Privacy Shield již nebude moci sloužit k přenosu dat do USA
Soudní dvůr Evropské Unie dne 16. července 2020 prohlásil rozsudkem ve věci C-311/18 (Data Protection Commissioner v. Facebook Ireland a Schrems) rozhodnutí Komise 2016/1250 o odpovídající úrovni ochrany poskytované štítem EU – USA na ochranu soukromí (štít EU – USA na ochranu soukromí dále jen jako „Privacy Shield“) za neplatné, čímž podstatně ztížil možnost předání osobních údajů z EU do USA.
Právní rámec
Předání osobních údajů z Evropské unie do třetích zemí je mimo jiné možné v případě, kdy je toto předání založené na rozhodnutí o odpovídající ochraně vydávané Komisí dle čl. 45 GDPR (dříve byl obdobný požadavek vyjádřen v čl. 25 odst. 1 směrnice o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, tj. že členské státy mohly umožnit předání osobních údajů do třetích zemí pouze v případě, že tyto třetí země zajistí odpovídající úroveň ochrany). Rozhodnutí Komise 2016/1250 reflektující Privacy Shield bylo právě takovým rozhodnutím o odpovídající ochraně dle čl. 45 GDPR.
Zrušení rozhodnutí Komise 2016/1250
Soudní dvůr Evropské unie založil své rozhodnutí na tvrzení, že Privacy Shield umožňuje tajným službám a jiným vládním agenturám USA vyžádat data od soukromých amerických společností, přičemž v takovém případě ustupují evropské standardy ochrany osobních údajů stranou. Soudní dvůr Evropské unie považuje tuto možnost za porušení nejen předpisů o ochraně osobních údajů, ale dokonce samotné Listiny základních práv Evropské unie. Zároveň Privacy Shield nedával možnost efektivní procesní ochrany subjektům osobních údajů tak, jak je vyžadováno evropskými předpisy.
Možná řešení nastalé situace
Pokud pro vás byl Privacy Shield legálním základem pro export osobních údajů z EU do USA, je nyní nutné zvolit jiný právní základ, aby se předešlo případným pokutám ze strany dohledových orgánů.
Osobní údaje z EU do USA lze například předat na základě souhlasu subjektu osobních údajů a dalších specifických situací vyjádřených v čl. 49 GDPR, nebo na základě závazných podnikových pravidel dle čl. 47 GDPR (přičemž souhlas subjektu údajů je nejslabší možný titul pro předání, a závazná podniková pravidla lze vyhotovit pouze v rámci podnikatelského uskupení vykonávající společnou hospodářskou činnost, a navíc musí být předem schváleny dozorovým úřadem). Krom výše uvedeného lze taktéž využít i tzv. standardní doložky.
Standardní doložky jsou přijímány buď samotnou Komisí, nebo případně dozorovými úřady za současného schválení Komisí. Standardní doložky pro předávání osobních údajů z EU do třetích zemí jsou obsaženy v prováděcím předpisu vydaném jako rozhodnutí Komise 2010/87, jež byl prováděcím předpisem k tehdy ještě platné směrnici o ochraně osobních údajů.
Soudní dvůr Evropské unie nicméně konstatoval, že rozhodnutí Komise 2010/87 o standardních doložkách je použitelné i pro účely GDPR, zároveň ale Soudní dvůr Evropské unie objasnil, za jakých podmínek lze tyto doložky pro předání osobních údajů z EU do USA využít.
Nutná opatření při užití standardních doložek
Pokud jsou osobní údaje subjektů předávány do třetích zemí, tak na takové subjekty údajů se musí vztahovat úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené v Evropské unii.
Zároveň dle doložky č. 5 obsažené v rozhodnutí Komise 2010/87 je povinností příjemce osobních údajů informovat vývozce, že nebude moci zajistit dodržování povinností, které pro něj vyplývají z uzavřené smlouvy. Krom toho příjemce musí osvědčit, že nemá důvod se domnívat, že mu právní předpisy jeho domovského státu brání plnit povinnosti vyplývající z uzavřené smlouvy a příjemce se zavazuje neprodleně informovat vývozce osobních údajů v případě, že se tato situace změní.
Toto osvědčení je pro ochranu smluvních stran vhodné vyhotovit písemně při nejbližší možné příležitosti. Je totiž povinností správce pozastavit předávání osobních údajů do třetí země v případě, že shledá, že ochrana osobních údajů není naplněna dle požadavků pro předávání na základě standardních doložek. Pokud tak neučiní, hrozí mu postih ze strany dozorového orgánu.
V případě, že na začátku předávání je vývozce ujištěn a přesvědčen, že třetí stát dává adekvátní ochranu osobním údajům, ale tato situace se v průběhu času změní, nejen že musí pozastavit předávání osobních údajů, ale je též nutné, aby příjemce veškeré již předané údaje navrátil (včetně jejich kopií) nebo případně zničil.
Soudní dvůr Evropské unie přenesl na dozorové úřady členských států velice silnou pravomoc rozhodovat o tom, zda standardní doložky mohou být ve třetím státě dodrženy s ohledem na tamější právní úpravu. V případě, že dozorový úřad dojde k názoru, že takové standardní doložky můžou být jakkoli narušeny, a tedy nebude dána v podstatě stejná úroveň ochrany osobních údajů, jakou nabízí unijní právo, jsou dozorové úřady povinny předávání osobních údajů dočasně nebo trvale do této třetí země na základě standardních doložek zakázat.
Neprodleně nutné kroky
Pro větší přehlednost zde zjednodušeně uvádíme v bodech nutné kroky, které správci osobních údajů musí zajistit v souvislosti s výše uvedeným rozhodnutím Soudního dvora Evropské unie:
- Zjistit, zda jsou osobní údaje do USA předávány na základě čl. 45 GDPR, tedy na základě Privacy Shield;
- Pokud ano, je nutné toto předávání podložit jiným právním důvodem předpokládaným GDPR, tedy ať už souhlasem subjektu osobních údajů, závaznými podnikovými pravidly nebo standardními doložkami dle rozhodnutí Komise 2010/87;
- V případě, že se rozhodnete pro oprávnění předávání využít standardní doložky, je nejdříve nutné posoudit, zda je v USA náležitá ochrana osobních údajů, tj. především, že tamní právní předpisy nepovoleným způsobem neovlivňují, resp. nevylučují použitelnost standardních doložek. Tento krok nemůže být podceňován a pro předávajícího správce osobních údajů by to neměl být „pouze nějaký papír“, ostatně o složitosti vypracování takového posudku svědčí i fakt, že sám Soudní dvůr Evropské unie v nadepsaném rozhodnutí zhodnotil, že právo USA není kompatibilní se základními právy garantovanými Evropskou unií;
- Následně je nutné si od příjemce osobních údajů vyžádat osvědčení o tom, že nemá důvod se domnívat, že mu právní předpisy USA brání plnit pokyny vývozce osobních údajů a jeho povinnosti vyplývající ze smlouvy a že v případě změny těchto právních předpisů, která by mohla mít výrazně nepříznivý dopad na ochranná opatření a závazky stanovené doložkami, oznámí neprodleně tuto změnu vývozci osobních údajů;
- Vývozce osobních údajů je pak oprávněn pozastavit vývoz těchto osobních údajů, a pokud se i přesto rozhodne v něm pokračovat, musí informaci příjemce osobních údajů o tom, že již nadále nelze standardní doložky dodržovat, předložit dozorovému orgánu.
Závěr
S ohledem na odůvodnění výše uvedeného rozsudku lze předpokládat, že dozorové úřady jednotlivých členských států postupně dojdou k závěru, že právo USA nedává takovou úroveň ochrany osobním údajům, aby při předávání osobních údajů mohly být standardní doložky využívány. Prozatím se ale jeví, že právě tyto standardní doložky by, alespoň dočasně, mohly být stále nástrojem, jak překonat ono „vakuum“ bez platného rozhodnutí Komise o odpovídající ochraně.
Další články
Evropská unie rozšiřuje regulaci AI. Obsah generovaný nebo upravený umělou inteligencí musí být pro uživatele rozpoznatelný
Jednou z nejzásadnějších změn v oblasti regulace AI budou nová pravidla transparentnosti, která vstoupí v účinnost 2. srpna 2026. Zavádějí povinnost jakýkoli AI obsah označit, informovat o deepfakes a upozornit uživatele, pokud komunikuje s umělou inteligencí.
Svěřenské fondy v realitních transakcích: Transparentní evidence skutečných majitelů versus limity AML prověrky
Využívání institutu svěřenských fondů zažívá v České republice v posledních letech dynamický nárůst, a to nejen jako nástroj pro správu rodinného majetku (family office) či mezigenerační transfer, ale stále častěji i jako entita vystupující v roli investora na realitním trhu. Pro realitní zprostředkovatele a další povinné osoby však toto uspořádání představuje značnou výzvu v oblasti Anti-Money Laundering (AML) procesů.
Maximální ceny pohonných hmot vyhlašované Ministerstvem financí
Ministerstvo financí od 8. dubna tohoto roku vyhlašuje v reakci na aktuální situaci na světových trzích a v návaznosti na to na domácím trhu každý pracovní den maximální ceny pohonných hmot na následující den, v případě vyhlášení v pátek na následující víkend a pondělí. Jaký je právní základ tohoto jeho počínání?
Česká republika rozšiřuje povinný screening zahraničních investic
Zahraniční investoři zvažující vstup do cílových společností aktivních na českém trhu by měli věnovat pozornost zásadní změně v oblasti prověřování zahraničních investic (FDI). Od 1. listopadu 2025 se v důsledku novely zákona o prověřování zahraničních investic výrazně rozšířil okruh transakcí, které podléhají povinné notifikaci a schválení ze strany Ministerstva průmyslu a obchodu. Povinnému screeningu budou nově častěji podléhat investice zejména v digitálním, technologickém, zdravotnickém či energetickém sektoru.
Nová „tlačítková” povinnost pro e-shopy
Od června 2026 budou muset provozovatelé e-shopů umístit na svůj web speciální tlačítko, jehož prostřednictvím bude moci spotřebitel jednoduše odstoupit od smlouvy. Tuto povinnost přináší připravovaná novela občanského zákoníku, která vychází z unijní směrnice. Jejím cílem je zajistit, aby bylo odstoupení od smlouvy pro spotřebitele stejně snadné jako její uzavření.
