ESD prohlásil štít EU-USA na ochranu soukromí za neplatný - Co rozhodnutí znamená pro provozovatele internetových stránek

Mario Steinberg Naposledy aktualizováno 21.10.2020
6 min.
Štít na ochranu soukromí ESD
Naposledy aktualizováno 21.10.2020

Dne 16.07.2020 prohlásil Evropský soudní dvůr (ESD) štít na ochranu soukromí za neúčinný. Tento rozsudek se mimo jiné vztahuje na všechny provozovatele webových stránek, kteří využívají služeb poskytovaných americkými společnostmi. V tomto článku vám vysvětlím, co pro vás verdikt znamená jako provozovatele webových stránek nebo agentury a co musíte udělat nyní.

Právní situace

Jakékoli zpracování údajů vyžaduje právní základ

Jakékoli zpracování osobních údajů vyžaduje právní základ (čl. GDPR). Hlavními právními základy webových stránek jsou:

  • Souhlas dotčené osoby (např. nastavení cookies);
  • splnění smluvního závazku (např. v případě e-shopů);
  • oprávněný zájem správce nebo provozovatele webových stránek (např. při odpovídání na e-mailové dotazy).

Souhlas se tradičně získává z webových stránek pomocí zaškrtávacího políčka. Nejlepším příkladem je banner cookie, pomocí kterého návštěvník webových stránek souhlasí s nastavením určitých souborů cookie (např. marketingových nebo sledovacích souborů cookie). Pokud se o tom chcete dovědět více, uvidíte v mém příspěvku "Cookie Banner – ale správně! Těchto 7 věcí, které byste měli věnovat pozornost" najít.

Výše uvedené právní základy se však týkají pouze skutečného zpracování údajů.

Další právní základ potřebný pro předávání údajů do mimoevropských zemí 

Pokud se zpracování údajů nemá uskutečňovat v EU, ale v mimoevropských zemích – tedy v takzvané třetí zemi –, je zapotřebí dalšího právního základu.

Tyto právní základy pro předávání osobních údajů do třetích zemí jsou uvedeny v článku 44 a násl. GDPR .

Zejména takzvaná rozhodnutí Evropské komise o odpovídající ochraně jsou relevantní pro provozovatele internetových stránek (článek 45 GDPR).

Tímto Komise rozhodne, že třetí země může zajistit odpovídající úroveň ochrany údajů a že osobní údaje třetí zemi mohou být předány.

Rozhodnutí o odpovídající ochraně byla v minulosti uzavřena s velkým počtem zemí, jako je Švýcarsko, Austrálie a Nový Zéland. 

Štít EU-USA na ochranu soukromí (Privacy Shield)

Štít na ochranu soukromí byl rozhodnutím Evropské komise o přiměřenosti předávání údajů do USA. Byla přijata v červenci 2016 a jen několik měsíců poté, co ESD zrušil dohodu o "bezpečném přístavu" (předchozí režim štítu na ochranu soukromí).  

V rámci štítu na ochranu soukromí se americké společnosti dobrovolně dohodly, že při zpracování osobních údajů z EU budou dodržovat určitou úroveň ochrany údajů. Po této certifikaci jim mohly být předány osobní údaje z EU.

Rozhodnutí ESD o štítu EU-USA na ochranu soukromí

Příčina rozsudku ESD byla žádost o rozhodnutí o předběžné otázce irského vrchního soudu, která byla založena na řízení rakouského aktivisty za ochranu údajů Maximiliana Schremse proti společnosti Facebook Ireland Ltd.

Esd ve svém rozsudku ze dne 16. července 2020 prohlásil štít na ochranu soukromí za neúčinný. Od nynějška jsou proto všechny přenosy osobních údajů z EU do USA, které byly dříve založeny na štítu na ochranu soukromí jako právním základu, nepřípustné.

To zní dramaticky - a také to je.

Důsledky rozhodnutí pro provozovatele internetových stránek

Téměř každá internetová stránka bude pravděpodobně ovlivněna důsledky rozsudku. Téměř každá webová stránka zpravidla integrovala alespoň jednu službu americké společnosti, která je poskytována nejen prostřednictvím evropských dceřiných společností (jako jsou Facebook Ireland Ltd. a Google Ireland Ltd.), ale také prostřednictvím příslušné mateřské společnosti v USA (např. Facebook Inc. a Google LLC).

