Filip Vlček: Evropské instituce mohou osobní data lidí sdílet s USA. Má to ale podmínky

Datové centrum (ilustrační foto)

Datové centrum (ilustrační foto) Zdroj: Jan Sedlak

Důležitost dat a informací pro současnou ekonomiku je neoddiskutovatelná. Zároveň ale Evropská unie přísně chrání osobní data, a to i v případě jejich vydávání do třetích zemí. Nedávný verdikt francouzského soudu přesto ukazuje, že dala lze například se zámořím sdílet a zároveň neporušit daná pravidla.

V červenci minulého roku vydal Soudní dvůr Evropské unie hojně diskutovaný rozsudek ve věci Schrems II, ve kterém označil takzvaný Privacy Shield, tedy právní rámec výměny osobních údajů mezi Evropskou unií a Spojenými státy americkými za neplatný. Unijním soudcům vadilo, že americké právní předpisy neposkytují datům úroveň ochrany rovnocennou s evropskou legislativou. Ačkoliv Komisí předepsané standardní doložky o ochraně osobních údajů pro předávání osobních údajů mimo EU Soudní dvůr ponechal v platnosti, nad výměnou dat mezi EU a Spojenými státy se od loňského léta vznáší spoustu otazníků.

Nedávné rozhodnutí vrcholného francouzského soudu ve věci InterHop však potvrzuje, že i přes přísné požadavky unijní justice je výměna údajů mezi Evropskou unií a Spojenými státy i nadále možná.

Březnové usnesení francouzské Conseil d’État, která mimo jiné plní funkci nejvyššího správního soudu, je jedním z prvních rozhodnutí vnitrostátního soudu členského státu EU, které z rozsudku Schrems II přímo vychází. Zástupci zdravotních asociací a odborů se domáhali přerušení spolupráce mezi francouzským ministerstvem zdravotnictví a soukromou společností, která pro ministerstvo zdravotnictví zajišťuje rezervační systém na očkování. Žalobcům zejména vadilo, že tato společnost uchovává data u dceřiné společnosti americké AWS, jež patří pod gigant Amazon.

Soud ve výsledku konstatoval, že předávané údaje neobsahují údaje o zdravotním stavu očkovaných, nýbrž toliko termíny očkování spolu s uvedením osob, které v nich mají být naočkovány. Navíc údaje jsou buď automaticky vymazány nejpozději tři měsíce po termínu očkování, nebo přímo očkovanou osobou prostřednictvím online portálu. Dohoda o spolupráci také předepisuje přesný postup, na jehož základě je orgánům veřejné moci umožněn přístup k ukládaným údajům, existovalo-li by podezření na nesoulad s unijní legislativou. V neposlední řadě pak soudci ocenili skutečnost, že jsou osobní údaje zabezpečeny prostřednictvím šifrování důvěryhodnou třetí stranou se sídlem ve Francii.

Výše uvedená opatření je tak v daném případě možné označit za zajištění vymahatelných práv a účinné právní ochrany fyzických osob. Právě ty tak může být vhodné kombinovat s dalšími zárukami, například se standardními doložkami o ochraně osobních údajů. Tyto doložky jsou po rozhodnutí Schrems II pravděpodobně nejpoužívanějším a ve většině případů nejefektivnějším právním základem pro předání osobních údajů do USA.

Jakkoliv je rozhodnutí důležitým milníkem pro vývoj vnitrostátní judikatury členských států v návaznosti na loňský rozsudek ve věci Schrems II, nelze jej považovat za nikterak překvapivé. Soudní dvůr dal již loni jasně najevo, že budou-li transatlantické smlouvy o zpracování osobních údajů obsahovat dostatečná právní a technologická opatření a budou poskytnuty vhodné záruky, výměně dat mezi oběma kontinenty nic nebrání. nedávné rozhodnutí francouzského soudu tento závěr potvrzuje a zároveň ukazuje konkrétní nástroje, jak požadavky dané unijní regulací naplnit. Je však nutno dodat, že vzhledem k tomu, že rozhodnutím byl toliko zamítnut návrh na vydání francouzského ekvivalentu předběžného opatření, jeho „precedenční“ charakter pro budoucí vývoj judikatury nejen ve Francii zůstává nejistý.