Když sedmadvacetiletý rakouský aktivista Max Schrems zažaloval americkou společnost Facebook kvůli nedostatečné ochraně osobních údajů, trvalo dva roky, než evropské soudy vyhodnotily, zda se vůbec mohou kauzou zabývat. Od května příštího roku už takové průtahy v podobných případech pravděpodobně nenastanou. Začne platit nové evropské nařízení o ochraně osobních údajů (GDPR) a jedním z jeho cílů je ochránit osobní údaje občanů Evropské unie i poté, co opustí její území.

Max Schrems v roce 2015 s žalobou proti Facebooku nakonec uspěl a dosáhl i zpřísnění legislativy. Stále však neví, zda by měla firma platit odškodnění svým uživatelům za to, že předávala americkým úřadům jejich data. Kromě něj se totiž jedná o další desetitisíce Evropanů. Případ je spíše ojedinělý a Evropský soudní dvůr ještě nerozhodl, zda se Schrems může domáhat odškodnění podle evropských pravidel, nebo má jít cestou hromadné žaloby, typické pro americké prostředí.

Lavina žalob

Nové evropské nařízení posiluje ochranu práv všech osob, jejichž citlivé údaje soukromé firmy nebo veřejné instituce zpracovávají. Také proto se odborníci z právní praxe domnívají, že podobné kauzy budou v budoucnu častější. "Na základě vyšší transparentnosti nakládání s osobními údaji, kterou GDPR zavádí, by mohlo podobných případů, jako byla kauza Maxe Schremse proti Facebooku, přibývat," říká například Filip Horák, expert z advokátní kanceláře KPMG Legal.

Seriál HN k ochraně dat GDPR

◼ 20. 12. - Neziskovky a GDPR
◼ 27. 12. - Osobní údaje 2018

Důvodem je podle něj zejména fakt, že legislativa zavádí některá nová práva pro občany Evropské unie, jako třeba právo žádat výmaz všech osobních údajů, které o nich správce nasbíral. To mohou lidé vyžadovat přímo u společností, jako je Facebook, Amazon nebo Google, pokud si myslí, že firmy jejich soukromá data nezákonně předávají do zahraničí.

Bez ohledu na místo sídla se novými pravidly musí řídit jakákoli společnost nebo instituce, která s osobními údaji evropských občanů pracuje. Stačí například, že jim nabízí zboží, služby nebo působí na evropském trhu.

Že podobných žalob přibude, je přesvědčený i Michal Nulíček, partner advokátní kanceláře Rowan Legal. "Žaloby mohou nově podávat nejen jednotlivci, ale také neziskové organizace hájící právo na ochranu osobních údajů," vysvětluje Nulíček. Právě jednu takovou organizaci, která se na vymáhání práv z oblasti ochrany osobních údajů zaměří, založil již zmiňovaný Max Schrems. "Organizace sice nebudou moci bez přímého zmocnění jednotlivců vymáhat finanční náhrady, i tak však mohou řadě společností porušujících GDPR zkomplikovat život. Například se budou domáhat zákazu určité činnosti," dodává Nulíček.

Nařízení GDPR přináší přísnější kritéria pro posouzení, zda určitá země poskytuje našim datům odpovídající ochranu, a lze je do ní tedy volně předávat. Osobní údaje mohou opustit evropské území bez splnění dalších podmínek, pokud putují do země, o níž už Evropská komise rozhodla, že takový standard zabezpečení splňuje. Příkladem jsou státy Evropského hospodářského prostoru jako Norsko, Island nebo Lichtenštejnsko.

V dalších případech může být předání založené na takzvaných vhodných zárukách, výjimkách pro zvláštní situace nebo závazných podnikových pravidlech, která se využívají pro přenos osobních údajů mezi sesterskými a dceřinými společnostmi usazenými v různých zemích.

Většina těchto pravidel je součástí už dnes platných zákonů, jsou ale roztříštěná do 28 národních úprav v jednotlivých státech unie. V Česku jde například o zákon o ochraně osobních údajů. GDPR všechny tyto národní úpravy sjednocuje a zavádí i jednotný rámec pro vyřizování žádostí občanů ze strany správců.

Bezzubá ochrana?

Na základě nového evropského nařízení budou lidé moci podat proti předávání osobních údajů do třetích zemí stížnost u dozorového úřadu ve svém domovském státě. V českém prostředí se jedná o Úřad pro ochranu osobních údajů. "Argumentovat mohou tím, že neexistuje právní důvod pro předání osobních údajů. Nicméně velké společnosti jako Facebook nebo WhatsApp budou pravděpodobně namítat, že předávání bylo provedené na základě právního důvodu spočívajícího ve veřejném zájmu vykonávaném orgány USA," upozorňuje Michal Wenit, odborník na bezpečnost informací ze společnosti 24LCS.com.

Dohnat nadnárodní společnosti k odpovědnosti však bude komplikované. "Pokud bude mít společnost v EU pobočku, případně jiný majetek, bude postih pravděpodobně směřovat vůči této pobočce," uvádí Nulíček z Rowan Legal. Problém však podle něj bude u společností se sídlem ve třetích zemích. "Bez ohledu na to, že jim GDPR ukládá ustanovit v EU zástupce, může být vymahatelnost takové povinnosti proti společnosti sídlící mimo EU stejně obtížná jako vymahatelnost případně uložené peněžité sankce," upozorňuje.

Podobný názor má i Horák z KPMG. "Těžko si reálně představit výkon určitého soudního rozhodnutí například vůči asijským e-shopům," říká. Hlavním nástrojem, jak podobné firmy donutit GDPR dodržovat, je podle jeho názoru obchodní zájem. "Právo je jedna věc, ale byznys druhá. Společnosti nebudou chtít riskovat, že by je státy mohly sankcionovat a omezit tak jejich podnikání v Evropě. Své obchodní podmínky proto pravděpodobně přizpůsobí," tvrdí Horák.

Mezinárodní vymahatelnost GDPR a soudních rozsudků vydaných na jeho základě je zatím nejasnou otázkou. Také proto legislativa ukládá Evropské komisi a dozorovým orgánům, aby i za evropskými hranicemi do budoucna vytvořily mechanismy potřebné pro vymáhání těchto povinností.