BezpečnosťManažmentOchrana osobných údajov/GDPRPrávo a legislatíva xa Publikované 12. novembra 2020 zobraziť celý profil

Užívatelia internetu si čoraz častejšie kladú otázky, čo sa deje s ich osobnými údajmi. Len veľmi málo ľudí dnes prekvapí, že osobné údaje neostávajú na Slovensku a dokonca ani v Európe. Na základe mechanizmu „EU-US Privacy Shield“ totiž ešte donedávna dochádzalo k prenosom osobných údajov z EÚ do USA a to úplne legálne.

Až v júli 2020 rozhodol Súdny dvor EÚ, ako najvyšší európsky súd, o rozpore certifikačného mechanizmu so smernicou na ochranu osobných údajov (dnes už GDPR) a „EU-US Privacy Shield“ zrušil. Napriek tomu sa ale tok dát z EÚ do USA úplne nezastavil.

Veľký brat zo zámoria

Dôvodom rozhodnutia Súdneho dvora EÚ o zrušení mechanizmu „EU-US Privacy Shield“ bola a je existencia amerických federálnych predpisov ako napríklad FISA (Foreign Intelligence Surveillance Act), ktoré umožňujú prístup amerických orgánov (CIA, NSA a ďalšie) k údajom amerických poskytovateľov elektronických služieb a to vrátane metadát aj obsahu elektronickej komunikácie Európanov. Tieto prístupy sú podľa Súdneho dvora EÚ príliš všeobecné, plošné a neproporcionálne a to tak z pohľadu GDPR, ako aj z pohľadu základných ľudských práv a slobôd. 

Facebook a Google ročne odovzdávajú kompletnú históriu údajov a komunikácie konkrétneho účtu

EU-US Privacy Shield“ pritom využívali takmer všetky americké spoločnosti, vrátane gigantov Google, Microsoft a Facebook. Google a Facebook zároveň pravidelne zverejňujú tzv. „transparency reports,“ podľa ktorých ročne vyhovejú desiatkam až stovkám tisíc žiadostí o prístup k údajom. Ide aj o prípady, kedy je odovzdaná kompletná história vrátane komunikácie konkrétneho účtu. Užívateľ tak vôbec nemusí vedieť o tom, že históriu jeho komunikácie cez Facebook majú k dispozícii tajné zložky USA, ktoré môžu jej obsah použiť proti danej osobe, napríklad pri vstupe na územie USA.

Po zrušení „EU-US Privacy Shield“ prešla väčšina európskych spoločností na tzv. štandardné zmluvné doložky

Ak je takáto vzorová zmluva, schválená Európskou komisiou, uzatvorená, je možné vykonať prenos aj do neadekvátnej tretej krajiny. Takúto zmluvu má napríklad uzatvorenú americká spoločnosť Facebook, Inc. so sídlom v Kalifornii, s írskou spoločnosťou Facebook Limited, ktorá poskytuje služby Facebooku v Európe. 

„Súdny dvor síce nezrušil doložky ale povedal, že samotné doložky nemusia stačiť, ak je zrejmé, že sa ich obsah v tretej nedodržiava plošne. Zmluvné doložky síce obsahujú veľmi prísne povinnosti a obmedzenia vo vzťahu k ďalším prenosom (napríklad k orgánom v tretej krajine) no tieto ustanovenia nie sú, a v prípade predpisov, ako je FISA, ani nemôžu byť v praxi dodržiavané,“ upozorňuje odborník na ochranu osobných údajov Jakub Berthoty z advokátskej kancelárie DAGITAL Legal. „Samozrejme, európske spoločnosti by, po správnosti, nemali tieto prenosy vôbec umožňovať, ani využívať dané služby, ak vedia, že doložky v tretej krajine nie sú dodržiavané. Prakticky však často nemajú inú možnosť,“ dodáva Jakub Berthoty.

Členské štáty začali proti únikom dát podnikať kroky

Pretrvávajúce obdobie právnej neistoty si riešia členské štáty EÚ po svojom. Niektoré národné dozorné orgány už začali presadzovať závery plynúce z rozhodnutia Súdneho dvora do praxe. Ešte v septembri priniesol Wall Street Journal informáciu o tom, že írsky dozorný orgán predbežne zakázal Facebooku prenášať osobné údaje do USA. V tejto súvislosti dokonca Facebook pohrozil, že zvažuje ukončenie poskytovania služieb v Európe. Podobné hrozby však zaznievajú často a k ich realizácii nie je ekonomický dôvod. 

Nemecké dozorné orgány v októbri konštatovali, že zmluva o spracúvaní údajov Microsoftom, ktorú má uzatvorenú každý firemný používateľ balíka služieb 365 Office, nespĺňa náležitosti podľa čl. 28 GDPR. Vo Francúzsku zas dozorný orgán (CNIL) žiadal súd pozastaviť používanie „Azure Cloud“, využívaného na uchovávanie citlivých dát v rámci národného „Health Data Hub“ a to aj napriek skutočnosti, že cloud bol centralizovaný v Holandsku. Na rovnakej službe pritom operuje aj verejná časť slovenského vládneho cloudu. Francúzsky najvyšší správny súd rozhodol, že dáta môžu zostať v Microsofte, ak spoločnosť zmluvne garantuje, že nebudú prenesené do USA.

Neochota ustúpiť a prispôsobiť sa legislatíve EÚ 

V súčasnej situácii sa komplexné riešenie hľadá len veľmi ťažko, keďže dostupné alternatívy znamenajú buď zmeny v legislatíve USA na federálnej úrovni, alebo výrazné obmedzenia ziskov amerických firiem. 

„Ideálne by bolo, aby Spojené štáty získali status adekvátnosti, zavedením niečoho ako GDPR na federálnej úrovni, čo ale nepovažujem v blízkej budúcnosti za reálne. Alternatívou je oddelenie serverov a držanie dát spadajúcich pod GDPR v Európskom hospodárskom priestore. To však znamená náklady na implementáciu, nižšie zisky, menej dát a tým pádom aj menej presné služby, cielenie a analytiky. Otázka ale je či to americkým firmám nestojí za väčšiu dôveru európskych užívateľov. Iné možnosti aktuálne na stole nie sú,“ sumarizuje advokát Jakub Berthoty z DAGITAL Legal.

Slová podpredsedníčky Margrethe Vestager ale naznačujú, že Európska komisia pripravuje nové riešenie, ktoré by mohlo byť známe ešte do konca roka 2020. „Moji kolegovia Vera Jourová a Didiers Reynders pracujú veľmi tvrdo na tom, aby existovali štandardné zmluvné doložky, aspoň ako dočasné riešenie. Sú veľmi ambiciózni a dúfajú, že vedia byť prijaté pred Vianocami, pretože aktuálna situácia je neudržateľná,“ uviedla koncom septembra Vestager. 

Odborník na GDPR, Jakub Berthoty je však skeptický: „Na nové doložky v režime GDPR čakáme márne od mája 2018. To znamená, že Komisia mešká už viac ako 2, respektíve 4 roky, ak zoberieme do úvahy, že GDPR bolo prijaté ešte v roku 2016. Aj keď sú nové doložky potrebné, neviem si predstaviť, ako vyriešia problém prenosov do USA. Určite nepôjde o dlhodobé riešenie. Tým by bolo zmluvne prinútiť americké spoločnosti nedodržiavať problematické predpisy v USA a príslušné orgány v ich domovskej krajine odkázať na bilaterálne dohody o právnej pomoci. To je cesta, ako sa zákonne dostať k dátam Európanov.“


O spoločnosti:

DAGITAL Legal je prvý právny butik na Slovensku výlučne zameraný na ochranu súkromia a technológií. Autorom a realizátorom myšlienky advokátskej kancelárie, úzko špecializovanej na oblasť súkromia a technológií, je Jakub Berthoty, ktorý je v odborných kruhoch považovaný za veľkú autoritu. Advokátska kancelária má vďaka hĺbkovým znalostiam, prvotriednym skúsenostiam a vlastnému know-how v portfóliu široké spektrum klientov, od začínajúcich startupov až po etablované a regulované inštitúcie.