Súdny dvor Európskej únie vyhlásil zásady ,,Bezpečného prístavu“ za neplatné
6. októbra 2015 SDEU vydal rozsudok v prípade ,,Schrems vs Facebook“, ktorým SDEU vyjadril názor, že osobné údaje európskych používateľov internetu nie sú dostatočne chránené proti prístupu amerických bezpečnostných služieb. Súčasne vyhlásil zásady ,,Bezpečného prístavu“, ktorý umožňoval zjednodušenie prenosu dát do Spojených štátov, za neplatné.
V roku 2013 rakúsky študent práva Max Schrems podal sťažnosť proti Írskemu Facebooku pre porušenie zákonov na ochranu informácii, argumentujúc, že Facebook v rámci režimu ,,Bezpečného prístavu“ automaticky prenáša všetky informácie do Spojených štátov.
Schrems v sťažnosti tvrdil, že prenos dát do Spojených štátov bez toho, aby vnútroštátne orgány v Európe overili, či Facebook v Spojených štátoch spĺňa európske štandardy na ochranu dát, je v rozpore s právom Európskej únie.
Najvyšší súd Írskej republiky považoval prípad ,,Schrems vs Facebook“ za rozhodujúci pre výklad práva Európskej únie a koncom septembra 2014 postúpil prípad na začatie prejudiciálneho konania Súdnemu dvoru Európskej únie (ďalej len „SDEU“), ktorý v tejto veci viedol súdne konanie pod spisovou značkou C-362/14.
SDEU pri rozhodovaní posudzoval súlad Rozhodnutia Komisie z 26. júla 2000 o súlade so smernicou Európskeho parlamentu a Rady 95/46/ES o primeranosti ochrany poskytovanej zásadami "Bezpečného prístavu" a súvisiacimi často kladenými otázkami vydanými Ministerstvom obchodu USA s právnymi predpismi Európskej únie. Zásady ,,Bezpečného prístavu“ boli založené na dohode vypracovanej Európskou úniou a Spojenými štátmi, ktorá zúčastneným americkým spoločnostiam zaisťovala možnosť „autocertifikácie“. Všetky takto certifikované spoločnosti, nachádzajúce sa na zozname ,,Bezpečného prístavu“ vlády Spojených štátov boli označené ako spoločnosti poskytujúce dostatočnú ochranu osobných údajov prenášaných z Európskej únie.
SDEU dospel k záveru, že americké spoločnosti neboli schopné poskytnúť dostatočný stupeň ochrany osobných dát a dňa 6. októbra 2015 a vyhlásil Rozhodnutie Komisie o podmienkach ,,Bezpečného prístavu“ za neplatné. SDEU konštatoval, že po odhaleniach Edwarda Snowdena už americké spoločnosti nie sú považované za ,,bezpečný prístav“ pre osobné informácie európskych užívateľov.
Ďalekosiahle dôsledky
Rozhodnutie SDEU má ďalekosiahle dôsledky pre spoločnosti v Spojených štátoch aj v Európe, ktoré vykonávajú Transatlantický prenos osobných údajov. Vnútroštátne orgány na ochranu údajov už nie sú pri prenose osobných údajov z Európskeho hospodárskeho priestoru do Spojených štátov viazané zásadami schémy ,,Bezpečného prístavu“. Orgány na ochranu údajov budú oprávnené prešetrovať prenos osobných dát založený na ,,Bezpečnom prístave“ a pokiaľ ide o prenosy, ktoré považujú za nevyhovujúce, môžu začať používať donucovacie prostriedky. V dôsledku tohto musia podniky prehodnotiť súčasné opatrenia pri prenose a zvážiť dostupné alternatívne mechanizmy na zabezpečenie súladu s právnymi predpismi.
Slovenské spoločnosti, ktoré využívali schému ,,Bezpečného prístavu“, by mali okamžite hľadať alternatívne možnosti zabezpečenia ochrany osobných údajov prenášaných do Spojených štátov. Keďže v tejto veci doteraz neexistuje stanovisko alebo nariadenie Úradu na ochranu osobných údajov Slovenskej republiky, prevádzkovateľom odporúčame uzavrieť tzv. Štandardné zmluvné podmienky Európskej únie (na základe rozhodnutia Európskej komisie č. 2001/497/EK a č. 2010/87/EU). Ak s prijímajúcim americkým subjektom nie je uzatvorená dohoda obsahujúca Štandardné zmluvné podmienky Európskej únie, prenos dát nie je možný bez toho, aby prevádzkovateľ so sídlom na území Slovenskej republiky vopred získal súhlas Úradu na ochranu osobných údajov.
Mgr. Peter Bartoš,
Associate
Ružička Csekes in association with members of CMS
Vysoká 2/B
811 06 Bratislava 1
Tel.: +421 2 32 33 34 44
Fax: +421 2 32 33 34 43
e-mail: peter.bartos@rc-cms.sk
© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk