Pre rozmach medzinárodnej spolupráce a medzinárodného obchodu sú toky osobných údajov potrebným aspektom. Každý prenos osobných údajov sa však musí vykonávať len v úplnom súlade s Nariadením GDPR. Privacy Shield – dohoda EU s USA o transatlantickom prenose osobných údajov z Európskej únie do Spojených štátov amerických na komerčné účely, ešte donedávna umožňoval osobám, ktoré sa venujú ekonomickej činnosti, prenášať osobné údaje občanov EÚ do USA bez potreby splnenia ďalších bližších podmienok. Tento prenos údajov však dostal červenú.
Skomplikovanie situácie na základe podanej sťažnosti
Zlom nastal na základe podanej sťažnosti rakúskeho internetového aktivistu Maximiliana Schremsa, ktorý tvrdil, že írska dcérska spoločnosť svetovej sociálnej platformy – Facebook Ireland Ltd poskytuje osobné údaje jej používateľov do Spojených štátov amerických, kde sú ďalej spracúvané neprimeraným spôsobom. Komisia EÚ na to reagovala prijatím rozhodnutia, v rámci ktorého konštatovala, že posúdila opatrenia zo strany USA, a to tak, že zaviedla inštitút ombudsmana, a uviedla, že záruky nad právami dotknutých osôb sú v tomto prípade dostatočné. Sťažnosť M. Schremsa tak ostala zamietnutá.
Facebook nakoniec prišiel s vysvetlením, že osobné údaje sú prenášané na základe štandardných zmluvných doložiek, nie na základe rozhodnutia Komisie o primeranej ochrane. M. Schrems bol vyzvaný preformulovať svoju sťažnosť, v ktorej tentokrát argumentoval nedostačujúce záruky v rámci slabej ochrany osobných údajov pri prenose osobných údajov z EÚ do USA. Výsledkom niekoľko ročného sporu tak bolo rozhodnutie Súdneho dvora o zrušení Privacy Shield. Nezrušilo sa však rozhodnutie týkajúce sa štandardných zmluvných doložiek.
Štandardné zmluvné doložky
Štandardné zmluvné doložky sa považujú za doložky, ktoré poskytujú primerané záruky s ohľadom na ochranu súkromia a základných práv a slobôd jednotlivcov, pokiaľ ide o uplatnenie príslušných práv. Tieto doložky je možné zahrnúť do širšej zmluvy medzi sprostredkovateľom a ďalším sprostredkovateľom, alebo k nim pridať dodatočné záruky, ktoré nie sú v rozpore s doložkami, ktoré boli prijaté Komisiu EÚ, dozorným orgánom alebo sa nejakým spôsobom nedotýkajú základných práv dotknutých osôb.
Úroveň ochrany tretej krajiny by mala byť rovnocenná s Nariadením GDPR. Ak tretia krajina nezaručuje primeranú ochranu osobných údajov a dozorný orgán sa domnieva, že doložky nie sú, alebo nemôžu byť dodržané, prenos osobných údajov do takejto tretej krajiny je dozorný orgán povinný pozastaviť alebo úplne zakázať.
Vyjadrenie niektorých zo spoločností k problematike
Google prostredníctvom oficiálneho e-mailu informoval, že od dátumu 12.8.2020 upraví svoje užívateľské podmienky týkajúce sa analytických služieb a služby Google Ads tak, že prenosy osobných údajov do tretích krajín, ktoré boli doteraz zabezpečené prostredníctvom dohody EÚ s USA o transatlantickom prenose osobných údajov, budú zabezpečené na základe štandardných zmluvných doložiek.
Rozhodnutie súdu nezmenilo ani schopnosť prenosu osobných údajov medzi EÚ a USA pomocou cloudu Microsoft. Ten sa vyjadril, že už roky poskytuje zákazníkom prekrývajúcu sa ochranu v rámci už spomínaných štandardných zmluvných doložiek.
Aj samotný Facebook sa zaoberá dôsledkami rozhodnutia európskeho súdu. Eva Nagle, právna zástupkyňa spoločnosti Facebook uviedla, že starostlivo zvažujú dôsledky rozhodnutia Súdneho dvora, a v tejto súvislosti sa tešia na prípadné regulačné pokyny. Zároveň dodáva, že Facebook zabezpečí aby sa dáta naň zverejnené udržiavali v bezpečí.
Výsledok & odporúčania
Činnosť prenosu osobných údajov sa tak nezakazuje úplne. V tomto prípade sa však celá zodpovednosť presúva na prevádzkovateľa. Do zmlúv so sprostredkovateľmi je vhodné doplniť potrebné doložky, prípadne zvážiť výmenu spracovateľa. Nad rámec doložiek sa považuje aj doplnenie bezpečnostných záruk, napríklad prenos dát z USA späť na územie EÚ. Ako ďalšie minimálne riešenie je poučiť dotknuté osoby, ktoré osobné údaje sú spracúvané o rizikách prenosu ich osobných údajov do tretej krajiny. Do posúdenia by mali prevádzkovatelia zahrnúť aj metódy šifrovania a pseudonymizácie.
Sankcie
Spoločnosti, ktoré ešte donedávna využívali prenos osobných údajov na základe Privacy Shield, musia promptne posúdiť, či sú schopné zabezpečiť prenos na základe iného právneho mechanizmu, ako tomu bolo doteraz. V opačnom prípade sa vystavujú riziku uloženia pokuty až do výšky 20 000 000 EUR alebo do výšky zodpovedajúcej 4 % svojho celosvetového obratu, pričom sa uplatní vyššia z týchto súm.
Zdroje:
- https://blogs.microsoft.com/eupolicy/2020/07/16/assuring-customers-about-cross-border-data-flows/
- https://curia.europa.eu
- https://dataprotection.gov.sk/uoou/sk/content/stanovisko-k-privacy-shield
- https://www.reuters.com/article/us-facebook-privacy-eu-statement/facebook-studying-eu-court-ruling-on-data-transfer-idUSKCN24H1UN
- Nariadenie GDPR
