice 95/46/ES věnuje Pracovní dokument WP 12: Přenos osobních údajů do třetích zemí: provádění článků 25 a 26 směrnice EU o ochraně údajů, ze dne 24. července.
[11] Autoři vycházejí z verze návrhu nařízení v podobě politické dohody ze dne 28. ledna 2016 č. 5455/16.
[12] Čl. 16 Smlouvy o fungování Evropské unie (SFEU).
[13] Za samoregulační nástroje můžeme označit závazná podniková pravidla, schválené etické kodexy a certifikační mechanismy, pokud bude jejich nedílnou součástí závazek příjemce ve třetí zemi použít vhodná ochranná opatření a také různé formy schválených smluvních doložek. Obecně lze říci, že samoregulační nástroje pro předávání údajů do třetích zemí v podstatě vyžadují, aby správce osobních údajů přijal přímou odpovědnost za zajištění bezpečnosti předávaných údajů a případně i za další související předání těchto údajů. Kvalita samoregulačního nástroje se odvíjí především od míry vymahatelnosti jím zavedených pravidel a závaznosti jejich dodržování.
[14] Dle definičního ustanovení nařízení se pojmem mezinárodní organizací rozumí „mezinárodní organizace a subjekty mezinárodního práva veřejného, které jsou jí podřízeny, nebo jiný subjekt zřízený dohodou mezi dvěma nebo více zeměmi nebo na jejím základě“.
[15] Rozsudek ve věci C-362/14 Maximillian Schrems v. Data Protection Commissioner ze dne 6. října 2015, kterým bylo zrušeno rozhodnutí Komise 2000/520/ES ze dne 26. července 2000 o bezpečném přístavu (Safe Harbor).
[16] Rozhodnutí Komise 2000/520/ES ze dne 26. července 2000 o odpovídající ochraně poskytované podle zásad „bezpečného přístavu“ (Safe Harbor) se od ostatních rozhodnutí Komise týkající se odpovídající úrovně ochrany liší v tom smyslu, že se neopírá o posouzení obecného práva USA o ochraně osobních údajů, a neplatí tedy obecně na celou zemi. Místo toho se vztahuje na systém bezpečného přístavu, do kterého se dobrovolně hlásí společnosti, které na sebe přebírají, nad rámec práva USA, další závazky o ochraně osobních údajů.
[17] Rozsudek ve věci C-362/14 Maximillian Schrems v. Data Protection Commissioner ze dne 6. října 2015.
[18] Na obecný nešvar přístupu americké administrativy k datům upozornil i ESD, když ve svém rozsudku ve věci Schrems konstatoval, opíraje se o sdělení Komise EP a Radě z 27. 11. 2013, že „řada právních základů v rámci amerického práva umožňuje rozsáhlé shromažďování a zpracování osobních údajů, které jsou uchovávány nebo jinak zpracovávány společnostmi v USA. Rozsáhlost těchto údajů může vést k tomu, že údaje předané podle zásad bezpečného přístavu budou zpřístupněny a dále zpracovávány americkými orgány nad rámec toho, co je nezbytně nutné a přiměřené pro ochranu bezpečnosti státu“.
[19] Dne 29. února 2016 by zveřejněn tzv. Privacy Shield, který nahrazuje Safe Harbor. Privacy Shield je svou strukturou podobný původnímu Safe Harboru ale je obsáhlejší. USA poskytly EU řadu závazků a ujištění např. přísnější povinnosti pro podniky a jejich důslednější kontrola, omezení využití údajů ze strany veřejných orgánů USA, účinnější ochrana práv subjektů údajů, úřad ombudsmana pro vyřizování stížností apod. V době vzniku tohoto textu nebyla dohoda zatím platná.
[20] Tento fakt vyplývá z doporučení Komise ze dne 3. 2. 2016 Úřadu pro ochranu osobních údajů ze dne 22. října 2015.
[21] K oblasti BCR srov. Morávek, J. a Burian, D.: Předávání osobních údajů do zahraničí, česká a evropská právní úprava, otázky a odpovědi, Linde, 2012.
[22] Počet korporací, které se mohou prokázat schválenými podnikovými pravidly, je v současné době kolem 80 a několik dalších je ve schvalovacím procesu.
[23] Tato pracovní skupina byla zřízena podle článku 29 směrnice 95/46/ES v roce 1996, má poradní status a je složena ze zástupců vnitrostátních dozorových orgánů pro ochranu údajů, evropského inspektora ochrany údajů a zástupců Komise. Její úkoly jsou popsány v článku 30 směrnice a článku 15 směrnice 2002/58/ES.
[24] Jedná se o pracovní dokumenty WP 74, WP 107, WP 108(1), WP 133, WP 153, WP 154 a WP 155.
[25] Nařízení podobně jako směrnice upravuje některé výjimky, které se v praxi osvědčily a správci je velmi často používají. Jedná se konkrétně o výjimku na bázi „souhlasu“ a „splnění smlouvy uzavřené v zájmu subjektu údajů“. U prvně zmíněné výjimky je podle znění nařízení nejen nutné, aby subjekt údajů udělil výslovný souhlas, ale správce má rovně povinnost subjekt údajů informovat o možných rizicích, která pro něj v důsledku absence rozhodnutí o přiměřenosti a vhodných záruk vyplývají.
Diskuze k článku ()