Help Print this page 

Document 52013DC0847

Title and reference
SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU A RADĚ o fungování „bezpečného přístavu“ z pohledu občanů EU a společností usazených v EU

/* COM/2013/0847 final */
  • In force
Multilingual display
Text

52013DC0847

SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU A RADĚ o fungování „bezpečného přístavu“ z pohledu občanů EU a společností usazených v EU /* COM/2013/0847 final */


SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU A RADĚ

o fungování „bezpečného přístavu“ z pohledu občanů EU a společností usazených v EU

1. ÚVOD

Směrnice 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „směrnice o ochraně údajů“) stanovuje pravidla pro předávání osobních údajů z členských států EU do zemí mimo EU[1] v rozsahu, v jakém předávání těchto údajů spadá do působnosti tohoto nástroje[2].

Podle směrnice může Komise dospět ke zjištění, že třetí země zajišťuje na základě svých vnitrostátních předpisů nebo svých mezinárodních závazků sjednaných na ochranu práv fyzických osob odpovídající úroveň ochrany, a v takovém případě se zvláštní omezení předávání údajů do této země nepoužijí. Tato rozhodnutí jsou obvykle označována jako „rozhodnutí o odpovídající úrovni ochrany“.

Komise přijala dne 26. července 2000 rozhodnutí 520/2000/ES[3] (dále jen „rozhodnutí o bezpečném přístavu“), kterým se uznává, že zásady „bezpečného přístavu“ (dále jen „zásady“) a často kladené otázky (Frequently Asked Questions, dále jen „FAQ“) vydané Ministerstvem obchodu Spojených států poskytují odpovídající ochranu pro účely předávání údajů z EU. Rozhodnutí o bezpečném přístavu bylo přijato na základě stanoviska pracovní skupiny zřízené článkem 29 a stanoviska výboru zřízeného článkem 31, které bylo přijato kvalifikovanou většinou členských států. V souladu s rozhodnutím Rady 1999/468 bylo rozhodnutí o bezpečném přístavu nejprve posouzeno Evropským parlamentem.

V důsledku toho umožňuje stávající rozhodnutí o bezpečném přístavu volné předávání[4] osobních informací z členských států EU[5] společnostem ve Spojených státech, které přistoupily k zásadám „bezpečného přístavu“, a to za okolností, kdy by jinak předávání údajů vzhledem k významným rozdílům v úpravě ochrany soukromí mezi oběma stranami Atlantiku nesplňovalo normy EU pro odpovídající úroveň ochrany.

Fungování stávajícího ujednání o „bezpečném přístavu“ vychází ze závazků a vlastního osvědčení společností, které zásady „bezpečného přístavu“ přijaly. Podpis těchto dohod je dobrovolný, avšak pravidla jsou pro ty, kdo je podepíší, závazná. Základními zásadami této dohody jsou:

a) průhlednost pravidel na ochranu soukromí u společností, které přijaly zásady „bezpečného přístavu“;

b) začlenění zásad „bezpečného přístavu“ do pravidel společností na ochranu soukromí; a

c) prosazování, a to i ze strany orgánů veřejné moci.

Tento základní pilíř „bezpečného přístavu“ je třeba přezkoumat v nových souvislostech:

a) exponenciálního nárůstu toků údajů, které byly dříve doplňkové, ale nyní jsou zásadní pro rychlý růst digitální ekonomiky, a velmi významný vývoj ve shromažďování, zpracování a využívání údajů;

b) stěžejního významu toků údajů především pro transatlantické hospodářství[6];

c) rychlého nárůstu počtu amerických společností řídících se systémem zásad „bezpečného přístavu“, jenž se od roku 2004 zvýšil osminásobně (ze 400 v roce 2004 na 3 246 v roce 2013);

d) informací zveřejněných v poslední době o programech Spojených států pro sledování a nastolujících nové otázky ohledně úrovně ochrany, o níž se má za to, že ji dohoda o „bezpečném přístavu“ zaručuje.

V této souvislosti toto sdělení hodnotí fungování systému „bezpečného přístavu“. Vychází z podkladů shromážděných Komisí, práce Kontaktní skupiny EU-USA pro ochranu soukromí z roku 2009, studie vypracované nezávislým dodavatelem v roce 2008[7] a informací získaných v rámci ad hoc pracovní skupiny EU-USA (dále jen „pracovní skupina“) zřízené po odhaleních týkajících se amerických programů sledování (viz souběžný dokument). Toto sdělení vychází z obou zpráv Komise o posouzení v počátečním období dohody o „bezpečném přístavu“, tedy v letech 2002[8] a 2004[9].

2.           Struktura a fungování „bezpečného přístavu“

2.1.        Struktura „bezpečného přístavu“

Americká společnost, která chce přijmout zásady „bezpečného přístavu“, musí: a) stanovit ve svých veřejně dostupných pravidlech na ochranu soukromí, že přijímá zásady „bezpečného přístavu“ a skutečně zásady „bezpečného přístavu“ dodržuje, a b) sama osvědčit, že přijímá zásady „bezpečného přístavu“, tj. oznámit Ministerstvu obchodu USA, že dodržuje zásady „bezpečného přístavu“. Vlastní osvědčení musí být opakovaně předkládáno každý rok. Zásady „bezpečného přístavu“ týkající se ochrany soukromí, které tvoří přílohu I rozhodnutí o „bezpečném přístavu“, zahrnují požadavky jak ohledně základní ochrany osobních údajů (zásady integrity údajů, bezpečnosti, možnosti volby a dalšího předání), tak i ohledně procesních práv subjektů údajů (zásady oznamovací povinnosti, práva na přístup a prosazování).

Co se týká prosazování systému zásad „bezpečného přístavu“ ve Spojených státech, zásadní úlohu hrají dvě americké instituce: Ministerstvo obchodu Spojených států a Federální obchodní komise USA.

Ministerstvo obchodu přezkoumává každé vlastní osvědčení o přijetí zásad „bezpečného přístavu“ a každé po roce obnovené osvědčení, které od společností obdrží, aby zajistilo, že tato osvědčení obsahují všechny prvky požadované pro členství v systému „bezpečného přístavu[10]. Aktualizuje seznam společností, které předložily listiny o vlastním osvědčení, a seznam a listiny zveřejňuje na svých internetových stránkách. Mimoto sleduje fungování „bezpečného přístavu“ a odstraňuje ze seznamu společnosti, které zásady „bezpečného přístavu“ nedodržují.

Federální obchodní komise v rámci svých pravomocí v oblasti ochrany spotřebitele zasahuje proti nekalým nebo klamavým praktikám podle oddílu 5 zákona o Federální obchodní komisi (Federal Trade Commission Act). Donucovací opatření Federální obchodní komise zahrnují šetření ohledně zkreslených prohlášení o přijetí zásad „bezpečného přístavu“ a nedodržování těchto zásad ze strany společností, které jsou členy systému „bezpečného přístavu“. Ve zvláštních případech prosazování zásad „bezpečného přístavu“ u leteckých přepravců je příslušným orgánem Ministerstvo dopravy Spojených států[11].

Stávající rozhodnutí o „bezpečném přístavu“ je součástí práva EU, jež musí být uplatňováno orgány členských států. Podle rozhodnutí mají vnitrostátní orgány pro ochranu údajů v EU v konkrétních případech[12] právo pozastavit předávání údajů společnostem, které osvědčily, že přijímají zásady „bezpečného přístavu“. Komise si není vědoma žádného případu, kdy by od vytvoření „bezpečného přístavu“ v roce 2000 došlo k pozastavení ze strany vnitrostátního orgánu pro ochranu údajů. Nezávisle na pravomocích, kterých požívají na základě rozhodnutí o „bezpečném přístavu“, jsou vnitrostátní orgány pro ochranu údajů v EU příslušné zasáhnout, a to i v případě mezinárodního předávání údajů, za účelem zajištění dodržování obecných zásad ochrany údajů stanovených ve směrnici o ochraně údajů z roku 1995.

Jak je připomenuto ve stávajícím rozhodnutí o „bezpečném přístavu“, je v působnosti Komise – přičemž jedná podle přezkumného postupu stanoveného v nařízení (EU) č. 182/2011 – kdykoli rozhodnutí upravit, pozastavit nebo omezit jeho působnost s ohledem na zkušenosti s jeho uplatňováním. To se předpokládá zejména tehdy, pokud by docházelo k systematickému neplnění povinností Spojených států, například jestliže by orgán odpovědný za zajištění dodržování zásad „bezpečného přístavu“ pro ochranu soukromí ve Spojených státech neplnil dostatečně svou úlohu nebo jestliže by nad úrovní ochrany poskytované zásadami „bezpečného přístavu“ převážily požadavky kladené právem Spojených států. Stejně jako u kteréhokoli jiného rozhodnutí Komise může být rozhodnutí rovněž změněno z jiných důvodů nebo dokonce zrušeno.

2.2.        Fungování „bezpečného přístavu“

Mezi celkem 3 246[13] společností, které osvědčily přijetí zásad „bezpečného přístavu“, patří jak malé, tak velké společnosti[14]. Zatímco na finanční služby a telekomunikační průmysl se donucovací pravomoc Federální obchodní komise nevztahuje, a jsou tudíž z „bezpečného přístavu“ vyloučeny, mezi společnosti, které osvědčily přijetí zásad „bezpečného přístavu“, patří mnohá odvětví průmyslu a služeb včetně známých internetových společností a průmyslových oborů, od informačních a počítačových služeb po farmaceutické služby, služby v oblasti cestovního ruchu, zdravotnické služby nebo služby související s kreditními kartami[15]. Jedná se převážně o americké společnosti, které poskytují služby na vnitřním trhu EU. Rovněž jsou to pobočky některých firem z EU, jako je Nokia nebo Bayer. Celkem 51 % představují společnosti, které zpracovávají údaje zaměstnanců v Evropě předané do Spojených států pro účely zaměstnaneckých vztahů[16].

Mezi některými orgány pro ochranu údajů v EU vzrůstají obavy ohledně předávání údajů v rámci stávajícího systému zásad „bezpečného přístavu“. Orgány pro ochranu údajů některých členských států kritizují velmi obecnou formulaci zásad a přílišné spoléhání na vlastní osvědčení a samoregulaci. Podobné obavy vyjádřil průmysl s odvoláním na narušování hospodářské soutěže v důsledku nedostatečného prosazování.

Stávající dohoda o „bezpečném přístavu“ je založena na dobrovolném přijetí zásad společnostmi, vlastním osvědčení těchto společností, že zásady přijímají, a na prosazování dodržování závazků vlastního osvědčení orgány veřejné moci. V této souvislosti jakákoli nedostatečná průhlednost a jakékoli nedostatky v prosazování ohrožují základy, na nichž je systém „bezpečného přístavu“ vybudován.

