Předávání osobních údajů do USA provázejí problémy už od nepaměti. Na jedné straně existuje značná řevnivost mezi USA a Evropskou unií ohledně standardu ochrany osobních údajů, na druhé straně v USA má sídlo celá řada globálních korporací a mnoho dalších firem tam ukládá svá data nebo využívá služby, které američtí big-tech giganti poskytují. Bez předávání osobních dat do USA se současný byznys neobejde (a to zdaleka nejen v IT sektoru).
Problémy s tím byly již před nabytím účinnosti GDPR
Evropská unie se jim snažila čelit přijetím tzv. Safe Harbor, tedy zvláštního režimu ochrany osobních údajů předávaných do USA, k němuž se mohli podnikatelé přihlásit a tím dosáhnout dostatečné úrovně ochrany osobních údajů z hlediska evropské legislativy. Ten byl ovšem na základě žalob aktivistů soudním dvorem EU zrušen.
Po přijetí GDPR se EU pokusila o repete, v podobě takzvaného Privacy Shield, coby inovovaného režimu ochrany osobních údajů předávaných do USA, který měl nedostatky Safe Harbor napravit. I ten byl však soudním dvorem EU zrušen s odůvodněním, že neposkytuje dostatečnou míru ochrany osobních údajů před rozsáhlým sledováním, které umožňují americké zákony.
Po tomto rozhodnutí se řada podnikatelských subjektů rozhodla přejít na některý ze zbývajících režimů pro předávání osobních údajů do zemí mimo EHP, jako jsou standardní smluvní doložky či závazná podniková pravidla. Tím se však problém ve vztahu k USA nevyřešil. Je totiž zřejmé, že standardní smluvní doložky ani závazná podniková pravidla jako soukromoprávní (smluvní) instrumenty nemohou „přebít“ americkou legislativu umožňující plošné sledování občanů, a tedy důvod, pro který byl zrušen Privacy Shield, se vztahuje i na ně.
Evropská unie se pro tuto chvíli problému „zbavila“ elegantně - jak z rozsudku Soudního dvora, tak z výkladových materiálů k němu vyplývá, že je povinností správců osobních údajů, kteří předávají osobní data do USA, aby analyzovali dopad americké legislativy na předávané osobní údaje. Dojdou-li k závěru, že nedostatky v ochraně osobních údajů se týkají i standardních smluvních doložek nebo závazných podnikových pravidel, musí zastavit další předávání osobních údajů do USA.
Jelikož hlavním problémem je sledování elektronické komunikace dané kogentní americkou legislativou, je asi předem jasné, jak taková analýza může dopadnout. Výsledkem je, že v současnosti pravděpodobně neexistuje „bezpečný“ způsob předávání osobních údajů do USA, kromě sbírání informovaných souhlasů jednoho každého subjektu, jehož osobní údaje mají být takto předány, což je v běžné obchodní praxi přinejmenším nepraktické.
Evropská unie tak dlouhodobě zjevně není schopna přijít s žádným rozumným řešením a problém přesouvá na správce údajů, kteří ho ovšem z principu nemohou vyřešit, neboť jde o konflikt mezi evropskou a americkou legislativou. Podnikatelské subjekty po celé Evropě, které již byly nuceny utratit miliardy Eur za GDPR compliance, jsou tak nyní v pozici nahého v trní. Nezbývá, než důrazně požadovat na všech zúčastněných vládních orgánech na obou stranách Atlantského oceánu, aby namísto přesouvání odpovědnosti na podnikatelské subjekty neprodleně přijaly smysluplné legislativní řešení této velmi nešťastné situace, která představuje bezesporu jedno z největších regulatorních selhání od vstupu České republiky do Evropské unie.
JUDr. Ing. Michal Matějka je partnerem PRK Partners se specializací na právo informačních technologií,právo duševního a průmyslového vlastnictví, obchodní smluvní právo, mezinárodní obchod a řešení souvisejících sporů. Má rozsáhlé zkušenosti se zastupováním globálních a nadnárodních klientů v soudních, smluvních i regulatorních záležitostech, pravidelně přednáší v oblasti práva ICT a duševního vlastnictví na FIT ČVUT v Praze a Právnické fakultě UK a je také expertem pro řešení doménových sporů v UDRP a sporů o domény.cz a k tématům v rámci své specializace je autorem i několika publikací a článků v odborném tisku.
