Dne 28. června 2021 přijala Evropská komise (EK) dvě rozhodnutí[1] ve věci odpovídající úrovně ochrany osobních údajů ve vztahu ke Spojenému království (UK) – jedno ve smyslu obecného nařízení o ochraně osobních údajů (GDPR) a druhé ve smyslu tzv. trestněprávní směrnice, která upravuje zvláštní pravidla pro ochranu osobních údajů a volný pohyb osobních údajů v této oblasti, která je vyňata z působnosti GDPR. Tato dvě rozhodnutí jsou velkou událostí nejen pro britské podniky, ale i pro předávání osobních údajů mezi Evropským hospodářským prostorem (EHP) a Spojeným královstvím obecně, neboť s přijetím rozhodnutí o odpovídající úrovni ochrany nyní EU k UK přistupuje jako k zemi, která disponuje v zásadě rovnocennou úrovní ochrany, kterou zaručují právní předpisy EU, přestože již sama není jejím členem – osobní údaje tak budou moci nadále volně proudit z EU, resp. EHP do UK a vyhnou se tak jakýmkoli právním překážkám. Nicméně, Komise rovněž přichází i s jasným varováním, že v případě, kdy bude UK usilovat o oslabení ochrany poskytované osobním údajům v rámci stávajícího režimu, EK neprodleně zasáhne. Obě rozhodnutí Evropské komise tak za účelem ochrany standardů EU obsahují přísná ochranná opatření pro případ budoucích odchylek, jakým je např. tzv. „doložka o ukončení platnosti“, která omezuje dobu trvání odpovídající ochrany na čtyři roky.
Co rozhodnutím Komise předcházelo
Návrhy obou rozhodnutí o odpovídající ochraně zveřejnila Komise dne 19. února 2021, a tím rovněž zahájila jejich postupný proces přijímání. V uplynulých měsících byly ze strany Komise pečlivě posuzovány jednotlivé právní předpisy i samotná právní praxe UK v oblasti ochrany osobních údajů, a to včetně pravidel pro přístup orgánů veřejné moci k údajům v UK, což se v souvislosti s rozhodnutím SDEU ve věci známé pod označením Schrems II[2] ukázalo být klíčovou otázkou k posouzení o odpovídající úrovni ochrany. Komise při své činnosti úzce spolupracovala s Evropským sborem pro ochranu osobních údajů, Evropským parlamentem a jednotlivými členskými státy. V závěru tohoto značně rozsáhlého procesu Komise požádala zástupce členských států o zelenou pro rozhodnutí o odpovídající ochraně v rámci tzv. postupu projednávání ve výborech. Následné přijetí rozhodnutí po souhlasu zástupců členských států bylo posledním krokem celého procesu. Obě rozhodnutí o odpovídající úrovni ochrany osobních údajů vstoupila v platnost dne 28. června 2021.
Přijetí rozhodnutí o odpovídající úrovni ochrany představuje důležitý prvek nezbytný pro zajištění řádného uplatňování a fungování Dohody o obchodu a spolupráci mezi EU a Spojeným královstvím (TCA)[3], která obsahuje závazek EU a UK dodržovat vysokou úroveň standardů ochrany údajů. Stanoví rovněž, že jakékoli předávání údajů, které má být uskutečněno v souvislosti s jejím prováděním, musí být v souladu s požadavky na ochranu údajů předávající strany (v případě EU s požadavky GDPR a trestněprávní směrnicí). TCA také stanovila podmíněný přechodný režim, v jehož rámci mohly údaje volně proudit z EU do UK. Toto přechodné období skončilo 30. června 2021. Pokud by do konce přechodného období rozhodnutí přijato nebylo, znamenalo by to, že se tok osobních údajů mezi EU a UK musí řídit jiným nástrojem pro předávání osobních údajů dle čl. 46 GDPR, a to zejména standardními smluvními doložkami, které v porovnání s rozhodnutím o odpovídající úrovni ochrany vyžadují k uzavření značné dodatečné úsilí a jsou i finančně náročnější.
