V červencovém čísle právního oběžníku jsme vás informovali o rozhodnutí Soudního dvora Evropské unie ze dne 16.07.2020 , kterým zneplatnil rozhodnutí Komise ohledně štítu EU-USA na ochranu soukromí, známějším pod anglickým názvem „Privacy Shield“. Toto rozhodnutí příliš nenapomohlo již tak dost nepřehledné oblasti předávní osobních údajů do třetích zemí. V tomto čísle bychom vás rádi seznámili s nově publikovaným dokumentem Evropského sboru pro ochranu osobních údajů (dále jen „sbor“), který v návaznosti na toto rozhodnutí radí, jak v současné době předávat osobní údaje do zemí mimo Evropský hospodářský prostor.
Dostát právním požadavkům na předávání údajů do třetích zemí může být pro obchodníky komplikované minimálně už proto, že nemusí být vždy zcela zřejmé, zda se osobní údaje mimo EHS vůbec předávají či nikoliv. Řada populárních služeb, které jsou v praxi využívány, má svůj původ ve Spojených státech, nicméně některé z nich mohou mít v EU zřízenu infrastrukturu, která by měla požadavkům v této oblasti vyhovovat (osobní údaje neopustí území EHS).
Návod, který sbor publikoval, je rozdělen do šesti kroků. První doporučený krok je spíše analyticko-technického charakteru, neboť se jedná o zmapovaní, zdali správce předává osobní údaje do třetí země, a potažmo jaké osobní údaje předává mimo území Evropského hospodářského prostoru. Určité právní komplikace však nastávají již v rámci druhého kroku.
Druhým krokem je totiž ověření právního titulu, na základě kterého předávání osobních údajů probíhá. V potaz připadají ustanovení čl. 45 a čl. 46 GDPR. Článek 45 GDPR upravuje „rozhodnutí o odpovídající ochraně“. Zjednodušeně lze shrnout, že rozhodnutí o odpovídající ochraně je kladným výsledkem analýzy Komise, která se zabývá stupněm ochrany osobních údajů v konkrétní zemi mimo Evropský hospodářský prostor. Pokud je tato ochrana v podstatě totožná jako v Evropské unii, potom lze na základě výše uvedeného rozhodnutí předávat osobní údaje do této země. Tak tomu bylo i v případě „zrušeného“ Privacy Shieldu mezi USA a EU. V opačném případě musí být předání osobních údajů chráněné takzvanou „vhodnou zárukou“ podle čl. 46 GDPR . Jako vhodná záruka může sloužit kupříkladu mezinárodní smlouva, schválený kodex chování v kombinaci se závaznými a vymahatelnými závazky správce nebo zpracovatele v dané třetí zemi nebo závazná podniková pravidla, ale ta se spíše týkají větších korporátních struktur.
Třetí krok pak již tak komplikovanému druhému kroku příliš nepomáhá. Vyžaduje totiž, aby správce osobních údajů po zvolení vhodné záruky ověřil, zda v cílové třetí zemi může být efektivita vhodné záruky nějakým způsobem snížena. To v praxi znamená, že by mělo být ověřeno, zda třetí země skutečně dodržuje to, k čemu se svým právním systémem zavazuje, tedy zda taková země nevyžaduje neopodstatněně široký přístup k osobním údajům, zda neposílá získané osobní údaje do dalších zemí, či dokonce zda nemohou být data orgány veřejné moci odčerpána nebo zkopírována při datovém přenosu (i s ohledem na předchozí známé případy) Sbor tak v podstatě navrhuje, abyste zkontrolovali nejen zákony třetí země, ale i důslednost jejich dodržování a celkovou praxi ve vztahu k osobním údajům v daném státu. Lze tak podotknout, že sbor předjímá, že některé země sice mají důslednou ochranu osobních údajů „na papíře“, ale v praxi ji nedodržují či přímo zneužívají.
Čtvrtým krokem je posílení ochrany předávaných dat pomocí technických, organizačních nebo smluvních řešení. Pokud je dle třetího kroku konečná země vyhodnocena jako riziková, mělo by kupříkladu dojít k zašifrování či pseudonymizaci údajů. Pokud však ani po aplikaci těchto dodatečných opatření není správce schopen zajistit adekvátní ochranu předávaných osobních údajů, měli tento transfer ukončit, respektive ho vůbec nezačínat.
Pátý krok již spíše procesního charakteru, kdy sbor specifikuje, jaké formální procesní věci jsou potřeba k zajištění fungování dodatečných opatření dle čtvrtého kroku. V šestém kroku pak ochranný sbor připomíná, že je nutné kontrolovat efektivitu zvoleného řešení v pravidelných intervalech.
Závěrem lze říct, že byť z formálního hlediska vnáší ochranný sbor do této problematiky v celku dost specifických informací, z praktického hlediska je situace stále velmi komplikovaná. Lze tak doporučit sledovat vývoj v této oblasti a alespoň důsledně kontrolovat, zda nedochází k nechtěnému či neuvědomělému předávání osobních údajů do třetí země skrze používané platformy. Pokud ano, tak je na zvážení, zdali nevyužít spíše služeb umístěných v rámci EHS.
Jiří Moravec, JD
Advokátní kancelář Mašek, Kočí, Aujezdský
Tento text byl advokátní kanceláří Mašek, Kočí, Aujezdský původně vyhotoven ve spolupráci se spolkem Asociace pro elektronickou komerci (APEK) jako právní oběžník č. 11/2020 určený členům tohoto spolku.