Jakýkoli nedostatek v průhlednosti nebo prosazování na straně Spojených států vede k přenesení odpovědnosti na evropské orgány pro ochranu údajů a na společnosti, které systém využívají. Německé orgány pro ochranu údajů vydaly 29. dubna 2010 rozhodnutí, v němž žádají společnosti předávající údaje z Evropy do Spojených států, aby aktivně kontrolovaly, zda společnosti, které dovážejí údaje do Spojených států, skutečně dodržují zásady „bezpečného přístavu“ pro ochranu soukromí, a doporučují, že „přinejmenším vyvážející společnost musí určit, zda je osvědčení dovozce o přijetí zásad „bezpečného přístavu“ stále platné“[17].

Dne 24. června 2013 zašly německé orgány pro ochranu údajů po odhalení amerických programů sledování ještě dále, když vyjádřily obavy, že „je velmi pravděpodobné, že zásady obsažené v rozhodnutích Komise jsou porušovány“[18]. Existují případy některých orgánů pro ochranu údajů (např. orgán pro ochranu údajů v Brémách), které požádaly společnost předávající osobní údaje americkým poskytovatelům, aby orgán pro ochranu údajů informovala, zda a jak dotčený poskytovatel brání přístupu Národní bezpečnostní agentury k údajům. Irský orgán pro ochranu údajů sdělil, že v nedávné době po reportážích v médiích obdržel dvě stížnosti ohledně programu „bezpečného přístavu“ o programech amerických zpravodajských služeb, avšak odmítl je prošetřit na základě toho, že předávání osobních údajů do třetí země splňuje požadavky irských právních předpisů o ochraně údajů. V reakci na podobnou stížnost lucemburský orgán pro ochranu údajů shledal, že Microsoft a Skype dodržely při předávání údajů do Spojených států[19] lucemburské právní předpisy o ochraně údajů. Irský Vrchní soud (High Court) nicméně od té doby vyhověl žádosti o soudní přezkum, v jehož rámci prověří nečinnost irského komisaře pro ochranu údajů v souvislosti s americkými programy sledování. Jednu z těchto dvou žádostí podala skupina studentů Europe v. Facebook (EvF – Evropa proti Facebooku), jež rovněž podala podobnou stížnost proti společnosti Yahoo v Německu, která je projednávána příslušnými orgány pro ochranu údajů.

Tyto rozdílné reakce orgánů pro ochranu údajů na odhalení sledování ukazují skutečné nebezpečí roztříštění systému „bezpečného přístavu“ a vyvolávají otázky ohledně rozsahu, v jakém jsou zásady prosazovány.

3.           průhlednost pravidel na ochranu soukromí u společností, které přijaly zásady „bezpečného přístavu“

Podle FAQ 6 obsažené v příloze k rozhodnutí o „bezpečném přístavu“ (příloha II) musí společnosti, které mají zájem o osvědčení o přijetí zásad „bezpečného přístavu“, předložit Ministerstvu obchodu svá ustanovení na ochranu soukromí a zveřejnit je. Tato ustanovení musí zahrnovat i závazek, že přijímají zásady pro ochranu soukromí. Požadavek zveřejnění pravidel na ochranu soukromí u společností, které samy osvědčují, že přijímají zásady „bezpečného přístavu“, stejně jako jejich prohlášení, že přijímají zásady pro ochranu soukromí, je pro fungování systému stěžejní.

Nedostatečná dostupnost pravidel na ochranu soukromí u těchto společností je na újmu fyzických osob, jejichž osobní údaje jsou shromažďovány a zpracovávány, a může představovat porušení zásady oznamovací povinnosti. V těchto případech si fyzické osoby, jejichž údaje jsou předávány z EU, nemusí být vědomy svých práv a povinností, kterým podléhají společnosti, jež samy osvědčily přijetí zásad „bezpečného přístavu“.

Kromě toho je závazek společností k dodržování zásad pro ochranu soukromí podnětem k uplatňování pravomoci Federální obchodní komise prosazovat tyto zásady vůči společnostem v případech nedodržování, jako jsou nekalé nebo klamavé praktiky. Nedostatečná průhlednost u společností ve Spojených státech činí dohled Federální obchodní komise obtížnějším a ohrožuje účinnost prosazování.

V průběhu let značný počet společností, které samy osvědčily, že přijímají zásady „bezpečného přístavu“, nezveřejnil svá pravidla na ochranu soukromí a/nebo neučinil veřejné prohlášení o přijetí zásad pro ochranu soukromí. Zpráva o „bezpečném přístavu“ z roku 2004 poukázala na to, že je nezbytné, aby Ministerstvo obchodu zaujalo při kontrole dodržování tohoto požadavku aktivnější postoj.

Ministerstvo obchodu vyvinulo od roku 2004 nové informační nástroje, jejichž účelem je pomoci společnostem plnit jejich povinnosti týkající se průhlednosti. Příslušné informace o systému jsou dostupné na internetových stránkách Ministerstva obchodu věnovaných „bezpečnému přístavu“[20], kam mohou společnosti rovněž vkládat svá pravidla na ochranu soukromí. Ministerstvo obchodu sdělilo, že společnosti tuto funkci využívají a své zásady ochrany soukromí zveřejňují na internetových stránkách ministerstva, když žádají, aby se mohly připojit k „bezpečného přístavu“[21]. Mimoto Ministerstvo obchodu zveřejnilo v období let 2009–2013 řadu pokynů pro společnosti, které se chtějí připojit k „bezpečnému přístavu“, jako je „Průvodce vlastním osvědčením“ a „Užitečné pokyny pro vlastní osvědčení o dodržení souladu s požadavky ,bezpečného přístavu‘“[22].

Míra plnění povinností týkajících se průhlednosti se mezi jednotlivými společnostmi liší. Zatímco některé společnosti se omezí na to, že Ministerstvu obchodu oznámí popis svých zásad ochrany soukromí v procesu vlastního osvědčení, většina společností tyto zásady zveřejní na svých internetových stránkách, kromě toho, že je vloží na internetové stránky Ministerstva obchodu. Tyto zásady však nejsou vždy prezentovány uživatelsky přívětivým a snadno srozumitelným způsobem. Odkazy na zásady někdy nefungují správně nebo neodkazují na správné internetové stránky.

Z rozhodnutí a jeho příloh vyplývá, že požadavek, aby společnosti zveřejnily své zásady ochrany soukromí, jde nad rámec pouhého oznámení Ministerstvu obchodu o vlastním osvědčení. Požadavky na osvědčení stanovené v FAQ zahrnují popis zásad ochrany soukromí a transparentní informace o tom, kde jsou tyto zásady veřejnosti k dispozici k nahlédnutí[23]. Prohlášení o zásadách ochrany soukromí musí být jasné a veřejnosti snadno přístupné. Musí obsahovat odkaz na internetové stránky Ministerstva obchodu věnované „bezpečnému přístavu“, kde je uveden seznam všech „aktuálních“ členů systému a odkaz na poskytovatele alternativního řešení sporů. Řada společností náležejících k systému však v období let 2000–2013 tyto požadavky neplnila. Ministerstvo obchodu během pracovních kontaktů s Komisí v únoru 2013 uznalo, že možná až 10 % společností, které osvědčily přijetí zásad „bezpečného přístavu“, ve skutečnosti na svých příslušných internetových stránkách nezveřejnilo své zásady ochrany soukromí obsahující prohlášení, jímž potvrzují přijetí zásad „bezpečného přístavu“.

Nedávné statistiky dokládají rovněž přetrvávající problém nepravdivých tvrzení o přijetí zásad „bezpečného přístavu“. Přibližně 10 % společností tvrdících, že náleží k „bezpečnému přístavu“, není uvedeno na seznamu Ministerstva obchodu jako aktuální členové systému[24]. Tato nepravdivá tvrzení pocházejí jednak od společností, které nikdy k „bezpečnému přístavu“ nenáležely, a jednak od společností, jež se k systému kdysi připojily, ale Ministerstvu obchodu v ročních intervalech opětovně nepředložily svá vlastní osvědčení. V tom případě jsou nadále uvedeny na internetové stránce „bezpečného přístavu“, avšak jejich status osvědčení je veden jako „neaktuální“, což znamená, že společnost byla v minulosti členem systému, a má tedy povinnost nadále poskytovat ochranu již zpracovaným údajům. Federální obchodní komise je v případech klamavých praktik a nedodržování zásad „bezpečného přístavu“ příslušná zasáhnout (viz oddíl 5.1). Nejasnost ohledně „nepravdivých tvrzení“ má vliv na důvěryhodnost systému.

Evropská komise prostřednictvím pravidelných kontaktů v roce 2012 a 2013 upozornila Ministerstvo obchodu, že k plnění povinností týkajících se průhlednosti nestačí, aby společnosti ministerstvu pouze poskytly popis svých zásad ochrany soukromí. Prohlášení o opatřeních na ochranu soukromí musí být zpřístupněna veřejnosti. Ministerstvo obchodu bylo rovněž požádáno, aby zesílilo pravidelné kontroly internetových stránek společností v návaznosti na postup ověřování prováděný v souvislosti s procesem vlastního osvědčení nebo každoročního obnovování tohoto osvědčení a aby přijalo opatření vůči společnostem, které požadavky týkající se průhlednosti neplní.

V reakci na obavy EU Ministerstvo obchodu v prvé řadě stanovilo od března 2013 pro společnosti náležející k „bezpečnému přístavu“, jež mají veřejné internetové stránky, povinnost, aby na svých veřejných internetových stránkách neprodleně zpřístupnily své zásady ochrany soukromí pro údaje zákazníka/uživatele. Zároveň začalo Ministerstvo obchodu všem společnostem, jejichž zásady ochrany soukromí odkaz na internetové stránky Ministerstva obchodu věnované „bezpečnému přístavu“ neobsahují, oznamovat, že musí tento odkaz zařadit, a přímo tak zpřístupnit úřední seznam a internetové stránky „bezpečného přístavu“ uživatelům, kteří navštíví internetové stránky společnosti. To umožní evropským subjektům údajů okamžitě ověřit bez dalšího hledání na internetu závazky společnosti poskytnuté Ministerstvu obchodu. Ministerstvo obchodu začalo navíc společnostem oznamovat, že do jejich zveřejněných zásad ochrany soukromí musí být zařazeny kontaktní informace jejich nezávislého poskytovatele řešení sporů [25].

Tento proces je třeba urychlit, aby se zajistilo, že všechny osvědčené společnosti zcela splní požadavky „bezpečného přístavu“ nejpozději do března 2014 (tj. do termínu každoročního obnovení osvědčení společností počínaje od zavedení nových požadavků v březnu 2013).