U mnoha z těchto služeb jsou osobní údaje předávány do Spojených států (podle výchozího nastavení). Příklady těchto služeb jsou:

  • Služby Google, jako je Google Analytics, Google Maps nebo Google Fonts (pokud nejsou místně integrovány);
  • bulletinové služby (např. Mailchimp)
  • social media plugins (Facebook, Instagram, YouTube, Twitter atd.)
  • služby zálohování v cloudu;
  • řešení e-shopů.

Pokud provozovatel webových stránek správně nastavil své zásady ochrany osobních údajů, musela by pro každou službu, kde by mohlo dojít k přenosu údajů do USA, stát následující informace:

"Americká společnost XYZ také zpracovává vaše osobní údaje v USA a podrobila se štítu EU/USA na ochranu soukromí. Další informace o štítu na ochranu soukromí naleznete v tématu https://www.privacyshield.gov/EU-US-Framework.".

Možné alternativní právní základy pro předávání údajů

Dosavadní předávání údajů do USA na základě štítu na ochranu soukromí bude povoleno od nynějška nebo do doby, než bude stanoveno nové rozhodnutí Komise o odpovídající ochraně pouze tehdy, kdy mohou být založeny na jiném právním základě.

Jako takové přichází v úvahu::

Souhlas dotčené osoby

Právním základem pro provozovatele internetových stránek je především výslovný souhlas dotčené osoby (čl. 49 odst. 1 lit a GDPR). Podmínkou však je, že subjekt údajů byl informován o rizicích přenosu údajů před udělením souhlasu.

Předání k plnění zakázky

Je také možné, že předání osobních údajů do USA je nezbytné pro plnění smlouvy mezi subjektem údajů (návštěvníkem webových stránek) a správcem (provozovatelem webových stránek).

Avšak nestačí, že provozovatel webových stránek k plnění smlouvy využívat americké služby chce (např. americký plugin pro e-shop). Více je nutno, aby samotná smlouva byla navázána na USA. To znamená, bylo objednáno na americkém e-shopu.

Standardní smluvní doložky Evropské komise o ochraně údajů

Není příliš pravděpodobné, že by předávání osobních údajů do Spojených států bylo založeno na standardních ustanovení o ochraně údajů přijatých Evropskou komisí (čl. 46 od 2. lit. c GDPR).

Standardní smluvní doložky o ochraně údajů jsou vzorové smlouvy, které lze uzavřít mezi exportérem údajů se sídlem v EU a importérem údajů usazeným ve třetí zemi. Díky těmto údajům mimoevropský importér údajů zaručuje exportérovi údajů, že osobní údaje, které mu byly předány, jsou chráněny srovnatelnou úrovní ochrany GDPR.

Ve svém rozsudku o štítu EU-USA na ochranu soukromí ESD sice rozhodl, že obsah standardních doložek o ochraně údajů není sám o sobě terčem kritiky. Jejich dodržování však musí být účinně prosazováno i ve třetí zemi.

Zda je to skutečně možné s přenosy dat do USA se zdá být velmi pochybné. Evropský soudní dvůr prohlásil štít na ochranu soukromí za neplatný, mimo jiné proto, že občané EU nemají odpovídající právní ochranu před programy monitorování údajů orgánů USA. A tato situace bude pravděpodobně prakticky totožná v případě standardních doložek o ochraně údajů.

Z tohoto důvodu ESD ve svém rozsudku rovněž rozhodl, že orgány dozoru nad ochranou údajů jsou povinny pozastavit nebo zakázat předávání osobních údajů do třetí země na základě standardních doložek o ochraně údajů, pokud se domnívají, že standardní doložky o ochraně údajů ve třetí zemi nejsou dodržovány nebo nemohou být dodržovány. 

Lze proto očekávat, že předávání údajů do USA na základě standardních doložek o ochraně údajů budou orgány pro ochranu údajů zpochybněny a prohlášeny za nepřípustné.

Co musíte jako provozovatel webových stránek nyní udělat

Vzhledem k tomu, že jsou veškeré přenosy osobních údajů do Spojených států na základě štítu na ochranu soukromí nyní nepřípustné, by měli provozovatelé webových stránek provést následující opatření:

#1 Zvolit evropské servery

Některé americké společnosti nabízejí poskytování vašich služeb prostřednictvím evropských serverů. V takovém případě by provozovatelé internetových stránek měli vybrat evropský server.

