Doktrína ochrany osobných údajov sa od svojej poslednej podstatnej európskej právnej úpravy (smernica 95/46/ES) začína v tejto dekáde podstatne meniť a reflektovať novú spoločenskú realitu, ktorej dominujú informačné technológie a internet (GDPR).
Začiatky budovania konceptu ochrany osobných údajov
Kým v začiatkoch budovania právneho konceptu ochrany osobných údajov v povojnovom Nemecku, ktoré na vlastnej skúsenosti zažilo, aké nebezpečné vie byť, keď štát disponuje určitými kategóriami osobných údajov o svojich obyvateľoch, postačovalo obmedzovanie a minimalizácia spracúvaných údajov (napr. o rase a vierovyznaní), dnes je podstatným cieľom ľuďom vrátiť dôveru a kontrolu nad ich osobnými údajmi „rozlietanými“ po serveroch umiestnených v rôznych častiach sveta. Novým „highlightom“ tejto snahy je aj aktuálne prichádzajúci systém právnych záruk „Privacy Shield“, ktorý zaujíma postavenie svojho staršieho predchodcu „Safe Harbour“, ktorý bol zrušený v dôsledku rozsudku Súdneho dvora C-362/14 (Maximillian Schrems vs Data Protection Commissioner).
Pre niekoho, kto sleduje európske politiky formulované prostredníctvom aktov sekundárneho práva EÚ nie je prekvapivé, že sa do popredia stále viac dostáva aj problematika ochrany osobných údajov. Globálna digitálna ekonomika nevyhnutne spojená s cezhraničnými prenosmi osobných údajov totiž nedokáže fungovať bez osobných údajov jej aktérov (spotrebiteľov, objednávateľov, užívateľov, marketovaných cieľov…, „online“ fyzických osôb).
Maximillian Schrems vs Data Protection Commissioner
Vyhlásením súdneho rozhodnutia C-362/14 v podstate nastalo obdobie právnej neistoty a problémov pri vykonávaní cezhraničných prenosov k dovozcom osobných údajov usídlených v USA, ktorí boli certifikovaní pre systém „Safe Harbour“ trvajúce od 06.10. 2015 do 12. 07. 2016.
Rozsudok Európskeho súdneho dvora C-362/14 totiž zrušil rozhodnutie Európskej komisie, ktorým sa schválili jednoduché podmienky pre vykonávanie cezhraničného prenosu osobných údajov vo vzťahu k subjektom certifikovaným Federálnym ministerstvom obchodu USA pre systém „Safe Harbour“. V praxi to znamenalo, že na Slovensku sa prestalo aplikovať ustanovenie § 31 ods. 5 zákona o ochrane osobných údajov a slovenskí podnikatelia (spravidla prevádzkovatelia v postavení vývozcov osobných údajov) boli postavení častokrát pred ťažko uskutočniteľnú úlohu spočívajúcu v potrebe zabezpečenia novej kvality zmluvného vzťahu so svojim U.S. obchodným partnerom, do ktorého bolo potrebné inkorporovať správny typ štandardných zmluvných doložiek (existujú štyri typy) ustanovený v prílohe individuálneho rozhodnutia Európskej komisie alebo vytvorenia záväzných vnútropodnikových pravidiel (Binding Corporate Rules), ktoré by musel schváliť niektorý z dozorných orgánov v členskom štáte EÚ alebo získať tzv. predchádzajúci súhlas (prior authorization) dozorného orgánu pre individuálny cezhraničný prenos. Netreba pripomínať, že porušenie povinností spojených s vykonávaním cezhraničných prenosov do tretích krajín nezaručujúcich primeranú úroveň ochrany osobných údajov (i.e. aj do celých USA po zrušení systému „Safe Harbour“ pred jeho nahradením „Privacy Shieldom“), do ktorého sa dotknutí prevádzkovatelia dostali automaticky a prakticky zo dňa na deň, bolo považované ešte v polovici júla tohto roka za jeden z najzávažnejších správnych deliktov, za ktoré musí slovenský dozorný orgán povinne ukladať pokuty od 1000 EUR do 200.000 EUR.
Počas trvania stavu tejto administratívnej tortúry sa samozrejme rozbehla úradnícko-politická mašinéria, aby sme sa mohli opäť v podstate vrátiť k status quo pred rozhodnutím o prejudiciálnej otázke súdu vo veci sporu Maxa Schremmsa a írskeho dozorného orgánu na ochranu osobných údajov.
„Privacy Shield”
Aj napriek tomu, že celý kontext mal silno politický nádych (kauza Snowden, odpočúvanie EÚ inštitúcii, potreba zjednodušenia transatlantickej obchodnej výmeny a využívania IT služieb, príprava TTIP, prijatie GDPR atď.), fakticky došlo k minimálnym praktickým zmenám oproti „Safe Harbour“ systému. Hoci je „Privacy Shield“ oveľa komplexnejší a prepracovanejší systém právnych záruk a garancií doplnený o nové mechanizmy ich kontroly, pravidelného prehodnocovania a efektívnejšieho praktického uplatňovania, vrátane posilnenia postavenia dotknutej osoby princíp je rovnaký.
