Předávání osobních údajů do Velké Británie v kontextu Brexitu

Výsledky referenda způsobily velkou vlnu nejistoty. Britská libra klesla na historické minimum, investoři prozatím pozastavují své investice. Nadnárodní korporace jako Vodafone, Samsung nebo LG zvažují přesun svých centrál z Londýna na kontinent a Británii tak hrozí tzv. „techxit“. Techxit tak může zmařit dlouholeté a intenzivní snahy britské vlády vybudovat z Londýna technologické světové centrum a země tak může přijít o významný pilíř své ekonomiky, která již v dnešní době tvoří 10 % HDP.

Proč ale vystoupení Velké Británie vyvolává mezi investory a podnikateli takovou vlnu nejistoty? Proč se nadnárodní korporace chystají k tak radikálnímu kroku, jako je komplexní přesun svého zázemí na kontinent? Z právního hlediska je odpovědí zejména jednotný trh a evropská harmonizace. Velká Británie jako členský stát EU v současné době profituje z harmonizovaných, případně jednotně regulovaných, obchodních pravidel v rámci celé EU. Ačkoliv v zemi zůstanou v platnosti zákony s transponovanými evropskými směrnicemi, není takový právní rámec dostatečný. Zejména pro finanční obor nebo úpravu osobních údajů jsou v dnešní době stěžejní zejména evropská nařízení, která jsou přímo aplikovatelná a aplikují se přímo ze své podstaty právního předpisu EU. Jakmile však Británie opustí EU, v zemi okamžitě přestanou veškerá nařízení ze své podstaty platit. Bude pak na anglickém zákonodárci, aby rozhodl, zda některá z evropských nařízení přijme za svá či zda se rozhodne pro zcela odlišný přístup.

Úvahy nad svým odchodem z Velké Británie zveřejnila, mezi jinými, i karetní společnost Visa. Její odchod z Británie se jeví jako logický – v zemi nejenže přestanou platit jednotná finanční nařízení, ale rovněž nelze vyloučit, že by za určitých okolností mohl mít Brexit vliv na předávání osobních údajů mezi EU a Velkou Británií. Taková změna by samozřejmě mohla ovlivnit podmínky, za kterých finanční instituce jako Visa zpracovává veškeré transakce a osobní údaje o svých zákaznících. Společnost Visa je však jen vrcholem pomyslného ledovce – situace z hlediska ochrany a přenosu osobních údajů se dotýká všech společností i jedinců, jejichž činnost jakkoliv souvisí s osobními údaji občanů EU. Takovým příkladem může být např. provozování cloudových služeb, e-shopů, retailových služeb, služeb elektronických komunikací nebo i jen fungování nadnárodních společností sdílejících data mezi pobočkami. Takových podnikatelských činností je nezměrná řada a proto shrnujeme různé scénáře, které přicházejí v úvahu v souvislosti s předáváním osobních údajů mezi Velkou Británií a Evropskou unií.

Ochrana osobních údajů je v současné době v rámci Unie upravena pouze na úrovni harmonizace (tj. směrnice musí být implementována do právního řádu každého členského státu, s čímž jsou spojeny odchylky mezi jednotlivými národními úpravami), a to prostřednictvím Směrnice 95/46/ES (dále jen „Směrnice“), která zajišťuje volný pohyb osobních údajů mezi členskými státy. Ačkoliv Směrnice je předpisem EU, je na základě multilaterální smlouvy mezi jednotlivými členskými státy a Evropským hospodářským společenstvím (dále jen „EHS“) platná a aplikovatelná právě v EHS, kde se tím pádem pro předávání a zpracovávání osobních údajů uplatňují stejná pravidla jako mezi státy EU. Díky tomu pro Norsko, Lichtenštejnsko a Island, které jsou členy pouze EHS, platí stejný režim jako pro zbylé státy EU. Do zemí mimo EHS smí být osobní údaje předávány pouze za podmínky, že taková třetí země zajišťuje odpovídající úroveň ochrany osobních údajů vyžadovanou Směrnicí.

Z pohledu dnešního právního rámce situace pro Velkou Británii nevyznívá nijak tragicky – vzhledem k tomu, že coby členský stát EU vázaný evropským právem – má Směrnici řádně implementovanou (ve svém Data Protection Act z roku 1998), zjevně by splnila podmínky odpovídající úrovně ochrany. Situace pro Británii se však komplikuje. Za méně než dva roky (25. května 2018) nabude účinnosti nové nařízení o ochraně osobních údajů (General Data Protection Regulation – dále jen „GDPR“). Vzhledem k tomu, že je velmi nepravděpodobné, že Británie opustí EU dříve než za dva roky (a obě strany již naznačily, že nehodlají celý proces nijak uspěchat a lhůty se naopak spíše ještě prodlouží), bude na toto přechodné období Británie GDPR vázána. GDPR je však nařízení, a jakmile proběhne Brexit, GDPR (spolu s ostatními nařízeními) přestane ve Velké Británii platit a její občané ani společnosti tak nebudou této normě podléhat.