#2 Získat souhlas dotčené osoby

Není-li volba evropského serveru možná, měl by být získán výslovný souhlas subjektu údajů s předáním jeho osobních údajů do USA. Tento souhlas by mohl být udělen prostřednictvím zaškrtávacího políčka, jako v případě souborů cookie.

Vzhledem k tomu, že každá webová stránka, která nastavuje soubory cookie, by měla mít banner se soubory cookie s příslušnými oznámeními a zaškrtávacími políčky pro nastavení jednotlivých souborů cookie, mohlo by to být doplněno dalšími (rizikovými) radami a zaškrtávacími políčky týkajícími se zamýšlených přenosů dat do USA. Stejně jako u každého zaškrtávacího políčka je samozřejmě třeba dbát na to, aby návštěvník webových stránek musel kliknout na zaškrtávací políčko sám (opt-in), protože předem aktivovaná zaškrtávací políčka (opt-out) jsou podle judikatury Spolkového soudního dvora nepřípustná.

Jedinou "nevýhodou" tohoto řešení je, že odpovídající služba nesmí být aktivní na webových stránkách, pokud není udělen souhlas.

Co to znamená, si krátce vysvětlíme na příkladě Google Fonts:

Někdy nejsou Google Fonts integrovány místně na webových stránkách, ale nahrají se až při otevření stránky webovým prohlížečem ze serverů Google. Pokud je tomu tak s americkým serverem Google, přenáší se data webového prohlížeče, tj. obobní údaje, na tento Google server ve Spojených státech.

Je již sporné, zda může být opětovné načtení písem Google vůbec založeno na oprávněném zájmu provozovatele webových stránek (osobně o tom mám velké pochybnosti), protože písma Google mohou být také integrována místně. Ale i kdyby byl tento oprávněný zájem přijat, byl by zapotřebí další právní základ pro přenos osobních údajů webového prohlížeče na americké servery Google. Dalším právním základem byl štít na ochranu soukromí. Vzhledem k tomu, že je to nyní neúčinné, vyžadovalo by to nyní souhlas návštěvníka webových stránek s opětovném načtením písem Google amerických serverů Google. Pokud to není uděleno, písma Google by neměla být znovu načtena.

Tím by měli být Google Fonts integrovány místně na webových stránkách nejpozději teď.

#3 Přizpůsobit zásady ochrany osobních údajů

Je důležité přizpůsobit prohlášení o ochraně údajů nové právní situaci.

Vzhledem k tomu, že zásady ochrany osobních údajů musí plně a správně odrážet zpracování osobních údajů, nestačí pouze vymazat předchozí informace o štítu na ochranu soukromí – alespoň pokud jsou příslušné služby stále používány.

Když je nyní ve skutečnosti přenos založen na souhlasu návštěvníka webových stránek, mělo by to být také uvedeno odpovídajícím způsobem. Kromě toho by v případě souhlasu bylo rovněž nezbytné prokázat rizika spojená s předáváním údajů do USA, totiž že osobní údaje předávané do USA jsou hodnoceny orgány USA v rámci programů amerického sledování údajů a že občané EU nemají v tomto ohledu vhodné možnosti právní ochrany.

Výhled

Poté, co ESD prohlásil dohodu o Pearl Harbor za neplatnou, trvalo Evropské komisi jen několik měsíců, než s USA vyjednala štít na ochranu soukromí.

Vzhledem k významu transatlantické výměny údajů, která by neměla být podceňována, nebude jistě trvat dlouho, než bude nalezeno nové nařízení a Evropská komise přijme nové rozhodnutí o odpovídající ochraně osobních údajů do Spojených států.

A pokud řeší obavy ESD a vytváří větší ochranu údajů pro občany EU v USA, je to také dobré pro provozovatele webových stránek.

Mario Steinberg je právník a odborný právník pro správní právo v advokátní kanceláři LIEB. Právníci. Jeho činnost se zaměřuje na právo na ochranu osobních údajů, právo it bezpečnosti a právo IT.

Podobné články

Komentáře k tomuto článku

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Povinná pole jsou označena *.