Klíčové prvky rozhodnutí o odpovídající úrovni ochrany
Systém ochrany osobních údajů v UK je i nadále založen na stejných pravidlech, která platila v době, kdy bylo UK členským státem EU. Zásady, práva a povinnosti vyplývající z GDPR a trestněprávní směrnice UK začlenilo po Brexitu plně do svého právního systému. Pokud jde o přístup veřejných orgánů v UK k osobním údajům, zejména z důvodu národní bezpečnosti, poskytuje systém UK silné záruky. Je tomu tak zejména v případě shromažďování údajů zpravodajskými orgány, které v zásadě podléhá předchozímu povolení nezávislého soudního orgánu. Jakékoli opatření v těchto věcech musí být nezbytné a přiměřené tomu, čeho má být dosaženo. Každé osobě, která se domnívá, že byla předmětem nezákonného sledování je navíc umožněno podat žalobu k Tribunálu pro kontrolu vyšetřovacích pravomocí (IPT). UK rovněž podléhá jurisdikci Evropského soudu pro lidská práva a je tak jeho povinností postupovat v souladu jednak s Evropskou úmluvou o lidských právech a jednak s Úmluvou Rady Evropy o ochraně osob se zřetelem na automatizované zpracování osobních dat, která je zároveň jedinou závaznou mezinárodní smlouvou v oblasti ochrany údajů. Tyto mezinárodní závazky jsou základními prvky právního rámce posuzovaného v obou rozhodnutích o odpovídající ochraně.
Tato rozhodnutí vůbec poprvé obsahují tzv. „doložku o ukončení platnosti“, která dobu jejich platnosti striktně omezuje. To znamená, že platnost těchto rozhodnutí automaticky vyprší čtyři roky po jejich vstupu v platnost. Po uplynutí této doby mohou být závěry o odpovídající úrovni ochrany obnoveny, avšak pouze v případě, že UK bude i nadále zajišťovat odpovídající úroveň ochrany údajů. Komise při přijetí rozhodnutí zdůraznila, že její rozhodnutí neznamená, že UK po následující čtyři roky bude mít zaručeně čistý štít. Během těchto čtyř let bude Komise nadále sledovat právní situaci v UK a bude moci zasáhnout, kdykoli se UK odchýlí od stávající úrovně ochrany. V případě, že se Komise rozhodne své závěry o odpovídající ochraně obnovit, bude nutné provést proces jejich přijetí od samotného počátku.
Závěr
Situace je tedy nyní pro předávání osobních údajů mezi EU a UK příznivá. Nelze však s jistotou tvrdit, že tomu tak bude po celé čtyřleté období. Podle slov Komise bude ochrana osobních údajů v UK pod jejím drobnohledem a již nyní se šíří obavy, že úroveň ochrany osobních údajů v UK bude mít v dalším období klesající tendenci. Nicméně nejpozději v roce 2025 bude muset UK projít stejným procesem revize úrovně ochrany osobních údajů, přičemž jistota prodloužení stávajícího rozhodnutí o odpovídající úrovni ochrany osobních údajů nepanuje.
[1] Tisková zpráva Evropské Komise ze dne 28. června 2021: https://ec.europa.eu/commission/presscorner/detail/en/ip_21_3183
Rozhodnutí ve smyslu GDPR v angličtině: https://ec.europa.eu/info/sites/default/files/decision_on_the_adequate_protection_of_personal_data_by_the_united_kingdom_-_general_data_protection_regulation_en.pdf
Rozhodnutí ve smyslu tzv. trestněprávní směrnice v angličtině: https://ec.europa.eu/info/sites/default/files/decision_on_the_adequate_protection_of_personal_data_by_the_united_kingdom_law_enforcement_directive_en.pdf
[2] Rozsudek Soudního dvora ze dne 16. července 2020, Schrems II, C-311/18, C:2020:559. https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091cs.pdf
[3] Dohoda o obchodu a spolupráci mezi Evropskou unií a Evropským společenstvím pro atomovou energii na jedné straně a Spojeným královstvím Velké Británie a Severního Irska na straně druhé, Úř. věst. L 444, 31.12.2020, s. 14-1462. https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=uriserv%3AOJ.L_.2020.444.01.0014.01.CES&toc=OJ%3AL%3A2020%3A444%3ATOC
Diskuze k článku ()