Americká spoločnosť sa zaregistruje na Federálnom ministerstve obchodu USA, zaviaže sa dodržiavať bilaterálne politicky dohodnuté podmienky medzi EÚ (Európskou komisiou) a U.S. vládou vyjadrené v tzv. rozhodnutí o primeranosti vydanom Európskou komisiou, ktoré pripomienkoval ten istý expertný orgán združujúci zástupcov európskych dozorných orgánov ako podmienky pre certifikáciu do „Safe Harbour“. Subjekt uchádzajúci sa o zápis od „Safe Harbour“ upraví svoje interné politiky, zaplatí USA poplatok a následne bude zapísaný do zoznamu „Privacy Shield“, ktorý je verejne dostupný na webe (rovnako ako bol „Safe Harbour“) a nemusia sa riešiť kontraktačné komplikácie so štandardnými zmluvnými doložkami alebo schvaľovaním BCR (binding corporate rules) (rovnako ako tomu bolo pri „Safe Harbour“).
Ak ste si náhodou mysleli, že americké spravodajské (tajné) služby a iné „law enforcement“ agentúry sa už nedostanú k Vašim osobným údajom spracúvaným subjektmi certifikovanými v „Privacy Shield“ (tak ľahko) ako v minulosti, tak ste sa mýlili. Avšak na základe Obamovho prejavu a prísľubov z januára 2014, ktorými v podstate reagoval a odsúdil celoplošný monitoring elektronickej komunikácie v rámci kauzy PRISM, došlo formou smernice prezidenta USA neskôr aspoň k zriadeniu funkcie „Senior Coordinator for International Information Technology Diplomacy“, ktorý bude plniť na účely „Privacy Shieldu“ v podstate funkciu ombudsmana pre občanov EÚ, ktorí by sa mohli cítiť z hľadiska práva na ochranu súkromia dotknutí praktikami tajných služieb alebo iných „law enforcement“ orgánov.
Veľkou výhodou „Privacy Shieldu“ oproti predchádzajúcemu systému záruk je možnosť dotknutej osoby obrátiť sa v prípade podozrení a pochybností o zákonnosti spracúvania jej osobných údajov v USA na svoj domovský dozorný orgán (napr. Úrad na ochranu osobných údajov SR), keďže rozsudok C-362/2014 jasne stanovil, že Európska komisia nemá právomoc obmedzovať právomoc dozorného orgánu zakázať cezhraničné prenosy osobných údajov do tretích krajín. Tieto intervenčné právomoci národných dozorných orgánov, ktoré vychádzajú zo smernice 95/46/ES sú veľmi cenné, keďže nové rozhodnutie o primeranosti ochrany osobných údajov, ktorým sa defacto zriaďuje systém „Privacy Shield“ obsahuje viacero garancií a právnych záruk, ktoré keď by boli zo strany orgánov verejnej moci USA porušované, môže dôjsť k efektívnemu zastaveniu toku osobných údajov, čo od istého rozsahu môže mať citeľný dopad smerujúci k vynucovaniu dohodnutých pravidiel, pričom nebude nevyhnutné sa spoliehať výlučne na Európsku komisiu.
Na druhej strane Atlantiku by malo byť zase kontrolované a vynucované dodržiavanie dohodnutých pravidiel certifikovanými subjektmi „Privacy Shieldu“ zo strany amerických orgánov ako je napr. Federal Trade Commission (niečo podobné ako obchodná inšpekcia a protimonopolný úrad dokopy), či Ministerstvo dopravy USA, pričom stály dohľad a monitorovanie certifikovaných subjektov bude zabezpečovať Federálne ministerstvo obchodu USA.
Určitú opatrnosť v prístupe EÚ k novému konceptu cezhraničných prenosov do USA možno badať aj v tom, že rozhodnutie Európskej komisie o primeranosti, ktorým sa zavádza akceptovanie systému „Privacy Shield“ obsahuje aj mechanizmus pravidelnej revízie dodržiavania právnych záruk a garancií „Privacy Shieldu“, či možnosť a podmienky odvolania tohto rozhodnutia o primeranosti.
Povinným subjektom, resp. vývozcom osobných údajov z EÚ do USA už v podstate stačí len počkať, kým sa zapíšu do systému „Privacy Shield“ ich obchodní partneri v postavení dovozcov osobných údajov v USA, pretože list certifikovaných subjektov je zatiaľ prázdny. Následne zostáva vyriešiť už len formálnu požiadavku slovenského zákona o ochrane osobných údajov na uzavretie jednoduchej zmluvy (§ 31 ods. 7), ktorá sa bude analogicky aplikovať aj na cezhraničné prenosy v rámci „Privacy Shieldu“. V tejto súvislosti nie je potrebné uzatvárať osobitnú (písomnú) zmluvu, ale postačuje ak dovozca osobných údajov v USA má vhodne nastavenú politiku ochrany súkromia („Privacy Policy“) alebo všeobecných obchodných podmienok „Terms of Conditions“, prípadne ak je to možné, tak sa táto úprava priamo zohľadní v individuálnej zmluve („Terms of Agreement“). Samozrejme pri cezhraničných prenosoch netreba tiež nikdy zabudnúť zabezpečiť vhodným a primeraným bezpečnostným opatrením faktický dátový prenos osobných údajov, ak je vedený cez verejne prístupnú počítačovú sieť (internet), pričom je vhodné využívať prostriedky šifrovacej ochrany informácií definované v bezpečnostnej dokumentácii konkrétnej firmy alebo prostriedky definované dovozcom údajov (napr. priame vkladanie údajov na server dovozcu cez zabezpečený komunikačný kanál – VPN, silné SSL apod.).
JUDr. Ondrej Zimen
Táto e-mailová adresa je chránená pred spamovacími robotmi. Na jej zobrazenie potrebujete mať nainštalovaný JavaScript.
