Osobné údaje Slovákov prúdia do USA
Používatelia internetu si čoraz viac kladú otázky, čo sa stane s ich osobnými informáciami. Len veľmi málo ľudí dnes bude prekvapených, že osobné údaje nezostávajú na Slovensku a dokonca ani v Európe. Na základe mechanizmu „Štít na ochranu súkromia medzi EÚ a USA“ donedávna sa osobné údaje prenášali z EÚ do USA úplne legálne. Až v júli 2020 rozhodol Súdny dvor EÚ ako najvyšší európsky súd o konflikte certifikačného mechanizmu so smernicou o ochrane údajov (dnes GDPR) a zrušil „štít na ochranu súkromia medzi EÚ a USA“. Tok údajov z EÚ do USA sa napriek tomu úplne nezastavil.
Veľký brat zo zámoria
Dôvodom rozhodnutia Súdneho dvora EÚ o zrušení mechanizmu štítu na ochranu súkromia medzi EÚ a USA bola a je existencia federálnych nariadení USA ako napr. FISA (zákon o zahraničnom spravodajstve)ktoré umožňujú orgánom USA (CIA, NSA a ďalšie) prístup k údajom od amerických poskytovateľov elektronických služieb vrátane metadát a obsahu elektronických komunikácií Európanov. Podľa Súdneho dvora EÚ sú tieto prístupy príliš všeobecné, rozšírené a neprimerané, a to tak z pohľadu GDPR, ako aj z hľadiska základných ľudských práv a slobôd.
„Štít na ochranu súkromia medzi EÚ a USA“ používali takmer všetky americké spoločnosti, vrátane gigantov Google, Microsoft a Facebook. Google a Facebook zároveň pravidelne vydávajú takzvané „Správy o transparentnosti“, podľa ktorých ročne vyhovejú desiatkam až stotisícom žiadostí o prístup k údajom. Existujú aj prípady, keď sa odovzdá úplná história vrátane komunikácie konkrétneho účtu. Používateľ nemusí vôbec vedieť, že história jeho komunikácie cez Facebook je k dispozícii tajným súborom USA.ktorá môže použiť jej obsah proti tejto osobe, napríklad pri vstupe na územie USA.
Po zrušení „štítu na ochranu súkromia medzi EÚ a USA“ prešla väčšina európskych spoločností na takzvané štandardné zmluvné doložky. Ak dôjde k uzavretiu takejto vzorovej zmluvy schválenej Európskou komisiou, je tiež možné previesť do neadekvátnej tretej krajiny. Napríklad americká spoločnosť Facebook, Inc. má takúto dohodu. so sídlom v Kalifornii s írskou spoločnosťou Facebook Limited, ktorá poskytuje služby Facebooku v Európe. „Súd síce doložky nezrušil, ale uviedol, že samotné doložky nemusia stačiť, ak je zrejmé, že ich obsah v tretej časti nie je vo všeobecnosti dodržovaný. Aj keď zmluvné doložky obsahujú veľmi prísne povinnosti a obmedzenia vo vzťahu k ďalším prevody (napríklad orgánom v tretej krajine), tieto ustanovenia nie sú nariadeniami, ako je FISA, a ani ich v praxi nemožno dodržať, “ upozorňuje expert na ochranu údajov Jakub Berthoty z advokátskej kancelárie DAGITAL Legal. „Samozrejme, európske spoločnosti by nemali oprávnene takéto prevody vôbec povoľovať ani využívať predmetné služby, ak vedia, že sa nedodržiavajú doložky v tretej krajine. V praxi však často nemajú na výber . “ dodal Jakub Berthoty.
Členské štáty prijali opatrenia proti úniku údajov
Prebiehajúce obdobie právnej neistoty riešia členské štáty EÚ samy. Niektoré vnútroštátne orgány dohľadu už začali uplatňovať nálezy rozsudku súdu v praxi. Priniesol ju späť v septembri Wall Street Journal informácie, ktoré Írsky dozorný orgán predbežne zakázal spoločnosti Facebook prenášať osobné informácie do USA. V tejto súvislosti Facebook dokonca hrozil uvažuje o ukončení poskytovania služieb v Európe. Podobné hrozby však často zaznievajú, ak na ich implementáciu neexistujú ekonomické dôvody.
V októbri nemecké dozorné orgány uviedli, že dohoda o spracovaní údajov spoločnosti Microsoft uzavretá každým podnikovým používateľom balíka Office 365 nespĺňa požiadavky čl. 28 GDPR. Vo Francúzsku sa dozorný orgán (CNIL) spýtal súdu pozastaviť používanie „Azure Cloud“, ktoré sa používajú na ukladanie citlivých údajov v rámci národného „centra údajov o zdraví“, a to napriek skutočnosti, že cloud bol centralizovaný v Holandsku. Na rovnakej službe funguje aj verejná služba slovenského vládneho cloudu. Francúzsky najvyšší správny súd rozhodol, že údaje môžu zostať v spoločnosti Microsoft, ak spoločnosť zmluvne zaručí, že nebudú prenesené do Spojených štátov.
Neochota ustúpiť a prispôsobiť sa právnym predpisom EÚ
V súčasnej situácii je ťažké nájsť komplexné riešenie Dostupné alternatívy znamenajú buď zmeny v legislatíve USA na federálnej úrovni, alebo významné obmedzenia ziskov spoločností v USA. „V ideálnom prípade by USA získali status adekvátnosti zavedením niečoho ako GDPR na federálnej úrovni, čo v blízkej budúcnosti nepovažujem za realistické. Alternatívou je oddelenie serverov a uchovávanie údajov GDPR v Európskom hospodárskom priestore. Avšak , To znamená náklady na implementáciu, nižšie zisky, menej dát a teda menej presných služieb, zamerania a analytiky. Otázkou však je, či pre európske spoločnosti nestojí za väčšiu dôveru pre americké spoločnosti. V súčasnosti nie sú k dispozícii žiadne ďalšie možnosti, “ sumarizuje právnik Jakub Berthoty z DAGITAL Legal.
Slová podpredsedníčky Margrethe Vestagerovej však naznačujú, že Európska komisia pripravuje nové riešenie, ktoré by mohlo byť známe do konca roku 2020. „Moji kolegovia Vera Jour a Didiers Reynders veľmi tvrdo pracujú na tom, aby zabezpečili existenciu štandardných zmluvných doložiek, minimálne ako dočasné riešenie. Sú veľmi ambiciózne a dúfajú, že budú prijaté pred Vianocami, pretože súčasná situácia je neudržateľná.“ uviedol Vestager koncom septembra.
Odborník na GDPR Jakub Berthoty je však skeptický: „Na nové doložky GDPR čakáme márne od mája 2018. To znamená, že Komisia meškala viac ako 2, respektíve 4 roky, vzhľadom na to, že GDPR bolo prijaté v roku 2016. Aj keď sú nové doložky potrebné, nemyslím si, že vedzte, predstavte si, ako vyriešia problém prevodov do USA. Určite to nebude dlhodobé riešenie. To by zmluvne prinútilo americké spoločnosti, aby nedodržiavali problematické právne predpisy USA, a odkázali príslušné orgány v ich domovskej krajine na dvojstranné právne To je spôsob, ako legálne získať prístup k údajom Európanov. ““
Značky: