Začátkem října podepsal prezident USA, Joe Biden, exekutivní příkaz k usnadnění předávání osobních údajů mezi EU a USA. Jedná se o první krok, který by měl obnovit spolupráci v této oblasti poté, co původní mechanismy byly zrušeny rozhodnutími Evropského soudního dvora (dále jen „ESD“). Jak se tato změna promítne do chodu evropských společností obchodujícími s protějšky v USA?
Původní režimy pro přenos dat „Safe Harbour“ a jeho nástupce „Privacy Shield“ schválené Evropskou komisí byly postupně prohlášeny za neplatné rozhodnutími ESD. Ve věci „Schrems I“. a „Schrems II“ namítal uživatel sociální sítě Facebook neoprávněné zasílání osobních dat na servery do USA. ESD mu dal za pravdu a poukázal především na nedostatečné zabezpečení dat, které nedosahuje standardů poskytovaných unijními předpisy, jako je nařízení GDPR nebo Listina základních práv EU. Jako problematické byly vyhodnoceny přístupy amerických zpravodajských služeb k těmto informacím.
Tyto nedostatky se v konečném důsledku promítly do dodatečných povinností pro společnosti z EU spolupracujících se společnostmi z USA. Problematika se ale dotýká i těch, kteří využívající cloudy korporací jako je Microsoft nebo Google k uložení dat svých zákazníků.
Na tomto místě je nezbytné zmínit, že aby data mohla být předána mimo prostor EU, musí být tento třetí stát označen Evropskou komisí jako bezpečný. Toto o USA po zmíněných rozsudcích ESD právě neplatí.
V případě nutnosti osobní údaje evropských občanů poskytnout americké společnosti je v současné době nutné uzavřít písemnou smlouvu. Lze využívat Standardní smluvní doložky (tzv. „SCCs“) vydávané Evropskou komisí, které představují smluvní vzor pro správce a příjemce dat ve třetím státě (a to v jejich aktuálním znění).
V rozhodnutí "Schrems II" uložil ESD společnostem další povinnosti: Pokud cílová země - jako například USA - provozuje sledovací programy, které jsou z hlediska právního státu sporné, samotné vzorové doložky nestačí.
Poskytovatelé údajů z EU musí přijmout další opatření na ochranu osobních údajů. To může například představovat účinné šifrování dat. Takové šifrování je technicky neslučitelné s mnoha cloudovými aplikacemi. Pro zpracování dat v cloudovém softwaru je nutné data dešifrovat, což je zase vystavuje technickému přístupu NSA a dalších zpravodajských služeb.
Americkým prezidentem schválený exekutivní příkaz je tedy reakcí na výše uvedené problémy a řada prvků v něm obsažená je totožná s právními zásadami v GDPR. Na řadě je nyní Komise EU, která bude přezkoumávat, zda je americký standard dostatečný.
Do té doby by správci a zpracovatelé osobních údajů z EU neměli využívat bez dalšího cloudové služby amerických společností, jinak se vystavují vysokým pokutám státních orgánů dohlížejících na ochranu osobních údajů. I v případě označení USA za bezpečnou zemi ve smyslu GDPR Komisí EU lze očekávat dříve či později další rozhodnutí ESD, který může mít znovu opačný názor než Komise. Možná nás tak čeká Schrems III.
