Kdy vypneme internet?
Téma ochrany osobních údajů, které bylo ještě před dvěma lety častým předmětem široké diskuse, již opět poněkud ustoupilo do pozadí. Větší zájem nevyvolal ani nedávný rozsudek Soudního dvora Evropské unie týkající se předávání osobních údajů do Spojených států amerických, ač by si to, na rozdíl od různých strašidelných příběhů o odstraňování výkresů z nástěnek ve školách „kvůli GDPR“, jistě zasloužil.
Oč se v této kauze jednalo? Evropská unie nepovažuje svět za svými hranicemi za dostatečně bezpečný pro osobní údaje svých obyvatel. Pokud chce kdokoliv do této nebezpečné divočiny předat naše osobní údaje, musí nejdříve splnit některou z podmínek evropského práva. Například firma sídlící v České republice, která využívá služeb amerického či ruského dodavatele pracujícího s klientskými daty, s ním musí buď podepsat specifický druh smlouvy, tzv. standardní smluvní doložku, anebo k tomu získat souhlas dotčených osob.
Evropská komise může ovšem také rozhodnout, že určitý stát zajišťuje stejnou míru ochrany osobních údajů, jaká je v Unii, a proto tam lze osobní údaje předávat bez dalších podmínek. Komise takto dosud rozhodla o 13 zemích od USA přes Kanadu až po Andorru a Faerské ostrovy. V případě USA se však jedná jen o ty společnosti, které se přihlásily k tzv. Štítu soukromí (Privacy Shield). Pod tímto názvem se skrývá řada povinností, k jejichž dodržování se musí společnost, která chce osobní údaje z EU vyvážet, výslovně zavázat.
A právě rozhodnutí o možnosti předávat osobní data do USA Soudní dvůr EU zrušil. Na základě zevrubné analýzy konstatoval, že americké právo nezajišťuje dostatečnou ochranu osobních údajů. Zatímco místní bezpečnostní složky mohou mít na základě amerických předpisů k takto předaným osobním údajům přístup, obyvatelé EU se u amerických soudů nemohou domáhat ochrany svých práv.
A aby to bylo ještě zajímavější, soud tuto možnost zrušil s okamžitou účinností. Počínaje 16. červencem tohoto roku je tak předávání osobních údajů do USA dříve certifikovaným společnostem nelegální.
Abych byl konkrétnější: řada evropských organizací již několik týdnů protiprávně předává data svých klientů či zaměstnanců nejen technologickým firmám jako Google či Twitter, bez nichž si nelze představit fungování internetu, jak ho známe, ale třeba i farmaceutickým společnostem nebo daňovým a účetním poradcům.
Tři varianty do budoucna Máme se bát drakonických pokut za porušování mytického GDPR? Záleží na dozorových úřadech jednotlivých členských států. Kupříkladu ten německý již vyzval všechny společnosti k přenesení dat z USA zpět do EU a k budování nové digitálně suverénní Evropy. Jiné úřady, včetně českého, se vyjadřují o poznání zdrženlivěji.
Nastiňme si tři základní varianty, co se bude dít dál.
Optimistická: USA změní svou ústavu a další zákony, aby se přiblížily tomu, jak osobní údaje chráníme my v EU.
Pesimistická: USA náš přístup k ochraně soukromí nepřijmou. My proto vypneme internet, jak ho známe, přerušíme kontakty s USA a budeme se orientovat na zbytek světa, kde jsou naše osobní data ve větším bezpečí.
Realistická: EU a USA budou vyjednávat, jak zrušený Štít soukromí nahradit, abychom našim ekonomikám nezasadili formalistickým respektováním rozsudku další citelnou ránu. Do té doby americké společnosti trochu pozmění svá pravidla pro zpracování dat, v Evropě občas někdo dostane pokutu a všichni budeme tak nějak spokojeni.
Asi je jasné, kterou z uvedených možností považuji za nejvíce pravděpodobnou. Ano, je to ta poslední, realistická.
Skutečně věřím, či spíše doufám, že i v otázkách ochrany soukromí převáží racionální přístup nad stavěním čínských zdí.
Autor je právník a člen výboru Spolku pro ochranu osobních údajů