Nadále nicméně přetrvávají obavy ohledně toho, zda všechny společnosti, které samy osvědčily, že přijímají zásady „bezpečného přístavu“, zcela splňují požadavky týkající se průhlednosti. Je třeba, aby Ministerstvo obchodu přísněji sledovalo a prošetřovalo plnění povinností, k nimž se společnosti zavazují v okamžiku předložení počátečního vlastního osvědčení a každoročního obnovení osvědčení.

4.           začlenění zásad „bezpečného přístavu“ pro ochranu soukromí do opatření společností na ochranu soukromí

Společnosti, které samy osvědčily, že přijímají zásady „bezpečného přístavu“, musí dodržovat zásady pro ochranu soukromí stanovené v příloze I k rozhodnutí, aby získaly a udržely si výhody plynoucí z „bezpečného přístavu“.

Komise ve zprávě z roku 2004 konstatovala, že značný počet společností nesprávně začlenil zásady „bezpečného přístavu“ pro ochranu soukromí do svých pravidel pro zpracování údajů. Fyzickým osobám například nebyly vždy poskytnuty jasné a transparentní informace o účelech, ke kterým jsou jejich údaje zpracovávány, nebo jim nebyla dána možnost rozhodnout se, jestli mají být jejich údaje sdělovány třetím osobám nebo využívány k účelu, který je neslučitelný s účely, k nimž byly údaje původně shromažďovány. Zpráva Komise z roku 2004 shledala, že Ministerstvo obchodu „musí být aktivnější, co se týče přístupu k ,bezpečnému přístavu‘ a povědomí o zásadách“[26].

V tomto směru nedošlo k velkému pokroku. Od 1. ledna 2009 jsou zásady ochrany soukromí veškerých společností usilujících o obnovení statusu svého osvědčení o zásadách „bezpečného přístavu“ – který musí být obnovován každoročně –, před obnovením hodnoceny Ministerstvem obchodu. Rozsah hodnocení je nicméně omezený. Neexistuje úplné hodnocení skutečné praxe ve společnostech, které samy osvědčily, že zásady přijímají. Toto hodnocení by významně zvýšilo důvěryhodnost procesu vlastního osvědčení.

Po žádostech Komise o důslednější a systematičtější dohled Ministerstva obchodu nad společnostmi, které samy osvědčily přijetí zásad, je v současné době novým podáním věnována větší pozornost. Počet nových podání, která nebyla přijata, nýbrž byla společnostem zaslána zpět ke zlepšení opatření k ochraně soukromí, v období let 2010–2013 značně vzrostl – na dvojnásobek v případě společností obnovujících osvědčení a na trojnásobek v případě nových společností osvědčujících přijetí zásad „bezpečného přístavu“[27]. Ministerstvo obchodu Komisi ujistilo, že jakékoli osvědčení nebo obnovení osvědčení může být dokončeno pouze tehdy, pokud zásady společnosti pro ochranu soukromí splňují všechny požadavky, zejména zahrnují závazné prohlášení, že společnost přijímá příslušný soubor zásad „bezpečného přístavu“ pro ochranu soukromí a že jsou její zásady ochrany soukromí veřejně dostupné. Od společností se požaduje, aby ve svém záznamu pro seznam „bezpečného přístavu“ uvedly umístění příslušných zásad. Rovněž jsou povinny na svých internetových stránkách jasně určit poskytovatele alternativního řešení sporů a zařadit odkaz na vlastní osvědčení o přijetí zásad „bezpečného přístavu“ na internetových stránkách Ministerstva obchodu. Odhaduje se však, že více než 30 % členů „bezpečného přístavu“ neuvádí v zásadách ochrany soukromí na svých internetových stránkách informace o řešení sporů[28].

Většina společností, které Ministerstvo obchodu odstranilo ze seznamu „bezpečného přístavu“, byla odstraněna na výslovnou žádost příslušných společností (např. společnosti, u nichž došlo k fúzi nebo převzetí, změnily své obory podnikání nebo ukončily svou činnost). Menší počet záznamů společností byl odstraněn, když se internetové stránky, které byly uvedeny v záznamech, ukázaly nefunkční a status osvědčení společností byl několik let „neaktuální“[29]. Důležité však zřejmě je, že k žádnému z těchto odstranění nedošlo kvůli tomu, že by Ministerstvo obchodu při ověřování odhalilo problémy s dodržováním souladu.

Záznam v seznamu „bezpečného přístavu“ slouží jako veřejné oznámení a jako záznam závazků společnosti týkajících se zásad „bezpečného přístavu“. Závazek přijmout zásady „bezpečného přístavu“ ve vztahu k údajům, které společnost obdrží v době, během níž požívá výhod „bezpečného přístavu“, není časově omezený a na tyto údaje se musí zásady „bezpečného přístavu“ vztahovat tak dlouho, dokud je společnost uchovává, používá nebo předává, a to i v případě, že z jakéhokoli důvodu „bezpečný přístav“ opustí.

Počty žadatelů o zařazení na seznam „bezpečného přístavu“, kteří neprošli správním přezkumem Ministerstva obchodu, a tudíž nikdy nebyli zařazeni do seznamu „bezpečného přístavu“ jsou následující: v roce 2010 nebylo pouze 6 % (33) z celkem 513 společností, které předložily osvědčení poprvé, zařazeno do seznamu „bezpečného přístavu“, protože nevyhověly normám Ministerstva obchodu pro vlastní osvědčení. V roce 2013 nebylo 12 % (75) z celkem 605 společností, které předložily osvědčení poprvé, zařazeno do seznamu „bezpečného přístavu“, protože nevyhověly normám Ministerstva obchodu pro vlastní osvědčení.

Jako minimální požadavek ke zvýšení průhlednosti dohledu musí Ministerstvo obchodu na svých internetových stránkách uvést seznam všech společností, které byly odstraněny z „bezpečného přístavu“, a uvést důvody, proč jim nebylo osvědčení obnoveno. Označení „neaktuální“ v seznamu členských společností „bezpečného přístavu“ Ministerstva obchodu je třeba považovat nejenom za informaci, ale musí k němu být připojeno jasné varování – slovní i grafické –, že společnost aktuálně nesplňuje požadavky „bezpečného přístavu“.

Některé společnosti kromě toho nadále zaostávají v úplném začlenění všech zásad „bezpečného přístavu“. Vedle otázky průhlednosti, kterou analyzuje oddíl 3 výše, jsou zásady pro ochranu soukromí u společností, jež samy osvědčily přijetí zásad „bezpečného přístavu“, často nejasné, pokud jde o účely, k nimž jsou údaje shromažďovány, a právo zvolit si, zda mohou být údaje předány třetím osobám či nikoli, v důsledku čehož vyvstávají otázky ohledně dodržování zásad pro ochranu soukromí týkajících se oznamovací povinnosti a možnosti volby. Oznamovací povinnost a možnost volby jsou stěžejní k zajištění kontroly subjektů údajů nad tím, co se s jejich osobními údaji děje.

Kritická první etapa v procesu dodržování souladu – začlenění zásad „bezpečného přístavu“ pro ochranu soukromí do pravidel společností na ochranu soukromí – není dostatečně zajištěna. Ministerstvo obchodu musí tuto otázku řešit přednostně, a to tak, že vypracuje metodiku dodržování souladu v provozní praxi společností a jejich vztazích s klienty. Ministerstvo obchodu musí zajistit aktivní dohled nad skutečným začleněním zásad „bezpečného přístavu“ do zásad společností pro ochranu soukromí, nikoli zahajovat donucovací opatření pouze na základě stížností fyzických osob.

5.           prosazování veřejnoprávními orgány

K zajištění účinného prosazování systému zásad „bezpečného přístavu“ je k dispozici řada mechanismů nabízejících fyzickým osobám opravné prostředky v případech, kdy je nedodržením zásad pro ochranu soukromí dotčena ochrana jejich osobních údajů.

Podle zásady prosazování musí opatření k ochraně soukromí u společností, které samy osvědčily přijetí zásad „bezpečného přístavu“, obsahovat mechanismy účinného dodržování zásad. Podle zásady pro ochranu soukromí týkající se prosazování, jak je dále vysvětlena ve FAQ 11, FAQ 5 a FAQ 6, může být tento požadavek splněn přijetím nezávislých odvolacích mechanismů, které jsou veřejně prohlášeny za příslušné k projednávání jednotlivých stížností z důvodu nedodržování zásad. Popřípadě lze splnění tohoto požadavku dosáhnout prostřednictvím závazku společnosti spolupracovat s poradním sborem EU pro ochranu údajů[30]. Kromě toho společnosti, které samy osvědčily přijetí zásad, podléhají jurisdikci Federální obchodní komise podle oddílu 5 zákona o Federální obchodní komisi, který zakazuje nekalé nebo klamavé jednání či praktiky v obchodě nebo související s obchodem[31].

Zpráva z roku 2004 vyjádřila obavy týkající se prosazování systému zásad „bezpečného přístavu“, zejména pak toho, že Federální obchodní komise musí být aktivnější při zahajování vyšetřování a zvyšování povědomí fyzických osob o jejich právech. Další oblastí vzbuzující znepokojení jsou nejasnosti ohledně příslušnosti Federální obchodní komise k prosazování zásad „bezpečného přístavu“, pokud jde o údaje o lidských zdrojích.

Odvolací orgán odpovědný za údaje o lidských zdrojích – poradní sbor EU pro ochranu údajů – obdržel v souvislosti s údaji o lidských zdrojích jednu stížnost [32]. Absence stížností však neumožňuje vyvodit závěry stran řádného fungování systému. Je třeba zavést kontroly dodržování souladu společnostmi prováděné z moci úřední s cílem ověřovat skutečné plnění závazků ochrany údajů. Orgány EU pro ochranu údajů musí rovněž přijmout opatření, díky nimž se zvýší povědomí o existenci poradního sboru.

Problémy byly zdůrazněny v souvislosti se způsobem fungování alternativních odvolacích mechanismů jakožto donucovacích orgánů. Řada těchto orgánů postrádá vhodné prostředky k nápravě případů nedodržení zásad. Tento nedostatek je třeba řešit.

5.1.        Federální obchodní komise

Federální obchodní komise může přijmout donucovací opatření v případech porušení závazků týkajících se „bezpečného přístavu“, jichž se společnosti dopustí. Když byl „bezpečný přístav“ vytvořen, zavázala se Federální obchodní komise přednostně přezkoumávat veškeré stížnosti postoupené orgány členských států EU[33]. Jelikož za prvních deset let dohody nebyly obdrženy žádné stížnosti, rozhodla se Federální obchodní komise zjišťovat jakákoli porušení zásad „bezpečného přístavu“ při každém vyšetřování týkajícím se ochrany soukromí či bezpečnosti údajů, které provádí. Od roku 2009 zahájila Federální obchodní komise vůči společnostem na základě porušení zásad „bezpečného přístavu“ 10 donucovacích opatření. Výsledkem těchto akcí byly zejména příkazy k vypořádání – podléhající značným pokutám – zakazující zkreslená prohlášení o ochraně soukromí, včetně zkreslených prohlášení o dodržování zásad „bezpečného přístavu“, a ukládající společnostem komplexní programy ochrany soukromí a audity na dobu 20 let. Společnosti musí na žádost Federální obchodní komise souhlasit s nezávislým hodnocením svých programů pro ochranu soukromí. O těchto hodnoceních jsou Federální obchodní komisi pravidelně podávány zprávy. Příkazy Federální obchodní komise rovněž těmto společnostem zakazují zkreslená prohlášení o jejich postupech na ochranu soukromí a jejich příslušnosti k systému zásad „bezpečného přístavu“ nebo podobným systémům ochrany soukromí. To byl případ vyšetřování Federální obchodní komise vedeného proti společnostem Google, Facebook a Myspace.[34] V roce 2012 Google souhlasil se zaplacením pokuty ve výši 22,5 milionu USD, aby se vypořádal s obviněním, že porušil udělený souhlas. Při všech vyšetřováních týkajících se ochrany soukromí Federální obchodní komise z moci úřední zkoumá, zda nedošlo k porušení zásad „bezpečného přístavu“.

Federální obchodní komise nedávno zdůraznila svá prohlášení a svůj závazek přednostně projednávat žádosti přijaté od samoregulačních organizací pro ochranu soukromí a členských států EU, jejichž podstatou je nedodržení zásad „bezpečného přístavu“ ze strany společnosti.[35] Federální obchodní komise obdržela od evropských orgánů pro ochranu údajů v uplynulých třech letech pouze několik žádostí.

Transatlantická spolupráce mezi orgány pro ochranu údajů se začala rozvíjet v průběhu posledních měsíců. Federální obchodní komise například dne 26. června 2013 podepsala s Úřadem irského komisaře pro ochranu údajů (Office of the Data Protection Commissioner of Ireland) „Memorandum o porozumění ohledně vzájemné pomoci při prosazování zákonů na ochranu osobních údajů v soukromém sektoru“. Memorandum zavádí rámec pro hlubší, jednodušší a účinnější spolupráci při prosazování práva v oblasti ochrany soukromí[36].

V srpnu 2013 oznámila Federální obchodní komise další posílení prověrek společností, které mají kontrolu nad rozsáhlými databázemi osobních údajů. Rovněž založila portál, jehož prostřednictvím mohou spotřebitelé podat stížnost ohledně ochrany soukromí týkající se americké společnosti[37].

Federální obchodní komise by měla rovněž zvýšit úsilí při vyšetřování nepravdivých tvrzení o přijetí zásad „bezpečného přístavu“. Společnost, jež na svých internetových stránkách tvrdí, že splňuje požadavky „bezpečného přístavu“, avšak není uvedena na seznamu Ministerstva obchodu jako „aktuální“ člen systému, klame spotřebitele a zneužívá jejich důvěry. Nepravdivá tvrzení oslabují důvěryhodnost systému jako celku, a je tudíž třeba je z internetových stránek společností neprodleně odstranit. Společnosti musí být vázány vymahatelným požadavkem neklamat spotřebitele. Federální obchodní komise musí nadále zjišťovat nepravdivá tvrzení ohledně „bezpečného přístavu“, jako bylo nepravdivé tvrzení v případě Karnani, kdy Federální obchodní komise uzavřela jisté kalifornské internetové stránky z důvodu tvrzení o nepravdivé registraci v systému „bezpečného přístavu“ a zapojení do podvodných praktik elektronického obchodu zaměřených na evropské spotřebitele[38].

Dne 29. října 2013 Federální obchodní komise oznámila, že zahájila „v průběhu posledních měsíců řadu vyšetřování dodržování zásad bezpečného přístavu‘“ a že v této oblasti lze „v nadcházejících měsících“ očekávat další donucovací opatření. Federální obchodní komise rovněž potvrdila, že je „odhodlána hledat způsoby, jak zvýšit svou efektivnost“ a „nadále uvítá jakákoli podstatná vodítka, jako je stížnost přijatá minulý měsíc od evropského obhájce spotřebitelů vycházející z velkého počtu porušení zásad souvisejících s bezpečným přístavem‘“.[39] Orgán se rovněž zavázal „systematicky sledovat dodržování příkazů týkajících se bezpečného přístavu‘, jak to činíme se všemi našimi příkazy“[40].

Dne 12. listopadu 2013 Federální obchodní komise sdělila, že „pokud ustanovení společnosti pro ochranu soukromí slibují ochranu poskytovanou podle zásad „bezpečného přístavu“, pak skutečnost, že se společnost neregistrovala nebo si registraci neudržela, sama o sobě tuto společnost sotva omlouvá z prosazování závazků, bezpečného přístavu‘ Federální obchodní komisí“[41].

V listopadu 2013 Ministerstvo obchodu sdělilo Evropské komisi, že „s cílem zajistit, aby společnosti nečinily nepravdivá prohlášení o účasti v ,bezpečném přístavu‘, Ministerstvo obchodu začne účastníky ,bezpečného přístavu‘ jeden měsíc před datem obnovení jejich osvědčení kontaktovat s popisem kroků, které mají učinit, pokud se rozhodnou své osvědčení neobnovit“. Ministerstvo obchodu „upozorní společnosti v této kategorii, aby ze zásad ochrany soukromí a internetových stránek společnosti odstranily veškeré odkazy na účast v ,bezpečném přístavu‘, včetně používání značky osvědčení ,bezpečného přístavu‘, a jasně jim oznámí, že nesplněním tohoto pokynu se vystavují donucovacím opatřením Federální obchodní komise“[42].

Pro potírání nepravdivých tvrzení o přijetí zásad „bezpečného přístavu“ musí internetové stránky obsahující zásady ochrany soukromí u společností, které samy osvědčily přijetí zásad, vždy obsahovat odkaz na internetové stránky Ministerstva obchodu věnované „bezpečnému přístavu“, kde je uveden seznam všech „aktuálních“ členů systému. To umožní evropským subjektům údajů okamžitě bez dalšího vyhledávání ověřit, zda je společnost v současné době členem „bezpečného přístavu“. Ministerstvo obchodu to začalo od společností požadovat v březnu 2013, avšak tento proces je třeba zintenzivnit.

Nepřetržité sledování skutečného dodržování zásad „bezpečného přístavu“ a jejich následné prosazování ze strany Federální obchodní komise – kromě výše zdůrazněných opatření přijatých Ministerstvem obchodu – zůstává stěžejní prioritou pro zajištění řádného a účinného fungování systému. Zejména je nezbytné zvýšit kontroly prováděné z moci úřední a prošetřování dodržování zásad „bezpečného přístavu“ společnostmi. Rovněž je třeba zjednodušit podávání stížností na porušení zásad Federální obchodní komisi.

5.2.        Poradní sbor EU pro ochranu údajů

Poradní sbor EU pro ochranu údajů je orgán zřízený podle rozhodnutí o „bezpečném přístavu“. Je příslušný k vyšetřování stížností podaných fyzickými osobami, jež se týkají osobních údajů shromážděných v souvislosti se zaměstnaneckými vztahy, jakož i vyšetřování případů týkajících se společností, které osvědčily přijetí zásad, a zvolily si tuto možnost řešení sporů v rámci „bezpečného přístavu“ (53 % všech společností). Tvoří jej zástupci různých orgánů pro ochranu údajů v EU.

K dnešnímu dni poradní sbor obdržel čtyři stížnosti (dvě v roce 2010 a dvě v roce 2013). Dvě stížnosti postoupil v roce 2010 vnitrostátním orgánům pro ochranu údajů (Spojeného království a Švýcarska). Třetí a čtvrtá stížnost jsou v současné době projednávány. Nízký počet stížností lze vysvětlit skutečností, že pravomoci poradního sboru jsou, jak je uvedeno výše, omezeny v prvé řadě na určitý typ údajů.

Omezený počet projednávaných stížností poradního sboru lze rovněž částečně vysvětlit nedostatečným povědomím o existenci poradního sboru. Komise informace o poradním sboru propaguje od roku 2004 na svých internetových stránkách[43].

Aby se využívání poradního sboru pro ochranu údajů zlepšilo, je třeba, aby společnosti ve Spojených státech, které se rozhodly s ním spolupracovat a podrobit se jeho rozhodnutí pro některé nebo všechny kategorie osobních údajů, na něž se vztahují jejich vlastní osvědčení, tuto skutečnost jasně a zřetelně uvedly v závazcích svých zásad pro ochranu soukromí, aby umožnily Ministerstvu obchodu toto hledisko přezkoumat. Na internetových stránkách každého orgánu pro ochranu údajů v EU je třeba vytvořit samostatnou stránku týkající se „bezpečného přístavu“, aby se tak zvyšovalo povědomí u evropských společností a subjektů údajů.

5.3.        Lepší prosazování

Výše zjištěné nedostatky v průhlednosti a nedostatky v prosazování vedou mezi evropskými společnostmi k obavám ohledně nepříznivého dopadu systému „bezpečného přístavu“ na konkurenceschopnost evropských společností. Pokud evropská společnost soutěží s americkou společností, která funguje podle zásad „bezpečného přístavu“, avšak v praxi tyto zásady neuplatňuje, je evropská společnost v hospodářské soutěži oproti americké společnosti znevýhodněna.

Pravomoc Federální obchodní komise se navíc vztahuje na nekalé a klamavé praktiky „v obchodě nebo související s obchodem“. Oddíl 5 zákona o Federální obchodní komisi stanovuje výjimky z pravomoci Federální obchodní komise v případech nekalého nebo klamavého jednání či praktik mimo jiné ve vztahu k telekomunikacím. Jelikož na telekomunikační společnosti se nevztahují donucovací pravomoci Federální obchodní komise, nesmějí přistoupit k zásadám „bezpečného přístavu“. S rostoucím sbližováním technologií a služeb jsou však ve Spojených státech členy „bezpečného přístavu“ mnozí z jejich bezprostředních konkurentů v odvětví informačních a telekomunikačních technologií (IKT). Vyloučení telekomunikačních společností z výměny údajů v rámci systému „bezpečného přístavu“ vzbuzuje u některých evropských telekomunikačních operátorů obavy. Podle Sdružení evropských provozovatelů telekomunikačních sítí (ETNO) „je to v jasném rozporu s nejdůležitějším požadavkem telekomunikačních operátorů týkajícím se potřeby rovných podmínek“[44].

