Czech Republic: Přelomové rozhodnutí Soudního dvora EU přineslo konec volného předávání osobních údajů do USA na základě programu Safe Harbor
V rámci režimu „bezpečného přístavu“ (Safe Harbor), který byl v roce 2000 vytvořen rozhodnutím Evropské komise, bylo možné volně, bez nutnosti povolení Úřadu pro ochranu osobních údajů (ÚOOÚ), předávat osobní údaje z EU těm společnostem se sídlem v USA, které se dobrovolně přihlásily k zásadám ochrany soukromí a byly vedeny na seznamu „Safe Harbor List“. Soudní dvůr EU však toto rozhodnutí Evropské komise ve sporu mezi společností Facebook Ireland Ltd. a Edwardem Snowdenem, který zveřejnil informace o masivním celosvětovém sledování telefonů a elektronické komunikace ze strany bezpečnostních služeb USA, prohlásil za neplatné.
Zrušením bezpečného přístavu ztratilo USA své výsadní postavení v oblasti přeshraničního předávání osobních údajů, a nyní tedy podléhá stejnému režimu jako ostatní třetí země. Vzhledem k tomu, že „Safe Harbor“ představoval nejjednodušší způsob transferu dat do USA, má toto rozhodnutí Soudní dvora EU dalekosáhle důsledky nejen pro velké americké korporace, jakými jsou např. Google nebo provozovatelé cloudových řešení, ale zejména pro jejich evropské klienty. Problém spočívá zejména v tom, že největšími poskytovateli datových úložišť na globální úrovni jsou právě americké společnosti. Do doby, než dojde mezi Evropskou komisi a USA k uzavření nové dohody, bude potřeba realizovat předávání osobních údajů některým z následujících způsobů.
Prvním ze způsobů je zahrnutí standardní smluvní doložky do smlouvy, kterou se strana zaváže, že jí předávané osobní údaje do třetích zemí budou dostatečně chráněny před neoprávněnými zásahy, neboť sama doložka stanoví konkrétní povinnosti stran, rozsah odpovědnosti, způsob řešení sporů apod.
Druhý způsob představuje možnost přijmout závazná podniková pravidla (tzv. „binding corporate rules“). Jedná se o interní předpis, který platí pouze v rámci korporace působící ve více zemích EU. Zpravidla bude regulovat transfer informací o klientech či zaměstnancích společnosti. Proces přijetí těchto pravidel je však značně komplikovaný a navíc jejich znění musí odpovídat všem národním předpisům na ochranu osobních údajů těch zemí, kde má společnost pobočky.
V ostatních případech bude třeba požádat ÚOOÚ o vydání povolení k předání osobních údajů, přičemž musí být naplněn alespoň jeden z důvodů, které předpokládá zákon o ochraně osobních údajů, tj. zejména situace, kdy k předání osobních údajů dochází na základě souhlasu subjektů, situace, kdy je předání nezbytné pro uzavření smlouvy či případy, kdy to vyžaduje důležitý veřejný zájem.
Zdroj: rozhodnutí Soudního dvora EU ve věci Schrems v. Data Protection Commissioner (C-362/14), a zákon č. 101/2000 Sb., o ochraně osobních údajů