Je předávání osobních údajů do Spojených států bezpečné? Řada českých subjektů pravidelně předává osobní údaje do Spojených států. Jedná se zejména o společnosti s americkou matkou nebo užívající americké servery (např. při užívání amerických cloudových služeb). Ze všech zemí mimo Evropskou unii jsou to právě Spojené státy, kam z České republiky míří nejvíce osobních údajů.
Evropská komise nikdy nepřiznala Spojeným státům status země se srovnatelnou úrovní ochrany osobních údajů jako v Evropské unii. K předávání proto nejčastěji dochází na základě buď zapracování standardních smluvních doložek vydaných Evropskou komisí do smlouvy mezi českým správcem osobních údajů a jejich americkým příjemcem, nebo toho, že se americký příjemce veřejně zaváže dodržovat principy tzv. bezpečného přístavu (Safe Harbor) a zaregistruje se u amerického úřadu.
Koncept tzv. bezpečného přístavu je výsledkem kompromisní dohody mezi USA a EU, uzavřené za účelem usnadnění obchodu mezi oběma stranami Atlantiku a respektující „kulturní specifika“ ve vztahu k ochraně osobních údajů a soukromí celkově.
Ohrožený bezpečný přístav Situaci v posledních týdnech však zkomplikoval skandál ohledně „tajného“ amerického monitorovacího programu Prism. Informace o tom, že Spojené státy ve velkém monitorují soukromou komunikaci cizích, i evropských občanů, vyvolala v EU značné pozdvižení.
Diskuse o nutnosti přehodnotit pravidla pro předávání osobních údajů do USA tak na sebe nenechaly dlouho čekat. Trnem v oku se stal zejména režim bezpečného přístavu. Evropský parlament vyzval Evropskou komisi k přešetření záruk, které tento režim poskytuje, protože se ukázalo, že v něm byly registrovány i společnosti, které jsou zapojeny do programu Prism.
Ve vynášení konečných rozhodnutí jsou však všichni opatrní, ať jsou to národní regulátoři nebo evropská komisařka Viviane Redingová, která loni představila celou koncepci nového evropského nařízení o ochraně osobních údajů. Obchod s USA (a s ním spojené nezbytné sdílení údajů) je totiž pro EU klíčový a jeho omezení by poškodilo obě strany.
I český Úřad pro ochranu osobních údajů se tímto tématem intenzivně zabývá. Již v polovině června vyjádřil na svých webových stránkách „znepokojení“ nad informacemi o programu Prism, avšak žádné konkrétní pokyny nebo doporučení pro předávání údajů do USA nezveřejnil.
Opatrné Německo Přísnější postoj zaujalo Německo a lze očekávat, že se k němu přikloní i další státy. Konference německých komisařů pro ochranu osobních údajů zveřejnila v červenci tohoto roku tiskovou zprávu, dle které němečtí komisaři hodlají nevydávat další povolení pro předání osobních údajů do USA a přezkoumat, zda nepozastaví i transfery dat na základě programu bezpečného přístavu a standardních smluvních doložek. Důvodem je obava, že vzhledem k existenci programu Prism nejsou americké společnosti schopny garantovat přiměřenou úroveň ochrany údajů.
Němečtí ochránci osobních údajů zpochybňovali důvěryhodnost režimu bezpečného přístavu již dříve. A to tím, že začali požadovat, aby němečtí správci, kteří předávají osobní údaje americkým společnostem na základě registrace těchto společností v bezpečném přístavu, ověřovali, zda příjemci údajů skutečně dodržují pravidla bezpečného přístavu. Dle vyjádření komisařů v jednotlivých německých spolkových zemích hodlá většina úřadů prověřit stávající předávání osobních údajů do USA i nové žádosti a případně i blokovat nová či již zahájená předávání údajů. Je možné, že méně ostražitý přístup bude zaujat k předávání osobních údajů v rámci koncernu, a to s ohledem na to, že němečtí správci předávající osobní údaje spřízněným subjektům v USA mají dostatečné znalosti o způsobech zpracování údajů americkým příjemcem a také jistou míru kontroly nad jejich zpracováním.
I když přístup německých úřadů není přímo aplikovatelný v České republice, lze jej brát jako jisté vodítko k tomu, jaký postoj můžeme očekávat i od jiných evropských regulátorů, včetně toho českého.
Pokud jste tedy několik „kliků“ od předání osobních údajů svému americkému partnerovi, zvažte, zda si pro dané předání nevyžádat stanovisko Úřadu pro ochranu osobních údajů. Posouzení úřadu se totiž může lišit v závislosti na druhu osobních údajů, době, účelu jejich zpracování a předání do zahraničí, jakož i na povaze příjemce. Ačkoli takové stanovisko nebude právně závazné, může být vaším záchranným lanem, dojde-li k vyšetřování vašeho nakládání s údaji.
O autorovi| Karin Konstantinovová Lenka Koláriková • partner, Squire Sanders (na obrázku) • koncipientka, Squire Sanders
