M. Sýkora Horňáková | 4.12.2024
Profesní žebříčky ocenily hned 2 naše expertky. Gratulujeme!Daně, účetnictví, právo a nejen to. Všechny klíčové novinky pro váš byznys.
Veronika Odrobinová | Tomáš Přibyl | 13. Července 2023
Předávání osobních údajů hraje v dnešním globalizovaném světě podstatnou roli. Mezinárodní předávání dat je na denním pořádku a moderní technologie činí toto předávání stále více sofistikovaným. Tohoto si byli, a stále jsou, vědomi i evropští zákonodárci, kteří se již několik desítek let snaží data občanů EU ochránit regulací jejich předávání do třetích zemí.
Již 6. července 2000 Evropská komise přijala rozhodnutí, které stanovilo, že zásady „bezpečného přístavu“ zajišťují odpovídající úroveň ochrany osobních údajů předávaných ze Společenství organizacím usazeným v USA. Zásady Safe Harbor v praxi umožňovaly jednoduché předávání osobních údajů ze zemí EU do USA, a to společnostem, které se přihlásily k dodržování principů bezpečného přístavu. Pro občana EU užívajícího jakékoliv služby založené na výměně osobních dat mezi USA a EU, bylo garantováno bezpečné nakládání s jeho osobními údaji. 6. října 2015 Soudní dvůr Evropské unie v rozhodnutí C‑362/14, Maximilian Schrems proti proti Data Protection Commissioner prohlásil rozhodnutí Komise ze dne 26. července 2000 za neplatné (tzv. Schrems I).
Nařízení (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR“), konkrétně jeho článek 45, stanoví, že předávání osobních údajů do určité třetí země nebo určité mezinárodní organizaci se může uskutečnit, pokud Evropská komise rozhodla, že tato třetí země zajišťuje odpovídající úroveň ochrany, čímž se rozumí, že úroveň ochrany ve třetí zemi musí být v podstatě ekvivalentní té evropské.
Po zrušení Safe Harbour (bezpečného přístavu) a krátkém období bezvládí probíhalo předávání dat mezi Evropskou unií a Spojenými státy v souladu s článkem 45 GDPR zejména na základě rozhodnutí Evropské komise 2016/1250 ze dne 12. července 2016, které reflektovalo právní rámec mezi EU a USA označovaný jako tzv. Privacy Shield. V praxi se americké společnosti nechávaly zapsat na seznam zřízený Ministerstvem obchodu USA a díky tomu bylo předávání osobních údajů z EU považováno za učiněné v souladu s požadovanou úrovní ochrany dle GDPR. Avšak Privacy Shield byl na základě rozhodnutí Soudního dvora EU (dále jen „SDEU“) ve věci C-311/18 Data Protection Commissioner v. Facebook Ireland Limited a Maximilian Schrems (tzv. Schrems II) zrušen.
Od zrušení Privacy Shieldu bylo nejasné, zda a za jakých podmínek lze nadále předávat osobní údaje z EU do USA. Transfer dat byl nadále potřebný, a proto bylo nutné najít nové prostředky, které by jej umožnily. Mezi tyto prostředky se řadí tzv. vhodné záruky podle článku 46 GDPR a tzv. výjimky podle článku 49 GDPR, který obsahuje jejich taxativní výčet. Vhodné záruky dle článku 46 GDPR zahrnují v praxi různé nástroje pro předávání osobních údajů, zejména tzv. standardní smluvní doložky o ochraně osobních údajů přijaté Evropskou komisí. Ty představují vzorový text smlouvy (v současnosti se používají ve verzi z roku 2021) mezi vývozcem osobních údajů (správce nebo zpracovatel), který hodlá předat osobní údaje do třetí země nedisponující odpovídající úrovní ochrany, a dovozcem osobních údajů v této třetí zemi (správce nebo zpracovatel).
Vzhledem ke komplikovanosti předávání osobních údajů po zrušení Privacy Shieldu, přijala 10. července 2023 Evropská komise rozhodnutí o přiměřenosti týkající se předávání dat mezi EU a USA podle EU-US Data Privacy Framework (dále jen „Rozhodnutí“ a „DPF“), čímž Evropská komise konstatovala, že úroveň ochrany dat v USA je v současné době stejná jako v Evropské unii. Předávání dat mezi Evropou a Spojenými státy podle DPF (pozor, ne však pro veškeré recipienty v USA, jak je vysvětleno v odstavci níže), by tedy nyní mělo probíhat volně, bez potřeby dalších právních pojistek, jako byly doposud, respektive od zrušení Privacy Shieldu, používané standardní smluvní doložky nebo závazná podniková pravidla.
Aby se příjemce v USA (společnosti/organizace) mohl přidat k DPF, musí potvrdit, že dodržuje zásady DPF, což znamená, že musí vyvinout zásady ochrany osobních údajů odpovídající DPF, identifikovat nezávislý opravný mechanismus a provést certifikaci (self certification) prostřednictvím webové stránky poskytnuté Ministerstvem obchodu USA. Seznam certifikovaných společností je na těchto webových stránkách DPF rovněž uveden, takže vývozci údajů z EU mohou snadno zkontrolovat, zda dovozce údajů z USA využívá ochrany podle rozhodnutí o přiměřenosti DPF.
Dle Evropské komise (dále také jako „EK“) DPF představuje podstatné zlepšení ochrany osobních údajů a vypořádává se s podstatnými námitkami SDEU, které byly vzneseny v rozhodnutí Schrems II, jež vedlo ke zrušení Privacy Shieldu. Zejména se jedná o přístup vlády USA k datům občanů EU, kdy EK konstatuje, že nyní již právo USA obsahuje mnoho limitací a záruk, pokud jde o přístup a použití osobních údajů pro účely vymáhání trestního práva a pro účely národní bezpečnosti.
Dále co se týká SDEU požadovanou možností soudní nápravy, dochází EK k závěru, že v USA nově zřízený soud pro přezkum ochrany údajů (Data Protection Review Court) je nezávislým soudem, ke kterému budou mít přístup všichni občané z EU. V neposlední řadě fungování DPF bude podléhat pravidelným kontrolám prováděným EK společně se zástupci evropských orgánů pro ochranu údajů (v Česku Úřad pro ochranu osobních údajů) a příslušných orgánů USA. Podle článku 3 Rozhodnutí musí EK neustále kontrolovat dodržování DPF. Pokud by EK měla k dispozici jakékoliv náznaky, že přiměřená úroveň ochrany již není zajištěna, bude informovat příslušné orgány USA a v případě potřeby může rozhodnout o pozastavení, změně nebo zrušení rozhodnutí o přiměřenosti nebo o omezení jeho působnosti. První takový přezkum má proběhnout v červenci 2024.
Přes výše uvedené však zůstává otázkou, zda tato nová dohoda vydrží a obstojí před SDEU. Ostatně aktivista Maximilian Schrems, podle něhož byla obě rozhodnutí Schrems pojmenována, po přijetí Rozhodnutí řekl, že se proti němu odvolá. Dle jeho slov očekává, že žalobu podá začátkem příštího roku 2024, přičemž SDEU může pozastavit DPF, a tudíž samotné předávání dat na jejím základu, při procesu jejího přezkoumávání. Osud DPF, a tudíž i jistota pro jednodušší předávání dat mezi EU a USA, tedy zůstává nejasný.