Čo sa varí v legislatívnej kuchyni Európskej únie? Všeobecné nariadenie o ochrane osobných údajov a vývoj po zneplatnení zásad Bezpečného prístavu
V októbri 2015 prijal Súdny dvor EÚ rozhodnutie v prípade Schrems, ktoré prinieslo živú diskusiu v súvislosti s prenosom osobných údajov občanov Európskej únie do USA. Rozhodnutie Komisie o tzv. Bezpečnom prístave („Safe Harbour“), na základe ktorého bolo možné transferovať osobné údaje bolo vyhlásené za neplatné. Bezpečný prístav deklaroval pre americké spoločnosti, ktoré k nemu pristúpili, režim prenosov s tzv. primeranou úrovňou ochrany. To však už v súčasnosti vo svetle rozhodnutia Súdneho dvora EÚ neplatí. Aké dopady má rozhodnutie v praxi a čo bude nasledovať ďalej?
Loptička je teraz na strane spoločností...
Spoločnosti, ktoré prenášajú osobné údaje do USA (napr. svojim materským spoločnostiam), by mali v súvislosti s neplatnosťou Safe Harbour zbystriť pozornosť. Ak totiž doposiaľ vykonávali prenos osobných údajov do USA na základe zásad Bezpečného prístavu, mali by čím skôr:
- zanalyzovať aktuálne cezhraničné toky osobných údajov, ktoré uskutočňujú;
- zrevidovať interné politiky ochrany osobných údajov postavené na zásadách Bezpečného prístavu;
- zrevidovať zmluvné dojednania, na základe ktorých dochádza k cezhraničnému prenosu osobných údajov;
- prehodnotiť prípadnú potrebu ingerencie (súhlasu) Úradu na ochranu osobných údajov a/alebo
- zrevidovať existujúce súhlasy so spracúvaním osobných údajov.
V súvislosti s nemožnosťou ďalšieho použitia zásad Bezpečného prístavu majú však prevádzkovatelia stále alternatívne inštitúty na prenos osobných údajov do USA, a to najmä:
- štandardné zmluvné doložky;
- záväzné vnútropodnikové pravidlá;
- súhlas s prenosom osobných údajov.
Každý z mechanizmov prenosu predstavuje odlišný stupeň administratívnej náročnosti, časového a finančného nákladu na implementáciu naprieč korporáciou:
Tabuľka č. 1: Porovnanie vybraných alternatívnych nástrojov na prenos osobných údajov do tretích krajín
*Predovšetkým pri väčších spoločnostiach, ktoré spracúvajú osobné údaje väčšieho počtu dotknutých osôb (napr. subjekty pôsobiace vo finančnom a bankovom sektore, spoločnosti spravujúce tzv. big data a pod.)
Javí sa však, že z dlhodobého hľadiska sa spoločnosti nebudú môcť s istotou spoliehať ani na štandardné zmluvné doložky a záväzné vnútropodnikové pravidlá. Otázka, či tieto naďalej ostanú relevantnými právnymi mechanizmami cezhraničného prenosu osobných údajov je totiž v súčasnosti predmetom posudzovania na úrovni Európskej únie. Konečné stanovisko by sme sa mali dozvedieť na konci apríla tohto roka.
Čaká nás bezpečný prístav II?
Vzhľadom na neplatnosť zásad Bezpečného prístavu sa Európska komisia a Spojené štáty americké zhodli na novom rámci pre prenos osobných údajov, označenom ako tzv. štít súkromia („EU-U.S. Privacy Shield”). Vzájomná dohoda by mala zahŕňať predovšetkým:
- a) sprísnenie povinnosti chrániť osobné údaje na strane amerických spoločností;
- b) záruky a transparentnosť vo vzťahu k prístupu amerických vládnych síl k osobným údajom;
- c) efektívnejšiu ochranu práv občanov Európskej únie.
Prijatie sa očakáva v priebehu nasledujúcich troch mesiacov a Komisia má okrem iného počas tohto obdobia posúdiť aj účinky prijatých zmien na alternatívne možnosti prenosu dát – štandardné zmluvné doložky a vnútropodnikové pravidlá.
Nový celoeurópsky právny rámec ochrany osobných údajov – „Všeobecné nariadenie o ochrane osobných údajov“
Pred viac ako štyrmi rokmi bol predložený návrh nového spoločného právneho rámca ochrany osobných údajov,[1] ktorý má docieliť jednotnú právnu úpravu naprieč celou Európskou úniou. Finálne schválenie znenia Nariadenia sa očakáva v druhom kvartáli 2016. Na jeho implementáciu by členské štáty mali mať následne obdobie približne dvoch rokov.
Aké zmeny môžeme očakávať s príchodom Nariadenia? Ide najmä o:
- rozšírenie teritoriálnej pôsobnosti aj na spoločnosti, ktoré majú sídlo mimo EÚ (postačuje aj iba „virtuálna prítomnosť“);
- zavedenie nových pravidiel v súvislosti s vymenovaním zodpovednej osoby (tzv. „Data Protection Officer“);
- potrebu posudzovania dopadov na ochranu osobných údajov (tzv. „Data Protection Impact Assessment“);
- zavedenie oznamovania porušení zásad bezpečnosti dozornému orgánu (do 72 hodín);
- zavedenie zásad tzv. „Privacy by design“ a „Privacy by default“ (pri každom internom opatrení v spoločnosti by sa mal zvážiť jeho dopad na osobné údaje);
- podstatne vyššie administratívnych sankcií (2-4% celosvetového obratu, až do výšky 20 miliónov Eur); a ďalšie.
Akú „domácu úlohu“ majú teraz (nielen medzinárodné) spoločnosti?
Aby sa ochrana osobných údajov nestala pre podnikateľov brzdou inovácií, je potrebné hľadať praktické a „biznisovo“ prijateľné riešenia. Každá korporácia by mala zvoliť čo možno najpragmatickejší prístup a individuálnu stratégiu ochrany osobných údajov v závislosti od konkrétnych rizík, ktoré jej hrozia ako aj jej prostredia a podnikateľského plánu.
Riziká v súvislosti s možným únikom dát alebo ich zneužitím je pritom potrebné vnímať aj z hľadiska reputačného rizika. A to predovšetkým u spoločností, kde vyhodnocovanie a analyzovanie dát tvorí primárnu podnikateľskú činnosť, resp. u spoločností so širším klientskym portfóliom (napr. spoločnosti pôsobiace v bankovom a finančnom sektore, poisťovníctve a pod.).
Nižšie uvádzame míľniky, ktoré by mali byť pre prevádzkovateľov kľúčovými pri definovaní stratégie ochrany osobných údajov:
Miroslava Terem Greštiaková,
Associate Partner
e-mail: mgrestiakova@deloittece.com
Lucia Batlová,
Senior Associate
e-mail: Lbaltova@deloittece.com
Digital Park II
Einsteinova 23
851 01 Bratislava
Tel.: +421 2 58 24 91 11
--------------------------------------------
[1] Návrh Nariadenia Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov („Všeobecné nariadenie o ochrane údajov“ alebo „Nariadenie“).
© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk