Cieľom dohody o bezpečnom prístave bolo umožniť americkým spoločnostiam zhromažďovať osobné údaje od svojich zákazníkov. Údaje občanov EÚ. Cieľom dohody bolo zachovať tradičnú ochranu údajov občanov EÚ, ktorá v USA nie je zaručená v rovnakom rozsahu. Od septembra 2015 považuje Európska únia túto dohodu za neplatnú, čím sa ukončila viac ako 15-ročná prax v oblasti práva na ochranu údajov.
Bezpečný prístav: bezpečný prístav?
V septembri 2015 sa dohoda o bezpečnom prístave stretla s veľkou komplikáciou. Generálny advokát Európskeho súdneho dvora Yves Bot vo svojom stanovisku dospel k rozhodnutiu, že rozhodnutie o bezpečnom prístave nie je platné ani záväzné. Dohoda o bezpečnom prístave pochádza z roku 2000 a patrí do oblasti práva na ochranu údajov. Cieľom rozhodnutia Európskej komisie bolo umožniť spoločnostiam prenášať osobné údaje do USA za predpokladu, že budú dodržiavať európske usmernenia o ochrane údajov. Neexistuje žiadna "dohoda" v pravom zmysle slova - tento druh postupu bol však dohodnutý s USA, takže možno hovoriť o istom druhu "dohody". Dňa 6. októbra 2015 vyhlásil Súdny dvor EÚ (Európsky súdny dvor) dohodu o bezpečnom prístave za neplatnú.
História dohody o bezpečnom prístave
Smernica 95/46/ES o ochrane údajov zakazuje v rámci Európskej únie prenos osobných údajov z členských štátov do iných štátov, ktoré nemajú zákony o ochrane údajov s podobnou ochranou. Spojené štáty nemajú takmer žiadne právne predpisy v oblasti ochrany údajov, ktoré by sa vyrovnali normám Európskej únie. Prísne predpisy EÚ viedli k praktickým problémom, a preto USA a EÚ uzavreli v roku 2000 dohodu. Dodržiavanie smernice o ochrane údajov by viedlo k zastaveniu prenosu údajov, preto bolo prijaté nariadenie o bezpečnom prístave. Spoločnosti z USA sa mohli zaregistrovať na zozname amerického ministerstva obchodu, a tak sa pripojiť k bezpečnému prístavu. Pristúpením k dohode americké spoločnosti deklarovali svoju ochotu dodržiavať zásady a nariadenia dohody. Právne predpisy boli prakticky doplnené súkromnoprávnymi predpismi na medzinárodnej úrovni. Európska komisia považovala za preukázané, že spoločnosti v rámci novovytvoreného systému poskytujú občanom EÚ a ich osobným údajom dostatočnú ochranu. Do jej zrušenia v septembri 2015 sa k dohode pripojilo mnoho spoločností. Medzi nimi boli aj spoločnosti General Motors, Amazon, MicrosoftIBM, Google, Facebook, Dropbox a Hewlett-Packard.
Populárna kritika dohody o bezpečnom prístave
Dohoda o bezpečnom prístave bola opakovane kritizovaná. Negatívne hlasy upierali dohode dostatočnú ochrannú funkciu. Nemožno sa spoliehať na "slovo" amerických spoločností, preto bolo potrebné predložiť dôkazy. Po niekoľkých rokoch bol vytvorený americký zákon Patriot Act: Vzhľadom na novú právnu situáciu mohli americké bezpečnostné orgány získať prístup ku všetkým údajom bez toho, aby museli informovať vlastníka údajov. Po odhaleniach informátora Edwarda Snowdena sa v roku 2013 požadovalo preskúmanie systému. V roku 2013 komisárka EÚ pre spravodlivosť Viviane Redingová oznámila reformu európskej ochrany údajov. Všetky spoločnosti mali byť pokutované až do výšky dvoch percent svojho ročného obratu, ak vykonali nezákonný prenos údajov.
Rozsudok Európskeho súdneho dvora zo septembra 2015
V septembri 2015 generálny advokát Európskeho súdneho dvora Yves Bot vyhlásil, že dohoda o bezpečnom prístave už nie je platná a záväzná. Írsky najvyšší súd sa obrátil na Súdny dvor Európskej únie s otázkou, či a v akom rozsahu sa uplatňuje nariadenie o bezpečnom prístave. Predmetný prípad sa týkal prenosu údajov spoločnosťou Facebook do USA. V odôvodnení rozsudku generálny advokát uviedol, že Európska únia nie je oprávnená zasahovať do právomocí členských štátov a obmedzovať ich. Akonáhle je v členskom štáte ohrozené dodržiavanie základných práv priznaných Chartou EÚ, musí byť možné primerane konať. Medzi základné práva patrí ochrana osobných údajov. V USA sú občania EÚ bezbranne vystavení zberateľom údajov, pretože USA v značnej miere umožňujú zber údajov od občanov EÚ. Zároveň neexistujú žiadne účinné prostriedky súdnej nápravy. Spravodajské služby USA vykonávajú intenzívny dohľad, ktorý nie je primeraný a umožňuje cielené zasahovanie do ochrany údajov. Európsky súdny dvor sa riadil argumentáciou generálneho advokáta, a tým spečatil koniec dohody. Vo výrokovej časti rozsudku sa odkazuje na americké tajné služby. Americké spoločnosti sú vystavené týmto vyšetrovaniam a sú nútené porušovať všetky ochranné predpisy. Účinná ochrana osobných údajov preto neexistuje. Na jednej strane sa týmto postupom porušuje základné právo na rešpektovanie súkromného života, ale na druhej strane sa porušuje aj právo na existenciu účinnej súdnej ochrany.
Prístup nemeckých orgánov na ochranu údajov
Po zverejnení rozhodnutia Európskeho súdneho dvora nemecké orgány na ochranu údajov rýchlo konali. V stanovisku, ktoré vypracovali komisári pre ochranu údajov spolkových krajín a spolkovej vlády, sa objasnilo, že prenosy údajov sú vylúčené, pokiaľ sa ich prenos uskutočňuje výlučne na základe dohody Safe Harbor. Nové povolenia založené na dohode sa už nebudú vydávať. Okrem toho sa už nebudú uznávať podnikové schémy a dohody o vývoze údajov. V Spojenom kráľovstve sa zastáva názor, že prenosy údajov budú naďalej možné za predpokladu, že bol udelený súhlas alebo že sú zavedené štandardné zmluvné doložky EÚ. Podľa názoru nemeckých komisárov pre ochranu údajov súhlas nestačí, pretože hromadné a opakované prenosy údajov by už nemohli byť povolené v takomto rozsahu.
Nové nariadenia a odporúčania
Na federálnej úrovni rozhodnutie Európskeho súdneho dvora privítal príslušný federálny komisár pre ochranu údajov. V blízkej budúcnosti sa bude skúmať, či a do akej miery má toto rozhodnutie vplyv na záväzné podnikové pravidlá a štandardné zmluvné doložky EÚ v Nemecku. Dňa 26.10.2015 bolo zverejnené stanovisko spolkovej vlády a spolkových krajín. Dozorné orgány oznámili, že budú prijaté opatrenia proti akémukoľvek prenosu údajov na základe programu Safe Harbor. Od tohto rozsudku je úplne jasné, že osvedčenie na základe predchádzajúcej dohody je absolútne neprípustné. Spoločnosti, ktoré prenášajú osobné údaje do USA, riskujú bolestivú pokutu, a preto by mali čo najskôr upraviť texty na webových stránkach, reklamné materiály a vyhlásenia o ochrane údajov. Okrem toho by sa mali preskúmať súčasné prenosy údajov. Mala by sa vysvetliť uplatniteľnosť záväzných podnikových pravidiel a štandardných zmluvných doložiek EÚ. Tí, ktorí sa bez prenosu údajov do USA nezaobídu, by mali používať štandardné zmluvné doložky EÚ, ktorými možno riziko pokuty výrazne minimalizovať, aspoň vo väčšine prípadov. Je absolútne nevyhnutné, aby sa metódy šifrovania testovali a uplatňovali. Ak je možné získať súhlas, obráťte sa na DPC a opýtajte sa, či je takáto legitímnosť pri prenose údajov prípustná. V prípade takéhoto súhlasu musí byť jasne uvedené, že sa uskutoční prenos údajov do USA. Okrem toho je potrebné uviesť možné dôsledky. Takýto súhlas možno len ťažko realizovať v prípade trvalých a hromadných prenosov údajov, napríklad údajov o zákazníkoch. V záujme dosiahnutia čo najlepšej právnej ochrany by sa mali právne otázky skúmať individuálne. Technické a organizačné opatrenia môžu výrazne znížiť riziko porušenia právnych predpisov.
