Články
Právo IT
Sdílet

Předávání osobních údajů do USA (EU-US Data Privacy Framework)
Josef Aujezdský
Partner
14. 5. 2025
3 minuty čtení

V roce 2020 zrušil Soudní dvůr Evropské unie rozsudkem Schrems II. rozhodnutí Komise o přiměřenosti ochrany poskytované štítem EU-USA pro ochranu soukromí (Privacy Shield). Na základě tohoto štítu bylo možné předávat osobní údaje do Spojených států některým společnostem. Soud v tomto případě shledal, že model zvolený Komisí nezajišťuje dostatečnou úroveň ochrany osobních údajů předávaných do USA, jelikož americké orgány mohly přistupovat k těmto údajům a zpracovávat je pro účely národní bezpečnosti bez adekvátních záruk a omezení. Od přijetí tohoto rozhodnutí tak neexistoval z pohledu právního jednoduchý model, na základě kterého by mohlo k takovému předávání osobních údajů do USA legálně docházet (přestože praxe zejména nadnárodních společností se v této oblasti příliš nezměnila).

Dne 10. července 2023 tak Evropská komise přišla již se třetím pokusem vytvořit legální mechanismus pro předávání osobních údajů z EU do USA. Má se tak stát prostřednictvím tzv. Rámcové dohody EU-USA o ochraně osobních údajů, která byla zřízena rozhodnutím Evropské komise o přiměřenosti. To bylo přijato po posouzení právního systému a praxe USA v oblasti ochrany dat, a to po konzultaci s Evropským výborem pro ochranu osobních údajů a vládami členských států.

Koncepce je opět založena na tom, že bude existovat seznam certifikovaných amerických společností, které budou oprávněny zpracovávat osobní údaje z EU, přičemž tyto společnosti budou muset dodržovat určité standardy v této oblasti. Uvedený seznam bude zveřejňován a průběžně aktualizován ze strany U.S. Department of Commerce. Americké společnosti budou moci vystupovat jak v roli správců osobních údajů, tak i v roli zpracovatelů osobních údajů. Speciální úpravě jsou pak podřízeny osobní údaje zaměstnanců.

Samotné předávání osobních údajů do USA má být doprovázeno vhodnými zárukami ochrany osobních údajů, které zajistí, že subjekty údajů z EU budou mít vůči americkým společnostem obdobná práva, jaká pro ně vyplývají z GDPR. Výslovně jsou zmiňovány právo na informace, právo na přístup, opravu, výmaz nebo omezení zpracování svých osobních údajů. Taktéž by měly mít subjekty údajů k dispozici opravné prostředky a právo na soudní ochranu při porušení jejich práv ze strany příslušných orgánů v USA. Nicméně určitě bude chvíli trvat, než se celý systém rozběhne v praxi a americké společnosti získají potřebnou certifikaci.

Výše zmiňované rozhodnutí o přiměřenosti není trvalé a může být Evropskou komisí pozastaveno nebo zrušeno, pokud vyjde najevo, že úroveň ochrany osobních údajů v USA již není dostatečná. Taktéž nelze v budoucnu vyloučit další rozhodnutí SDEU směřující k omezení či zrušení možnosti předávat osobní údaje do Spojených států, neboť míra legislativní a faktické ochrany osobních údajů ve Spojených státech je objektivně nižší, než je tomu v rámci Evropské unie. Nicméně alespoň ve střednědobém horizontu lze předpokládat, že výše uvedený model by měl být využitelný v praxi.

 

Josef Aujezdský

Tento text byl advokátní kanceláří Mašek, Kočí, Aujezdský původně vyhotoven ve spolupráci se spolkem Asociace pro elektronickou komerci (APEK) jako právní oběžník č. 07/2023 určený členům tohoto spolku.

Vstupte

K dalšímu čtení

Právo IT

Evropské nařízení pro oblast AI

5. 3. 2025

>
Právo IT

Digital Services Act (Nařízení o digitálních službách) – Základní informace

19. 10. 2024

>

Mašek, Kočí, Aujezdský je členem Asociace pro elektronickou komerci (APEK) a Mackrell International.
Nosko & Partners s.r.o. je českým a slovenským členem mezinárodní asociace advokátních kanceláří Interlegal.

© Mašek, Kočí, Aujezdský 2003-2025. All rights reserved.