Program Privacy Shield oslavil jeden rok: Čím je a co přinesl?

13. listopad 2017  | 

Předávání osobních údajů do států mimo EU není možné bez dalšího. Jeho podmínky se řídí články 25 a 26 Směrnice 95/46/EC a dle nové úpravy se bude řídit články 43-50 Nařízení (EU) 2016/679 („GDPR“). V každodenní praxi je pravděpodobně nejdiskutovanějším tématem předávání osobních údajů uživatelů služeb informační společnosti do USA, které probíhá na základě rozhodnutí Komise o odpovídající ochraně. V současnosti je tímto rozhodnutím Prováděcí rozhodnutí Komise (EU) 2016/1250 ze dne 12. července 2016 o odpovídající úrovni ochrany poskytované štítem EU–USA na ochranu soukromí, jehož významu a dopadům je věnován tento článek.

Poté, co bylo 6. října 2015 rozsudkem Soudního dvora EU zrušeno rozhodnutí Komise o odpovídající ochraně poskytované podle zásad bezpečného přístavu („Safe Harbor“), bylo zapotřebí hledat nový právní podklad pro předávání osobních údajů občanů EU do USA. Tímto právním základem se stalo rozhodnutí Komise vydané na základě nově schváleného programu Privacy Shield, který se řídí v zásadě podobnými principy, jako předcházející program Safe Harbor. I tentokrát musí poskytovatel služeb, který se k účasti na programu přihlásí, pod dozorem Federálního ministerstva obchodu a Federální obchodní komise implementovat závazná podniková pravidla, odpovídající podmínkám programu.

Program Privacy Shield usiluje v prvé řadě o odstranění nedostatků předcházejícího programu Safe Harbor a o posílení ochrany osobních údajů koncových uživatelů, kteří využívají služby amerických společností nabízené na evropském trhu. V tomto ohledu lze považovat za přínos zejména transparentní vedení seznamu organizací zapojených do programu Privacy Shield Federálním ministerstvem obchodu a následnou kontrolu plnění podmínek programu, každoroční hodnocení fungování programu Privacy Shield za účasti Komise, Federálního ministerstva obchodu a Federální obchodní komise, zavedení odpovědnosti poskytovatele za předávání osobních údajů dalším stranám nebo zavedení institutu ombudsmana pro řešení stížností v oblasti zpracovávání osobních údajů americkými zpravodajskými službami.

Jako slibný se jeví i systém řešení stížností koncových uživatelů, kdy stěžovatel může svou stížnost podat buď u samotného poskytovatele služeb, s jehož postupem není spokojen, a tento poskytovatel je povinen stížnost vyřídit ve lhůtě 45 dnů, případně se může obrátit na orgán alternativního řešení sporů, který je poskytovatel služeb za tímto účelem povinen určit nebo podat stížnost buď přímo u Federální obchodní komise nebo prostřednictvím příslušného národního orgánu ochrany osobních údajů u Federálního ministerstva obchodu. Pro tyto mechanismy není určeno pevné pořadí, ve kterém by měly být uplatněny, a stěžovatel si tedy může vybrat, které z nich a v jakém pořadí uplatní. Dále byl ustaven arbitrážní panel nazvaný „Privacy Shield Panel,“ který slouží jako poslední instance při řešení těchto stížností a rozhodování sporů. Podání k tomuto arbitrážnímu panelu je však možné učinit až po vyčerpání všech výše popsaných možností.

Přes určité nedostatky, jakými jsou například chybějící definice některých klíčových pojmů, nezohlednění nadcházející reformy evropského práva na ochranu osobních údajů nebo nejasná právní povaha samotného programu Privacy Shield, představuje program Privacy Shield citelný pokrok v zajišťování přiměřené ochrany práv občanů EU při předávání jejich osobních údajů do USA.

Je však třeba mít na paměti, že program Privacy Shield nezaručuje shodnou úroveň ochrany osobních údajů jako právní úprava EU. Zejména je třeba vzít v úvahu, že v USA se neuplatní princip zákazu plošného uchovávání údajů, který definoval Soudní dvůr EU, a tento princip není zahrnut ani do programu Privacy Shield. Podobně není v rámci programu Privacy Shield věnována téměř žádná pozornost problematice ochrany fyzických osob před nepříznivými důsledky automatizovaného rozhodování. Dále je třeba upozornit i na nejasnou mezinárodněprávní povahu samotného programu Privacy Shield. Nejedná se o mezinárodní smlouvu ani o jiný pramen mezinárodního práva veřejného; celý program sestává ze série prohlášení a závazků ze strany různých orgánů veřejné moci USA, na jejichž základě Komise vydala příslušné rozhodnutí. Je však obtížné posoudit, do jaké míry jsou podmínky programu Privacy Shield závazné pro Spojené Státy jako takové a jakým způsobem (pokud vůbec) dopadají na ochranu osobních dat koncových uživatelů – občanů EU v případech, kdy jsou americké společnosti povinny poskytovat informace orgánům veřejné moci.

V září tohoto roku proběhlo první výroční hodnocení fungování programu Privacy Shield. Ačkoliv Komise shledala fungování programu v obecné rovině uspokojivým, je ze závěrečné zprávy, vydané 18. října tohoto roku, zřejmé, že jeho zavedení v současné podobě bylo jen prvním krokem k zajištění přiměřené ochrany práv občanů EU při předávání jejich osobních údajů do USA a že k zajištění skutečně efektivního fungování programu bude zapotřebí dalších kroků zejména v oblasti zajištění soustavné kontroly dodržování podmínek programu ze strany poskytovatelů služeb, adekvátní reakce na očekávané změny v americké vnitrostátní právní úpravě a zvyšování povědomí veřejnosti o možnostech řešení sporů mezi poskytovateli služeb a koncovými uživateli.

Autor: Mgr. Martina Černá, LL.M., koncipientka Kocián Šolc Balaštík

Naše newslettery

×