ochrana osobných údajov v USA

Kauza FACEBOOK: koniec ukladania európskych dát na servery v USA?

Súdny dvor Európskej únie včera rozhodol, že rozhodnutie Európskej komisie o primeranosti ochrany poskytovanej zásadami bezpečného prístavu, na základe ktorého dochádzalo k cezhraničnému prenosu osobných údajov do USA, je neplatné.

Prenos osobných údajov do tretích krajín, teda krajín mimo Európskeho hospodárskeho priestoru, je možné len vtedy, ak zariadenia, na ktorých sa údaje uchovávajú alebo inak spracúvajú, sa nachádzajú v krajinách, ktoré zaručujú primeranú úroveň ochrany. Ide o krajiny, o ktorých Európska komisia rozhodla, že poskytujú takúto primeranú úroveň ochrany.  Pokiaľ také podmienky nie sú splnené, je nutné, aby sám prevádzkovateľ zaistil zasielaným údajom primeranú ochranu, teda takú, ktorá bude v súlade so štandardami EÚ.

V uvedenom spore rakúsky študent práva Max Schrems spochybnil ochranu svojich osobných údajov poskytnutých FACEBOOK-u, ktoré sa prenášajú sčasti alebo v celom rozsahu z írskej dcérskej spoločnosti na servery, ktoré sa nachádzajú na území USA, kde sa spracúvajú. Tieto pochybnosti vyplývali z toho, že  právo a prax USA nezabezpečujú dostatočnú ochranu údajov prenesených do tejto krajiny pred činnosťami sledovania orgánov verejnej moci.

Systém “bezpečného prístavu” je aplikovateľný len na organizácie v USA, ktoré sa k tomuto systému prihlásili. Verejné orgány USA mu nie sú nijako podriadené a zásadám “bezpečného prístavu” nepodliehajú. Okrem toho tam, kde právo USA stanovuje povinnosti odporujúce zásadám “bezpečného prístavu”, musí americká organizácia takúto povinnosť rešpektovať. Prednosť majú predovšetkým požiadavky bezpečnosti štátu či verejného záujmu a americké organizácie nemôžu uplatňovať zásady “bezpečného prístavu”, ak sa ukážu ako nezlučiteľné práve s vnútroštátnou úpravou. Súdny dvor dospel k záveru, že v prípade osobných údajov zasielaných do USA, kedy verejné orgány môžu, a to bez akéhokoľvek rozlišovania, obmedzenie alebo výnimiek, k týmto dátam pristupovať a jednotlivec nemá možnosť sa právnou cestou účinne brániť, vyššie uvedené podmienky „bezpečného prístavu“ pre prenos osobných údajov do tretej krajiny nie sú splnené. Súdny dvor doplnil, že právnu úpravu umožňujúcu orgánom verejnej moci všeobecný prístup k obsahu elektronických komunikácií treba považovať za právnu úpravu, ktorá zasahuje do podstaty obsahu základného práva na rešpektovanie súkromného života.

Tento rozsudok má za následok, že írsky dozorný orgán je povinný rozhodnúť, či je podľa európskej smernice o ochrane osobných údajov potrebné zastaviť prenos údajov európskych používateľov FACEBOOKU do USA z dôvodu, že táto krajina nezaisťuje primeranú úroveň ochrany osobných údajov.

Toto rozhodnutie môže mať ďalekosiahle dôsledky pre viac ako 4 000 amerických firiem, nielen nadnárodných gigantov ako Facebook, Google, Amazon, ale aj malých podnikateľov a startupov, ktoré využívajú napríklad cloudové riešenia na serveroch v USA.

Pre slovenské spoločnosti, najmä dcérske firmy medzinárodných spoločností, ale aj iné firmy, ktoré majú svoje osobné údaje uložené na cloude v USA, to znamená, že uloženie osobných údajov na amerických serveroch tak ako boli doteraz, môže byť považované za porušenie práva na ochranu osobných údajov.

Slovenské spoločnosti ovplyvnené rozhodnutím musia teda svoj cezhraničný prenos osobných údajov do USA zosúladiť s požiadavkami § 31 zákona č. 122/2013 Z.z. o ochrane osobných údajov v platnom znení napríklad prijatím záruk vo forme inkorporácie štandardných zmluvných doložiek do zmluvy o cezhraničnom prenose alebo schválením záväzných vnútropodnikových pravidiel dozorným orgánom so sídlom v členskej krajine EÚ.

 

 

Tlačovú správu Súdneho dvora Európskej únie v plnom znení nájdete tu: http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117sk.pdf

Odporúčania Úrad na ochranu osobných údajov SR pre cezhraničný prenos osobných údajov nájdete tu: https://dataprotection.gov.sk/uoou/sk/content/prenos-do-krajin-nezarucujucich-primeranu-uroven-ochrany

 

 

Autor: JUDr. Lucia Semančínová