6.           posílení zásad „bezpečného přístavu“ pro ochranu soukromí

6.1.        Alternativní řešení sporů

Zásada prosazování vyžaduje, že musí existovat „snadno dostupné a finančně přijatelné odvolací řízení, ve kterém budou prošetřeny veškeré stížnosti a spory předkládané fyzickými osobami“. Za tím účelem zavádí systém „bezpečného přístavu“ systém alternativního řešení sporů nezávislými třetími osobami[45] s cílem poskytnout fyzickým osobám rychlá řešení. Třemi hlavními odvolacími orgány jsou poradní sbor EU pro ochranu údajů, orgán BBB (Better Business Bureau) a TRUSTe.

Využívání alternativního řešení sporů se od roku 2004 zvýšilo a Ministerstvo obchodu posílilo sledování amerických poskytovatelů alternativního řešení sporů, aby zajistilo, že informace, které uvádějí o postupu podávání stížností, jsou jasné, dostupné a srozumitelné. Účinnost tohoto systému je však vzhledem k omezenému počtu dosud projednaných případů[46] ještě třeba prokázat.

Třebaže Ministerstvo obchodu dosáhlo úspěchu při snížení poplatků účtovaných poskytovateli alternativního řešení sporů, dva ze sedmi největších poskytovatelů alternativního řešení sporů od fyzických osob, které podávají stížnost, poplatek nadále vybírají [47]. To představuje poskytovatele alternativního řešení sporů využívané přibližně 20 % společností náležejících k „bezpečnému přístavu“, tyto společnosti si vybraly poskytovatele alternativního řešení sporů, který spotřebitelům účtuje poplatek za podání stížnosti. Tato praxe je v rozporu se zásadou „bezpečného přístavu“ týkající se prosazování, jež dává fyzickým osobám právo na přístup k „snadno dostupnému, finančně přijatelnému a nezávislými orgány prováděnému řízení“. V Evropské unii je přístup k nezávislé službě řešení sporů poskytované poradním sborem EU pro ochranu údajů pro všechny subjekty údajů bezplatný.

Ministerstvo obchodu potvrdilo 12. listopadu 2013, že se bude „nadále zasazovat o ochranu soukromí ve prospěch občanů EU a jednat s poskytovateli alternativního řešení sporů o tom, zda lze jejich poplatky dále snížit“.

Ne všichni poskytovatelé alternativního řešení sporů mají v souvislosti se sankcemi k nápravě případů nedodržování zásad ochrany soukromí potřebné prostředky. Mimoto se zdá, že ve výčtu sankcí a opatření všech poskytovatelů služeb alternativního řešení sporů není stanoveno zveřejnění zjištění o nedodržování souladu.

Od poskytovatelů alternativního řešení sporů je rovněž požadováno, aby v případě, že se společnost nepodrobí závěru řízení alternativního řešení sporů nebo rozhodnutí poskytovatele alternativního řešení sporů odmítne, postupovali případy Federální obchodní komisi tak, aby mohla Federální obchodní komise případ přezkoumat a vyšetřit a případně přijmout donucovací opatření. K dnešnímu dni však poskytovatelé alternativního řešení sporů nepostoupili Federální obchodní komisi žádný takový případ[48].

Poskytovatelé služeb alternativního řešení sporů vedou na svých internetových stránkách seznamy společností (účastníků řešení sporů), kteří využívají jejich služeb. Tyto seznamy spotřebitelům umožňují snáze ověřit, zda může – v případě sporu se společností – fyzická osoba dotyčnému subjektu řešení sporů předložit svou stížnost. Tak například poskytovatel řešení sporů BBB uvádí seznam všech společností, které jsou součástí systému řešení sporů BBB. Existuje však mnoho společností, které tvrdí, že spadají do určitého systému řešení sporů, v seznamech poskytovatelů služeb alternativního řešení sporů však jako účastníci jejich systému řešení sporů nejsou uvedeny[49].

Mechanismy alternativního řešení sporů musí být pro fyzické osoby snadno přístupné, nezávislé a finančně dostupné. Subjekt údajů musí být schopen podat stížnost bez jakýchkoli nadbytečných požadavků. Všechny orgány alternativního řešení sporů musí na svých internetových stránkách zveřejnit statistiky o řešených stížnostech, stejně jako konkrétní informace o jejich výsledku. A konečně musí být orgány alternativního řešení sporů dále sledovány s cílem zajistit, že informace, které poskytují o řízení a o způsobu podávání stížnosti, jsou jasné a srozumitelné, aby se řešení sporů stalo účinným a důvěryhodným mechanismem přinášejícím výsledky. Rovněž je třeba zdůraznit, že zveřejňování zjištění o nedodržení zásad musí být zahrnuto mezi výčet povinných sankcí poskytovatelů alternativního řešení sporů.

6.2.        Další předání

S exponenciálním nárůstem toků údajů je zapotřebí zajistit trvalou ochranu osobních údajů ve všech fázích jejich zpracování, zejména ve fázi, kdy jsou údaje předávány společností, jež přijala zásady „bezpečného přístavu“, třetí osobě, která je zpracovatelem údajů. Potřeba lepšího prosazování zásad „bezpečného přístavu“ se tudíž netýká pouze členů „bezpečného přístavu“, ale rovněž subdodavatelů.

Systém „bezpečného přístavu“ umožňuje další předání třetím osobám, které jsou „pověřené a jednají podle pokynů společnosti“, pokud se společnost, která je členem systému „bezpečného přístavu“, „přesvědčí, že tato třetí osoba přijímá zásady ,bezpečného přístavu‘ nebo podléhá směrnici nebo je u ní jinak zajištěna odpovídající úroveň ochrany, anebo s takovou třetí osobou uzavře písemnou dohodu, v níž požaduje, aby tato třetí osoba zajistila nejméně stejnou ochranu soukromí, jakou vyžadují příslušné zásady ,bezpečného přístavu‘“[50]. Například od poskytovatele cloudových služeb Ministerstvo obchodu vyžaduje, aby uzavřel smlouvu, a to i když „dodržuje požadavky ,bezpečného přístavu‘“ a osobní údaje přijímá pouze ke zpracování[51]. Toto ustanovení však z přílohy II k rozhodnutí o „bezpečném přístavu“ jasně nevyplývá.

Jelikož využívání subdodavatelů v průběhu posledních let značně vzrostlo, zejména v souvislosti s cloud computingem, je třeba, aby společnost náležející k „bezpečnému přístavu“ podpis takové smlouvy oznámila Ministerstvu obchodu a byla povinna zveřejnit záruky týkající se ochrany soukromí[52].

Všechny tři výše uvedené otázky, mechanismus alternativního řešení sporů, posílený dohled a další předávání údajů, je třeba dále upřesnit.

7.           přístup k údajům předávaným v rámci systému „bezpečného přístavu“

V průběhu roku 2013 vyvolaly informace o množství a rozsahu programů sledování Spojených států obavy o trvalou ochranu osobních údajů legálně předaných do Spojených států v rámci systému zásad „bezpečného přístavu“. Například se zdá, že všechny společnosti zapojené do programu PRISM, které poskytují orgánům Spojených států přístup k údajům uchovávaným a zpracovávaným v USA, mají osvědčení o dodržování zásad „bezpečného přístavu“. To ze systému „bezpečného přístavu“ učinilo jednu z cest, jejichž prostřednictvím mají orgány zpravodajství Spojených států přístup k shromažďování osobních údajů původně zpracovávaných v EU.

Rozhodnutí o „bezpečném přístavu“ stanoví v příloze 1, že dodržování zásad pro ochranu soukromí může být omezeno, pokud je to odůvodněno požadavky bezpečnosti státu, veřejného zájmu nebo prosazování zákonů, nebo zákonem, správním nařízením nebo judikaturou. Podmínkou platnosti omezení výkonu základních práv je, že tato omezení musí být vykládána restriktivně, musí být obsažena ve veřejně dostupném právním předpisu a musí být nezbytná a v demokratické společnosti přiměřená. Rozhodnutí o „bezpečném přístavu“ zejména uvádí, že tato omezení jsou možná pouze „v rozsahu nezbytném“ pro splnění požadavků bezpečnosti státu, veřejného zájmu nebo prosazování zákonů[53]. I když výjimečné nakládání s údaji pro účely bezpečnosti státu, veřejného zájmu nebo prosazování zákonů je v rámci systému zásad „bezpečného přístavu“ stanoveno, rozsáhlý přístup zpravodajských agentur k údajům předávaným do Spojených států v souvislosti s obchodními transakcemi nebylo možno v době přijetí zásad „bezpečného přístavu“ předvídat.

Kromě toho je z důvodů průhlednosti a právní jistoty třeba, aby Ministerstvo obchodu oznámilo Evropské komisi jakýkoli zákon či správní nařízení, jež by měly vliv na dodržování zásad „bezpečného přístavu“ pro ochranu soukromí[54]. Použití výjimek musí být pečlivě sledováno a výjimky nesmí být použity způsobem, který ohrožuje ochranu poskytnutou zásadami[55]. Rozsáhlý přístup orgánů Spojených států k údajům zpracovávaným společnostmi, které samy osvědčily přijetí zásad „bezpečného přístavu“, může zejména ohrozit důvěryhodnost elektronických komunikací.

7.1.        Přiměřenost a nezbytnost

Jak vyplývá ze zjištění ad hoc pracovní skupiny EU-USA pro ochranu údajů, řada právních základů v rámci amerického práva umožňuje rozsáhlé shromažďování a zpracování osobních údajů, které jsou uchovávány nebo jinak zpracovávány společnostmi ve Spojených státech. To se může týkat údajů dříve předaných z EU do USA v rámci systému „bezpečného přístavu“, což vyvolává otázku trvalého dodržování zásad „bezpečného přístavu“. Rozsáhlost těchto programů může vést k tomu, že údaje předané podle zásad „bezpečného přístavu“ budou zpřístupněny a dále zpracovány americkými orgány nad rámec toho, co je nezbytně nutné a přiměřené pro ochranu bezpečnosti státu, jak to předpokládá výjimka stanovená v rozhodnutí o „bezpečném přístavu“.

7.2.        Omezení a možnosti nápravy

Jak vyplývá ze zjištění ad hoc pracovní skupiny EU-USA pro ochranu údajů, záruky, jež poskytuje právo Spojených států, jsou převážně dostupné americkým občanům nebo osobám, které mají ve Spojených státech legální bydliště. Mimoto subjekty údajů z EU nebo USA nemají možnost získat přístup k údajům, které se jich týkají, možnost opravy či výmazu údajů nebo možnost správní či soudní nápravy ve vztahu k shromažďování a dalšímu zpracování jejich osobních údajů, k němuž dochází v rámci programů USA pro sledování.

7.3.        Průhlednost

Společnosti ve svých zásadách ochrany soukromí systematicky neuvádějí, kdy uplatňují výjimky z dodržování zásad. Fyzické osoby a společnosti tedy nevědí, co se s jejich údaji děje. To je zvláště důležité v souvislosti s fungováním předmětných programů USA pro sledování. V důsledku toho Evropané, jejichž údaje jsou předány společnosti ve Spojených státech podle zásad „bezpečného přístavu“, nemusí být těmito společnostmi informovány, že jejich údaje mohou být zpřístupněny[56]. To vyvolává otázku, zda jsou dodržovány zásady „bezpečného přístavu“ týkající se průhlednosti. Je třeba zajistit průhlednost v co možná největším rozsahu, aniž by tím byla ohrožena bezpečnost státu. Kromě stávajících požadavků, aby společnosti ve svých zásadách ochrany soukromí uváděly, že dodržení zásad „bezpečného přístavu“ může být omezeno zákonem, správním nařízením nebo judikaturou, je třeba společnosti rovněž motivovat k tomu, aby ve svých zásadách ochrany soukromí uváděly, kdy uplatňují výjimky z dodržování zásad „bezpečného přístavu“ pro splnění požadavků bezpečnosti státu, veřejného zájmu nebo prosazování zákonů.

8.           závěry a doporučení

Od svého přijetí v roce 2000 se „bezpečný přístav“ stal nositelem toků osobních údajů mezi EU a USA. Význam účinné ochrany v případě předávání osobních údajů vzrostl v důsledku exponenciálního nárůstu toků údajů, které jsou zásadní pro digitální ekonomiku, a velmi výrazného vývoje ve shromažďování, zpracování a využívání údajů. Internetové společnosti, jako je Google, Facebook, Microsoft, Apple či Yahoo mají v Evropě stovky milionů klientů a předávání osobních údajů ke zpracování ve Spojených státech dosáhlo rozsahu, který byl v roce 2000, kdy byl systém zásad „bezpečného přístavu“ vytvořen, nepředstavitelný.

V důsledku nedostatků v průhlednosti a prosazování dohody stále přetrvávají konkrétní problémy, které je třeba je řešit:

a) průhlednost zásad ochrany soukromí členů „bezpečného přístavu“,

b) účinné uplatňování zásad pro ochranu soukromí společnostmi ve Spojených státech, a

c) účinnost prosazování.

Další závažné otázky ohledně práv Evropanů na trvalou ochranu údajů v případě, že jsou jejich údaje předány do USA, vyvolává rozsáhlý přístup zpravodajských agentur k údajům předávaným do Spojených států společnostmi, které osvědčily přijetí zásad „bezpečného přístavu“.

Na základě výše uvedených zjištění Komise určila následující doporučení:

Průhlednost

1. Společnosti, které samy osvědčily přijetí zásad „bezpečného přístavu“, by měly zveřejnit své zásady ochrany soukromí. Nestačí, že společnosti předloží popis svých zásad ochrany soukromí Ministerstvu obchodu. Zásady ochrany soukromí musí být jasně a zřetelně zveřejněny na internetových stránkách společností.

2. Internetové stránky věnované zásadám ochrany soukromí u společností, jež samy osvědčily přijetí zásad „bezpečného přístavu“, by měly vždy obsahovat odkaz na internetové stránky Ministerstva obchodu, kde je uveden seznam všech „aktuálních“ členů systému. Evropské subjekty údajů by tak mohly okamžitě, bez dalšího vyhledávání, ověřit, zda je společnost aktuálně členem „bezpečného přístavu“. Přispělo by to ke zvýšení důvěryhodnosti systému, protože by se omezily možnosti nepravdivých tvrzení o přijetí zásad „bezpečného přístavu“. Ministerstvo obchodu to začalo v březnu 2013 od společností požadovat, avšak tento proces je potřeba zintenzivnit.

3. Společnosti, které samy osvědčily přijetí zásad „bezpečného přístavu“, by měly zveřejnit podmínky pro ochranu soukromí u veškerých smluv, které uzavírají se subdodavateli, např. cloud computingových služeb. Zásady „bezpečného přístavu“ umožňují další předávání údajů společnostmi, jež samy osvědčily přijetí zásad „bezpečného přístavu“, třetím osobám, „které jsou jimi pověřeny a jednají podle jejich pokynů“, například poskytovatelům cloudových služeb. Podle našeho chápání v takových případech Ministerstvo obchodu vyžaduje od společností, které samy osvědčily přijetí zásad „bezpečného přístavu“, uzavření smlouvy. Je však třeba, aby společnost náležící k „bezpečnému přístavu“ rovněž uzavření takové smlouvy Ministerstvu obchodu oznámila a povinně zveřejnila záruky ochrany soukromí.

4. Jasně označit na internetových stránkách Ministerstva obchodu všechny společnosti, které nejsou aktuálními členy systému. Štítek „neaktuální“ v seznamu členů systému „bezpečného přístavu“ Ministerstva obchodu by měl být doprovázen jasným upozorněním, že společnost v současné době nesplňuje požadavky „bezpečného přístavu“. I v případě, že je společnost označena jako „neaktuální“, je však nadále povinna uplatňovat požadavky „bezpečného přístavu“ ve vztahu k údajům, které byly v rámci „bezpečného přístavu“ získány.

Náprava

5. Zásady ochrany soukromí na internetových stránkách společností by měly obsahovat odkaz na poskytovatele alternativního řešení sporů a/nebo poradní sbor EU pro ochranu údajů. To evropským subjektům údajů umožní obrátit se v případě problémů okamžitě na poskytovatele alternativního řešení sporů nebo na poradní sbor EU pro ochranu údajů. Ministerstvo obchodu to začalo od společností požadovat v březnu 2013, avšak tento proces je potřeba zintenzivnit.

6. Alternativní řešení sporů by mělo být snadno dostupné a finančně přijatelné. Některé orgány alternativního řešení sporů v systému „bezpečného přístavu“ nadále účtují fyzickým osobám poplatky za vyřizování stížnosti, jež mohou být pro individuálního uživatele poměrně nákladné (200–250 USD). Naopak v Evropě je přístup k poradnímu sboru pro ochranu údajů, který je stanoven pro řešení stížností v rámci „bezpečného přístavu“, bezplatný.

7. Ministerstvo obchodu by mělo systematičtěji sledovat poskytovatele alternativního řešení sporů, pokud jde o průhlednost a dostupnost informací, jež poskytují ohledně řízení a následného postupu při řešení stížností. Tak se stane z řešení sporů efektivní a důvěryhodný mechanismus přinášející výsledky. Rovněž je třeba zdůraznit, že zveřejnění zjištění o nedodržení zásad musí být zahrnuto do výčtu povinných sankcí poskytovatelů alternativního řešení sporů.

Prosazování

8. Po osvědčení či obnově osvědčení společností v rámci „bezpečného přístavu“ by se mělo určité procento těchto společností podrobit šetření z moci úřední ohledně skutečného dodržování svých zásad ochrany soukromí (jdoucí nad rámec kontroly dodržování formálních požadavků).

9. Kdykoliv je na základě stížnosti nebo šetření zjištěno nedodržení souladu, měla by se společnost po jednom roce podrobit následnému zvláštnímu vyšetřování.

10. V případě pochybností o dodržování souladu ze strany společností nebo v případě projednávaných stížností by Ministerstvo obchodu mělo o tom informovat příslušný orgán pro ochranu údajů v EU.

11. Je třeba nadále vyšetřovat nepravdivá tvrzení o dodržování zásad „bezpečného přístavu“. Společnost, jež na svých internetových stránkách tvrdí, že splňuje požadavky stanovené zásadami „bezpečného přístavu“, avšak není uvedena v seznamu Ministerstva obchodu jako „aktuální“ člen systému, uvádí spotřebitele v omyl a zneužívá jejich důvěry. Nepravdivá tvrzení oslabují důvěryhodnost systému jako celku a musí být tedy z internetových stránek společností neprodleně odstraněna.

Přístup amerických orgánů

12. Zásady ochrany soukromí u společností, jež samy osvědčily, že přijímají zásady „bezpečného přístavu“, by měly obsahovat informace o tom, v jakém rozsahu právo Spojených států umožňuje orgánům veřejné moci shromažďovat a zpracovávat údaje předávané podle zásad „bezpečného přístavu“. Společnosti je zejména potřeba motivovat, aby ve svých zásadách ochrany soukromí uváděly, kdy uplatňují výjimky ze zásad „bezpečného přístavu“ pro splnění požadavků bezpečnosti státu, veřejného zájmu nebo prosazování zákonů.

13. Je důležité, aby byla výjimka týkající se bezpečnosti státu uvedená v rozhodnutí o „bezpečném přístavu“ využívána pouze v nezbytně nutném či přiměřeném rozsahu.

[1]               Články 25 a 26 směrnice o ochraně údajů stanovují právní rámec pro předávání osobních údajů z EU do třetích zemí mimo EHP.

[2]               Dodatečná pravidla byla stanovena v článku 13 rámcového rozhodnutí 2008/977/SVV ze dne 27. listopadu 2008 o ochraně osobních údajů zpracovávaných v rámci policejní a justiční spolupráce v trestních věcech v rozsahu, v jakém se předávání týká osobních údajů předávaných nebo zpřístupňovaných jedním členským státem jinému členskému státu, který má v úmyslu následně předat tyto údaje třetímu státu nebo mezinárodnímu subjektu pro účely prevence, vyšetřování, odhalování nebo stíhání trestných činů nebo výkonu trestních sankcí.

[3]               Rozhodnutí Komise 520/2000/ES ze dne 26. července 2000 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající ochraně poskytované podle zásad „bezpečného přístavu“ a s tím souvisejících „často kladených otázek“ vydaných Ministerstvem obchodu Spojených států, Úř. věst. L 215, 28.8.2000, s. 7.

[4]               Výše uvedené nevylučuje, aby byly na zpracovávání údajů uplatňovány jiné požadavky, jež mohou být upraveny vnitrostátními předpisy, jimiž se provádí směrnice EU o ochraně údajů.

[5]               Podobně se to v důsledku rozšíření směrnice 95/46/ES na Dohodu o EHP, rozhodnutí 38/1999 ze dne 25. června 1999, Úř. věst. L 296/41, 23.11.2000, vztahuje na předávání údajů ze tří států, které jsou smluvními stranami EHP.

[6]               Pokud by podle některých studií mělo dojít k narušení služeb a přeshraničních toků údajů v důsledku diskontinuity závazných podnikových pravidel, modelů smluvních ustanovení a „bezpečného přístavu“, mohl by nepříznivý dopad na HDP Evropské unie dosáhnout –0,8 % až –1,3 % a vývoz služeb z EU do USA by z důvodu ztráty konkurenceschopnosti klesl o –6,7 %. Viz: „The Economic Importance of Getting Data Protection Right“ (Hospodářský význam správného nastavení ochrany údajů), studie European Centre for International Political Economy (Evropské středisko pro mezinárodní politickou ekonomii, ECIPE) pro Obchodní komoru USA, březen 2013.

[7]               Studie posouzení dopadů, kterou pro Evropskou komisi v roce 2008 vypracovalo Centre de Recherche Informatique et Droit (Výzkumné středisko informačních technologií a práva, („CRID“) Univerzity v Namuru.

[8]               Pracovní dokument útvarů Komise „The application of Commission Decision 520/2000/EC of 26 July 2000 pursuant to Directive 95/46 of the European Parliament and of the Council on the adequate protection of personal data provided by the Safe Harbour Privacy Principles and related FAQs issued by the US Department of Commerce“ (Použití rozhodnutí Komise 520/2000/ES ze dne 26. července 2000 podle směrnice Evropského parlamentu a Rady 95/46 o odpovídající ochraně osobních údajů poskytované podle zásad „bezpečného přístavu“ a s tím souvisejících „často kladených otázek“ vydaných Ministerstvem obchodu Spojených států), SEC(2002)0196, 13.12.2002.

[9]               Pracovní dokument útvarů Komise „The implementation of Commission Decision 520/2000/EC on the adequate protection of personal data provided by the Safe Harbour Privacy Principles and related FAQs issued by the US Department of Commerce“ (Provádění rozhodnutí Komise 520/2000/ES o odpovídající ochraně osobních údajů poskytované podle zásad „bezpečného přístavu“ a s tím souvisejících „často kladených otázek“ vydaných Ministerstvem obchodu Spojených států), SEC(2004)1323, 20.10.2004.

[10]             Jestliže osvědčení nebo obnovené osvědčení o přijetí zásad poskytnuté společností nesplňuje požadavky „bezpečného přístavu“, Ministerstvo obchodu oznámí žádající společnosti před tím, než může být osvědčení společnosti dokončeno, opatření, která je třeba přijmout (např. objasnění, změny popisu pravidel na ochranu soukromí).

[11]             Podle hlavy 49 zákoníku USA (US Code), oddíl 41712.

[12]             Konkrétně lze požadovat pozastavení předávání údajů ve dvou případech:

a) pokud orgán veřejné správy Spojených států zjistí, že tato společnost porušuje zásady „bezpečného přístavu“; nebo

b) pokud je velmi pravděpodobné, že zásady „bezpečného přístavu“ jsou porušovány, pokud se lze důvodně domnívat, že příslušný výkonný orgán včas nepřijal nebo nepřijme přiměřená opatření pro vyřešení sporné věci, pokud by pokračování v předávání údajů vyvolalo bezprostřední riziko vzniku vážné újmy subjektům údajů a pokud příslušné orgány členského státu za daných okolností přiměřeně usilují o informování společnosti a poskytly jí možnost zaujmout stanovisko.

[13]             Dne 26. září 2013 činil počet organizací splňujících požadavky „bezpečného přístavu“ vedených jako „aktuální“ na seznamu „Safe Harbour List“ 3 246, počet organizací uvedených jako „neaktuální“ činil 935.

[14]             Organizace náležející k „bezpečnému přístavu“ s 250 nebo méně zaměstnanci: 60 % (1 925 z 3 246). Organizace náležející k „bezpečnému přístavu“ s 251 nebo více zaměstnanci: 40 % (1 295 z 3 246).

[15]             Například MasterCard obchoduje s tisíci bank a společnost je jasnou ukázkou případu, kdy „bezpečný přístav“ nelze nahradit jinými právními nástroji pro předávání osobních údajů, jako jsou závazná podniková pravidla nebo smluvní ujednání.

[16]             Organizace náležející k systému „bezpečného přístavu“, které chtějí, aby se na údaje organizace v oblasti lidských zdrojů vztahovala osvědčení o přijetí zásad „bezpečného přístavu (a tudíž souhlasily, že budou spolupracovat s orgány EU pro ochranu údajů a řídit se jejich doporučeními): 51 % (1 671 z 3 246).

[17]             Viz rozhodnutí skupiny Düsseldorfer Kreis ze dnů 28.–29. dubna 2010. Viz: Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 28./29. April 2010 in Hannover, http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/290410_SafeHarbor.pdf?__blob=publicationFile. Evropský inspektor ochrany údajů Peter Hustinx se nicméně v šetření Výboru pro občanské svobody, spravedlnost a vnitřní věci Evropského parlamentu 7. října 2013 v souvislosti s „bezpečným přístavem“ vyjádřil, že „došlo k podstatnému zlepšení a většina otázek je nyní vyřešena“:https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/Publications/Speeches/2013/13-10-07_Speech_LIBE_PH_EN.pdf .

[18]             Viz usnesení německé konference komisařů pro ochranu údajů zdůrazňující, že zpravodajské služby představují obrovskou hrozbu pro datové přenosy mezi Německem a mimoevropskými zeměmi, http://www.bfdi.bund.de/EN/Home/homepage_Kurzmeldungen/PMDSK_SafeHarbor.html?nn=408870.

[19]             Viz tiskové prohlášení orgánu pro ochranu údajů Lucemburska ze dne 18. listopadu 2013.

[20]             http://www.export.gov/SafeHarbour/

[21]             https://SafeHarbour.export.gov/list.aspx

[22]             Průvodce je k dispozici na internetových stránkách programu: http://export.gov/SafeHarbour/ Užitečné pokyny: http://export.gov/SafeHarbour/eu/eg_main_018495.asp

[23]             Ministerstvo obchodu 12. listopadu 2013 potvrdilo, že „dnes musí společnosti, které mají veřejné internetové stránky a zpracovávají údaje spotřebitelů/klientů/návštěvníků, na své příslušné internetové stránky zařadit zásady ochrany soukromí, které jsou v souladu se zásadami ,bezpečného přístavu‘“ (dokument „US-EU Cooperation to Implement the Safe Harbor Framework“(Spolupráce mezi USA a EU při provádění rámcových ustanovení pro „bezpečný přístav“) ze dne 12. listopadu 2013).

[24]             V září 2013 australská poradenská společnost Galexia porovnala „nepravdivá tvrzení“ o členství v programu „bezpečný přístav“ z roku 2008 a 2013. Jejím hlavním zjištěním je, že souběžně s nárůstem počtu členů náležejících k „bezpečnému přístavu“ v letech 2008 až 2013 (z 1 109 na 3 246), vzrostl počet „nepravdivých tvrzení“ z 206 na 427.                http://www.galexia.com/public/about/news/about_news-id225.html

[25]             V období od března do září 2013 ministerstvo obchodu:

• oznámilo 101 společnostem, které již vložily své zásady ochrany soukromí vyhovující požadavkům „bezpečného přístavu“ na internetovou stránku „bezpečného přístavu“, že musí své zásady ochrany soukromí zveřejnit také na internetových stránkách své společnosti,

• oznámilo 154 společnostem, které tak ještě neučinily, že musí odkaz na internetovou stránku „bezpečného přístavu“ zařadit do svých zásad ochrany soukromí,

• oznámilo více než 600 společnostem, že musí do svých zásad ochrany soukromí zařadit kontaktní informace svého nezávislého poskytovatele řešení sporů.

[26]             Viz s. 8 zprávy z roku 2004 SEC(2004)1323.

[27]             Podle statistik předložených Ministerstvem obchodu v září 2013 ministerstvo v roce 2010 zaslalo oznámení 18 % (93) z celkem 512 společností, které předložily osvědčení poprvé, a 16 % (231) z celkem 1 417 společností, které osvědčení obnovily, aby zlepšily své zásady ochrany soukromí a/nebo žádosti ohledně „bezpečného přístavu“. V návaznosti na žádosti Komise o přísnou, důkladnou a systematickou kontrolu veškerých podání však Ministerstvo obchodu do poloviny září 2013 zaslalo oznámení 56 % (340) z celkem 602 společností, které předložily osvědčení poprvé, a 27 % (493) z celkem 1809 společností, které předložily obnovené osvědčení, oznámení s žádostí o zlepšení jejich zásad ochrany soukromí.

[28]             Vystoupení Chrise Connollyho (Galexia) na slyšení v rámci šetření výboru LIBE Evropského parlamentu dne 7. října 2013.

[29]             K prosinci 2011 odstranilo Ministerstvo obchodu USA ze seznamu „bezpečného přístavu“ 323 společností: 94 společností bylo odstraněno, protože již ukončily svou obchodní činnost; 88 společností v důsledku převzetí či fúze, 95 na žádost mateřské společnosti; 41 společností z důvodu, že opakovaně nepožádaly o obnovu osvědčení, a 5 společností z různých důvodů.

[30]             Poradní sbor EU pro ochranu údajů je orgán příslušný pro šetření a řešení stížností podaných fyzickými osobami ohledně předpokládaného porušení zásad „bezpečného přístavu“ americkou společností, která je členem „bezpečného přístavu“. Společnosti, které osvědčí přijetí zásad „bezpečného přístavu“, si musí zvolit, zda se za účelem odstranění problémů vzniklých v důsledku nedodržení zásad „bezpečného přístavu“ podrobí nezávislému odvolacímu orgánu, nebo zda budou spolupracovat s poradním sborem EU pro ochranu údajů. Spolupráce s poradním sborem EU pro ochranu údajů je nicméně povinná, pokud americká společnost zpracovává osobní údaje o lidských zdrojích předávané z EU v souvislosti se zaměstnaneckými vztahy. Jestliže se společnost zaváže spolupracovat s poradním sborem EU, musí se rovněž zavázat, že se podrobí doporučení poradního sboru EU, jestliže tento orgán dojde k názoru, že společnost musí přijmout konkrétní opatření, aby dodržela zásady „bezpečného přístavu“, včetně opatření vedoucích k nápravě nebo odškodnění.

[31]             Ministerstvo dopravy vykonává podobnou pravomoc nad leteckými přepravci podle hlavy 49 zákoníku USA, oddíl 41712.

[32]             Stížnost pocházela od švýcarského občana, a byla tudíž postoupena poradním sborem EU pro ochranu údajů švýcarskému orgánu pro ochranu údajů (Spojené státy mají pro Švýcarsko samostatný systém „bezpečného přístavu“).

[33]             Viz příloha V rozhodnutí Komise 2000/520/ES ze dne 26. července 2000.

[34]            V období 2009–2012 přijala Federální obchodní komise deset opatření k prosazení závazků „bezpečného přístavu“: FTC v. Javian Karnani a Balls of Kryptonite, LLC (2009), World Innovators, Inc. (2009), Expat Edge Partners, LLC (2009), Onyx Graphics, Inc. (2009), Directors Desk LLC (2009), Progressive Gaitways LLC (2009), Collectify LLC (2009), Google Inc. (2011), Facebook, Inc. (2011), Myspace LLC (2012). Viz: „Federal Trade Commission on Safe Harbour Commitments“ (Federální obchodní komise k požadavkům „bezpečného přístavu“):              http://export.gov/build/groups/public/@eg_main/@SafeHarbour/documents/webcontent/eg_main_052211.pdf  Viz také: „Case Highlights“ (Ukázkové příklady): http://business.ftc.gov/us-eu-Safe-Harbour-framework. Většina těchto případů se týkala problémů se společnostmi, které se připojily k „bezpečnému přístavu“, ale později se nadále prezentovaly jako členové „bezpečného přístavu“, aniž každoročně obnovily své osvědčení.

[35]             Tento závazek byl připomenut na setkání komisařky Federální obchodní komise Julie Brillové s orgány pro ochranu údajů v EU (pracovní skupina zřízená článkem 29) v Bruselu 17. dubna 2013.

[36]             http://www.dataprotection.ie/viewdoc.asp?Docid=1317&Catid=66&StartDate=1+January+2013&m=n

[37]             Spotřebitelé mohou své stížnosti podávat prostřednictvím portálu „Complaint Assistant“ (Průvodce podáváním stížností) Federální obchodní komise (https://www.ftccomplaintassistant.gov/), zahraniční spotřebitelé mohou stížnosti podávat prostřednictvím portálu econsumer.gov (http://www.econsumer.gov).

[38]             http://www.ftc.gov/os/caselist/0923081/090806karnanicmpt.pdf

[39]             http://www.ftc.gov/speeches/brill/131029europeaninstituteremarks.pdf a http://www.ftc.gov/speeches/ramirez/131029tacdremarks.pdf

[40]             Dopis předsedkyně Federální obchodní komise Edith Ramirezové místopředsedkyni Viviane Redingové.

[41]             Dopis předsedkyně Federální obchodní komise Edith Ramirezové místopředsedkyni Viviane Redingové.

[42]             „US-EU Cooperation to Implement the Safe Harbor Framework“ (Spolupráce mezi USA a EU při uplatňování rámcových ustanovení pro „bezpečný přístav“), 12. listopadu 2013.

[43]             V návaznosti na zprávu z roku 2004 bylo na internetové stránce Komise zveřejněno oznámení ve formě otázek a odpovědí poradního sboru EU pro ochranu údajů (GŘ pro spravedlnost) s cílem zvýšit povědomí fyzických osob a pomoci jim podat stížnost, mají-li za to, že při zpracování jejich osobních údajů došlo k porušení zásad „bezpečného přístavu“: http://ec.europa.eu/justice/policies/privacy/docs/adequacy/information_Safe_harbour_cs.pdf.

                Standardní formulář pro stížnost je k dispozici na http://ec.europa.eu/justice/policies/privacy/docs/adequacy/ complaint_form_en.pdf.

[44]             „Posouzení ETNO – Sdružení evropských provozovatelů telekomunikačních sítí“ přijaté útvary Komise dne 4. října 2013 rovněž pojednává o: 1) definici osobních údajů v „bezpečném přístavu“, 2) nedostatečném sledování „bezpečného přístavu“ 3) a skutečnosti, že „americké společnosti mohou předávat údaje s mnohem menšími omezeními než jejich evropské protějšky“, což „představuje jasnou diskriminaci evropských společností a ovlivňuje konkurenceschopnost evropských společností“. Podle pravidel „bezpečného přístavu“ při předávání informací třetí osobě musí organizace uplatňovat zásady oznamovací povinnosti a možnosti volby. Jestliže organizace hodlá předávat informace třetí osobě, která je jí pověřená a jedná podle jejích pokynů, může tak učinit, pokud se buď nejprve přesvědčí, že tato třetí osoba přijímá zásady „bezpečného přístavu“ nebo podléhá směrnici nebo je u ní jinak zajištěna odpovídající úroveň ochrany, anebo s takovou třetí osobou uzavře písemnou dohodu, v níž požaduje, aby tato třetí osoba zajistila přinejmenším stejnou úroveň ochrany soukromí, jakou vyžadují příslušné zásady „bezpečného přístavu“.

[45]             Směrnice 2013/11/EU o alternativním řešení spotřebitelských sporů zdůrazňuje význam nezávislých, nestranných, transparentních, účinných, rychlých a spravedlivých postupů alternativního řešení sporů.

[46]             Například největší poskytovatel služeb (TRUSTe) uvedl, že v roce 2010 obdržel 881 žádostí, avšak pouze tři z nich byly považovány za přípustné a opodstatněné a v jejich důsledku byla dotčená společnost požádána, aby změnila své zásady ochrany soukromí a upravila internetové stránky. V roce 2011 činil počet stížností 879 a v jednom případě byla společnost požádána, aby změnila své zásady ochrany soukromí. Podle ministerstva obchodu velkou většinu stížností adresovaných subjektu alternativního řešení sporů představují žádosti spotřebitelů, například uživatelů, kteří zapomněli své heslo a nebyli schopni je od internetové služby získat. Na žádost Komise vypracovalo ministerstvo obchodu nová kritéria pro vyhotovování statistik, která mají všechny subjekty alternativního řešení sporů používat. Tyto statistiky rozlišují mezi pouhými žádostmi a stížnostmi, a dále tak upřesňují počty přijatých stížností podle jejich typů. Tato nová kritéria je však třeba ještě dále projednat, aby se zajistilo, že se nové statistiky v roce 2014 budou týkat všech poskytovatelů alternativního řešení sporů, bude zajištěna jejich srovnatelnost a budou poskytovat zásadní informace pro posouzení účinnosti odvolacích mechanismů.

[47]             International Centre for Dispute Resolution / American Arbitration Association (Mezinárodní centrum pro řešení sporů / Americká arbitrážní asociace, ICDR/AAA) účtuje poplatek za podání ve výši 200 USD a společnost Judicial Arbitration and Mediation Services (Soudní arbitráž a mediační služby, JAMS) 250 USD. Ministerstvo obchodu sdělilo Komisi, že spolupracovalo s asociací AAA, nejdražším poskytovatelem řešení sporů pro fyzické osoby, na vypracování zvláštního programu „bezpečného přístavu“, který snížil náklady pro spotřebitele z několika tisíc dolarů na paušální částku ve výši 200 USD.

[48]             Viz FAQ 11.

[49]             Příklady: společnost Amazon informovala ministerstvo obchodu o tom, že jako svůj subjekt řešení sporů využívá orgán BBB. BBB však společnost Amazon neuvádí na svém seznamu účastníků řešení sporů. A naopak společnost Arsalon Technologies (www.arsalon.net), poskytovatel cloud hostingových služeb, je uvedena na seznamu BBB pro řešení sporů v rámci „bezpečného přístavu“, ale není aktuálním členem „bezpečného přístavu“ (stav k říjnu 2013). BBB, TRUSTe a další poskytovatelé služeb alternativního řešení sporů musí odstranit nebo opravit tvrzení týkající se osvědčení „bezpečného přístavu“. Je třeba, aby byli vázáni vymahatelným požadavkem vydávat osvědčení pouze společnostem, které náleží k „bezpečnému přístavu“.

[50]             Viz rozhodnutí Komise 2000/520/ES, s. 7 (další předání).

[51]             Viz: „Clarifications Regarding the US-EU Safe Harbor Framework and Cloud Computing“ (Vysvětlení v souvislosti s rámcem ustanovení pro „bezpečný přístav“ mezi EU a USA a cloud computing):        http://export.gov/static/Safe%20Harbor%20and%20Cloud%20Computing%20Clarification_April%2012%202013_Latest_eg_main_060351.pdf.

[52]             Tyto poznámky se týkají poskytovatelů cloudových služeb, kteří nejsou součástí systému „bezpečného přístavu“. Podle poradenské společnosti Galexia „je míra příslušnosti k systému ,bezpečného přístavu‘ (a dodržování jeho zásad) mezi poskytovateli cloudových služeb poměrně vysoká. Poskytovatelé cloudových služeb mají víceúrovňovou ochranu soukromí, jež je často kombinací přímých smluv s klienty a zastřešujících opatření pro ochranu soukromí. Až na jednu či dvě důležité výjimky dodržují poskytovatelé cloudových služeb, kteří jsou členy ,bezpečného přístavu‘, zásadní ustanovení týkající se řešení sporů a prosazování. V současné době nejsou na seznamu nepravdivých tvrzení o členství v systému „bezpečného přístavu“ žádní velcí poskytovatelé cloudových služeb.“ (vystoupení Chrise Connollyho ze společnosti Galexia na slyšení výboru LIBE v rámci šetření ve věci hromadného elektronického sledování občanů EU).

[53]             Viz příloha 1 rozhodnutí o „bezpečném přístavu“: „Dodržování těchto zásad může být omezeno: a) v rozsahu nezbytném pro splnění požadavků bezpečnosti státu, veřejného zájmu nebo prosazování zákonů; b) zákonem, správním nařízením nebo judikaturou, které vytvářejí protichůdné závazky, nebo výslovným zmocněním za předpokladu, že při výkonu takového zmocnění může organizace prokázat, že nedodržení zásad je omezeno na rozsah nezbytný pro dodržení nadřazených oprávněných zájmů, jimž má toto zmocnění sloužit; nebo c) jestliže směrnice nebo právo členského státu umožňují výjimky nebo odchylky, pokud se takové výjimky nebo odchylky uplatňují ve srovnatelných souvislostech. V souladu s cílem zvýšit ochranu soukromí by organizace měly usilovat o úplné a transparentní uplatňování těchto zásad, včetně toho, že uvedou, v jakých případech se výjimky ze zásad povolené podle písmene b) budou v jejich programu na ochranu soukromí uplatňovat pravidelně. Z téhož důvodu se očekává, že pokud podle těchto zásad nebo práva Spojených států existuje možnost volby, organizace zvolí pokud možno vyšší úroveň ochrany.“

[54]             Stanovisko 4/2000 k úrovni ochrany poskytované „zásadami bezpečného přístavu“ přijaté dne 16. května 2000 pracovní skupinou pro ochranu údajů zřízenou podle článku 29.

[55]             Stanovisko 4/2000 k úrovni ochrany poskytované „zásadami bezpečného přístavu“ přijaté dne 16. května 2000 pracovní skupinou pro ochranu údajů zřízenou podle článku 29.

[56]             Relativně průhledné informace v tomto směru poskytují některé evropské společnosti, které přijaly zásady „bezpečného přístavu“. Například společnost Nokia, která má provozy ve Spojených státech a je členem systému „bezpečného přístavu“, uvádí ve svých zásadách ochrany soukromí následující oznámení: „Z kogentních ustanovení zákona pro nás může vyplývat povinnost poskytnout vaše osobní údaje některým orgánům nebo třetím stranám, jako jsou orgány činné v trestním řízení v zemích, kde působíme my nebo třetí strany jednající našim jménem.“

Top