Budoucnost předávání osobních údajů mimo EU

Problematika předávání osobních údajů mimo EU/EHP je dlouhodobě intenzivně diskutovaným tématem jak na národní, tak i mezinárodní úrovni. Svaz průmyslu a dopravy se proto rozhodl uspořádat ve spolupráci se Spolkem pro ochranu osobních údajů expertní diskuzi, které se zúčastnilo široké spektrum zástupců soukromého i veřejného sektoru. Tato online akce se uskutečnila pod záštitou Ministerstva průmyslu a obchodu a za účasti zástupců Ministerstva vnitra, Úřadu pro ochranu osobních údajů a Národního úřadu pro kybernetickou a informační bezpečnost. Zúčastnili se také zástupci slovenské státní správy, například z Ministerstva investic, regionálního rozvoje a informatizace. Expertní diskuzi moderovali Jana Pattynová a František Nonnemann ze Spolku pro ochranu osobních údajů.

Rozsudkem Soudního dvora EU ve věci SCHREMS II ze dne 16. července 2020 došlo ke zrušení tzv. Privacy Shieldu, na základě kterého bylo možné předávat osobní údaje do USA. Nejasný vývoj v posledních měsících ohledně nástrojů, které bude možné nadále využívat, aby nedošlo k narušení funkčních procesů u společností, které se k principům Privacy Shieldu přihlásily, přinesl značnou nejistotu nejen mezi naše členy, ale i do veřejné sféry. Proto se Svaz průmyslu a dopravy rozhodl poskytnout platformu pro aktivní diskuzi mezi soukromým a veřejným sektorem.

S úvodním slovem vystoupila náměstkyně Ministerstva průmyslu a obchodu Martina Tauberová: „Digitální obchod nabírá na obrátkách a mění podobu mezinárodního obchodu. V průběhu pandemie se všechno přesunulo do online prostředí a výrazně se zvýšilo i množství generovaných dat. MPO vnímá jako zásadní potřebu zpracovávat a sdílet data, využívat je v byznysu a hlavně mezinárodním obchodě. EU by měla na půdě WTO sehrát významnou roli a zasadit se o nastavení pravidel, aby byla data maximálně chráněna, nebránilo to jejich využití v byznysu.“ Viceprezidentka Svazu průmyslu a dopravy Milena Jabůrková ocenila aktivní roli MPO a uvedla: „Předávání dat je nedílnou součástí fungování mnoha firem a znemožnění těchto procesů by mělo zásadní dopady na ekonomiku. Je potřeba hledat cestu bezpečné spolupráce a vyhnout se protekcionismu.“

Úvodním tématem bylo rozhodnutí Soudního dvora Evropské unie ve věci Schrems II a související Doporučení Evropského sboru pro ochranu osobních údajů. Dle vyjádření zástupců soukromého sektoru je současná situace značně komplikovaná, trh se jí však snaží přizpůsobit: „Po zrušení Privacy Shieldu nebyly stanoveny přesné podmínky, jakými se mají společnosti řídit. Microsoft proto připravil ke Standardním smluvním doložkám dodatky. V nich se zavazuje například k tomu, že zajistí šifrování dat a zabrání jakémukoliv předání šifrovacích klíčů. Zákazníkům se také zavazuje k rozporování požadavků vydání dat soudní cestou a zároveň odškodnění v případě, že by poskytl jejich data na základě neoprávněného požadavku,“ uvedl zástupce společnosti Microsoft Dalibor Kačmář.

Pozitivním signálem je, že i nová Bidenova administrativa deklaruje, jak je pro ně důležité vyjednat náhradu za Privacy Shield. Lze proto očekávat, že jednání s Evropskou komisí budou brzy zahájena. Dle vyjádření Davida Buriana z Úřadu pro ochranu osobních údajů je však potřeba aktivní přístup ze strany Spojených států: „Jednání Evropské komise s novou administrativou USA budou do velké míry určovány požadavky, které nastavil rozsudek Evropského soudního dvora. Z mého pohledu by mělo dojít k ústupkům ze strany USA. Pokud Spojené státy neudělají změny ve své legislativě, nevidím řešení, jak může Komise dodržet doporučení, které jí uložil Evropský sbor.“

Aktuálně se pracuje také na nových Standardních smluvních doložkách, které by měly být funkčním nástrojem pro předávání dat do třetích zemí, než bude vyjednána nová dohoda mezi EU a USA. „Nové smluvní doložky budou propracovanější a přísnější. Důležitý rozdíl oproti těm původním bude, že ukládají konkrétní parametry předávání. Společnosti si musí ujednat, jaká konkrétní data předávají a k jakému účelu,“ uvedl dále zástupce Úřadu pro ochranu osobních údajů David Burian.

Diskuzi následně shrnula viceprezidentka Svazu průmyslu Milena Jabůrková: „Potřebujeme nastavit pravidla, která budou podporovat byznys a budou prostředí rozumně regulovat. Svět stojí na prahu rozhodnutí, jestli budou státy mezi sebe stavět zdi, nebo si nastaví možnosti spolupráce. Je potřeba, abychom na národní i evropské úrovni co nejdříve nalezli funkční řešení.“

Závěrem proběhla debata k právní úpravě využívání cloudových služeb v České republice. Dle současného nastavení pravidel se dosud nepodařilo zapsat žádnou nabídku do tzv. katalogu Cloud computingu, který byl zaveden v srpnu 2020. „Po doplnění potřebných informací ze strany poskytovatelů u přerušených správních řízení by mělo dojít ke zlepšení situace a zápisu prvních nabídek. Věříme, že se tak stane v druhé polovině února,“ uvedl Igor Čermák z Ministerstva vnitra. Aktuálně se čeká na schválení nové právní úpravy poskytování cloudových služeb v rámci veřejné správy, která je nyní předmětem projednávání v Poslanecké sněmovně, a navazují na ni také tzv. cloudové vyhlášky, které připravuje Národní úřad pro kybernetickou bezpečnost a jejichž strukturu blíže popsal Adam Kučínský z Národního úřadu pro kybernetickou a informační bezpečnost. Vyhlášky jsou postupně předkládány do připomínkového řízení, proto zatím není jasné, kdy vstoupí v platnost.