Na základe mechanizmu „EU-US Privacy Shield“ totiž ešte donedávna dochádzalo k prenosom osobných údajov z EÚ do USA, a to úplne legálne. Až v júli 2020 rozhodol Súdny dvor EÚ, ako najvyšší európsky súd, o rozpore certifikačného mechanizmu so smernicou na ochranu osobných údajov (dnes už GDPR) a „EU-US Privacy Shield“ zrušil. Napriek tomu sa tok dát z EÚ do USA úplne nezastavil.
Čo sa deje s našimi osobnými údajmi?
Dôvodom rozhodnutia Súdneho dvora EÚ o zrušení mechanizmu „EU-US Privacy Shield“ bola a je existencia amerických federálnych predpisov ako napríklad FISA (Foreign Intelligence Surveillance Act), ktoré umožňujú prístup amerických orgánov (CIA, NSA a ďalšie) k údajom amerických poskytovateľov elektronických služieb a to vrátane metadát aj obsahu elektronickej komunikácie Európanov.
Tieto možnosti prístupu sú podľa Súdneho dvora EÚ príliš všeobecné, plošné a neproporcionálne, a to tak z pohľadu GDPR, ako aj z pohľadu základných ľudských práv a slobôd.
„EU-US Privacy Shield“ pritom využívali takmer všetky americké spoločnosti, vrátane technologických gigantov Google, Microsoft a Facebook. Google a Facebook zároveň pravidelne zverejňujú tzv. „transparency reports,“ podľa ktorých ročne vyhovejú desiatkam až stovkám tisíc žiadostí o prístup k údajom.
Ide aj o prípady, keď je odovzdaná kompletná história vrátane komunikácie konkrétneho účtu. Poižívateľ tak vôbec nemusí vedieť o tom, že históriu jeho komunikácie cez Facebook majú k dispozícii tajné zložky USA, ktoré môžu jej obsah použiť proti nemu, napríklad pri vstupe na územie USA.
Po zrušení „EU-US Privacy Shield“ prešla väčšina európskych spoločností na takzvané štandardné zmluvné doložky. Ak je takáto vzorová zmluva, schválená Európskou komisiou, uzatvorená, je možné vykonať prenos aj do neadekvátnej tretej krajiny. Takúto zmluvu má napríklad uzatvorenú americká spoločnosť Facebook, Inc. so sídlom v Kalifornii, s írskou spoločnosťou Facebook Limited, ktorá poskytuje služby Facebooku v Európe.
„Súdny dvor síce nezrušil doložky, ale povedal, že samotné doložky nemusia stačiť, ak je zrejmé, že sa ich obsah v tretej krajine nedodržiava plošne. Zmluvné doložky síce obsahujú veľmi prísne povinnosti a obmedzenia vo vzťahu k ďalším prenosom (napríklad k orgánom v tretej krajine) no tieto ustanovenia nie sú, a v prípade predpisov, ako je FISA, ani nemôžu byť v praxi dodržiavané,“ upozorňuje odborník na ochranu osobných údajov Jakub Berthoty z advokátskej kancelárie DAGITAL Legal.
„Samozrejme, európske spoločnosti by, po správnosti, nemali tieto prenosy vôbec umožňovať, ani využívať dané služby, ak vedia, že doložky v tretej krajine nie sú dodržiavané. Prakticky však často nemajú inú možnosť,“ dodáva J. Berthoty.
Členské štáty sa začínajú brániť
Pretrvávajúce obdobie právnej neistoty si riešia členské štáty EÚ po svojom. Niektoré národné dozorné orgány už začali presadzovať závery plynúce z rozhodnutia Súdneho dvora do praxe.
Predplaťte si TREND za najvýhodnejšiu cenu už od 1 € / týždeň
- Plný prístup k prémiovým článkom a archívu
- Prémiový prístup na weby Mediálne, TRENDreality a ENJOY
- Menej reklamy na TREND.sk
Máte už predplatné?