V takovém okamžiku bude zásadní, zda Británie vystoupí i z EHS, či nikoliv. V případě, že v EHS zůstane, v zásadě by se pro Británii z hlediska přenosu a zpracování osobních údajů nic nezměnilo. EHS v tuto chvíli již podniká veškeré nezbytné kroky k přijetí GDPR a k okamžiku jeho nabytí účinnosti v EU by tak mělo být aplikovatelné i v rámci EHS. Proto v případě, že se Británie rozhodne pro setrvání v EHS, bude volný pohyb osobních údajů mezi EU a Velkou Británií zachován i po Brexitu a Velká Británie bude podléhat stejnému režimu jako Norsko, Lichtenštejnsko a Island.

Pokud by se však Velká Británie rozhodla EHS opustit, přišla by o výhodu volného pohybu osobních údajů zajišťovaného GDPR. Evropská komise by musela posoudit, zda právo Velké Británie poskytuje odpovídající úroveň ochrany v porovnání s požadavky EU. Současná právní úprava předávání osobních údajů je diskutována (připomeňme si např. nedávné zrušení dohody o tzv. Safe Harbor, která zajišťovala volný přenos osobních údajů mezi EU a USA a kterou tak musel nahradit v červenci tohoto roku schválený Privacy Shield) a nelze tedy vyloučit, že budou v budoucnu přijata přísnější pravidla pro předávání osobních údajů mimo EU. To by mohlo přimět Velkou Británii k přijetí GDPR nebo obdobné právní regulace na národní úrovni. V případě, že by Komise neuznala, že Velká Británie zajišťuje odpovídající úroveň ochrany, byla by Velká Británie pro účely předávání osobních údajů považována za třetí zemi a předávání osobních údajů by muselo probíhat na základě jiných mechanismů, jakými jsou například standardní smluvní doložky.

Vedle právního rámce EU a EHS je Velká Británie stále stranou Úmluvy Rady Evropy o ochraně osob se zřetelem na automatizované zpracování osobních údajů (dále jen „Úmluva“). Podle Úmluvy není žádná z jejích stran oprávněná – výhradně pro účely ochrany soukromí – omezit předávání osobních údajů jiné straně Úmluvy. Teoreticky by tedy měl být zajištěn volný pohyb osobních údajů mezi signatáři Úmluvy (Úmluvu ratifikovaly všechny členské státy EU/EHS a několik dalších, zejména evropských států). Nicméně Velká Británie učinila ve vztahu k Úmluvě prohlášení, kterým vyloučila některé kategorie automatizovaného zpracování osobních údajů týkajících se účtů a výpisů z nich. Takové prohlášení by mohlo být považováno za nesplnění standardů a vyžadované úrovně ochrany, které vyžaduje GDPR. Pokud by neexistovalo rozhodnutí Komise o tom, že Velká Británie poskytuje odpovídající úroveň ochrany osobních údajů, legalita předávání osobních údajů z EU do Velké Británie by po Brexitu byla zpochybnitelná.

Režim, ve kterém bude po realizaci Brexitu probíhat přenos osobních údajů, bude záviset na postupu, pro který se Velká Británie rozhodne. V případě, že vystoupí z EU, ale zůstane členským státem EHS, Británie bude i nadále čerpat výhod volného pohybu dat. Pokud však Brexit EU bude znamenat i opuštění EHS, Velká Británie bude pravděpodobně muset přijmout nový legislativní rámec, který se z větší míry bude podobat GDPR – v opačném případě by nemusela získat statut země s odpovídající úrovní ochrany osobních údajů a značně by zkomplikovala život svým občanům i společnostem, které by se musely spoléhat na mechanismy, jako jsou standardní smluvní doložky či závazná korporátní pravidla.




Mgr. Jana Pattynová, LL.M.,
advokátka a partnerka

Mgr. Dominik Vítek,
advokátní koncipient


PIERSTONE s.r.o., advokátní kancelář

Na Příkopě 9
110 00  Praha 1

Tel.:    +420 224 234 958


[*] Aktualizace textu, 3.8.2016

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz