Články
Právo IT
Sdílet

Rozhodnutí ve věci C‑311/18 – Schrems II – předávání osobních údajů do USA

21. 8. 2022
4 minuty čtení

Dne 16/07/2020 vydal Soudní dvůr Evropské unie výše zmiňované rozhodnutí, kterým s okamžitou účinností prohlásil za neplatné rozhodnutí Komise ohledně štítu EU-USA na ochranu soukromí (tzv. privacy shield). Tomuto rozhodnutí pak věnovala značnou pozornost i mainstreamová média. Z tohoto důvodu tak považujeme za vhodné pro členy APEK alespoň stručně shrnout, co toto rozhodnutí vlastně znamená. Řada českých obchodníků totiž využívá při zpracování osobních údajů služeb amerických společností, které na existenci tohoto štítu spoléhaly (kupříkladu společnost The Rocket Science Group LLC d/b/a MailChimp či společnost SendGrid, Inc.).

Nařízení označované jako GDPR funguje na principu svobodného pohybu osobních údajů v rámci Evropské unie. Na druhou stranu předávání osobních údajů mimo Evropskou unii je principiálně zakázáno, přičemž k takovému předávání osobních údajů může docházet pouze v případech GDPR výslovně umožněných.

Jednou z výslovně připuštěných variant je i předávání osobních údajů mimo EU na základě „rozhodnutí o odpovídající ochraně“. Konkrétně ustanovení čl. 45 odst. 1 GDPR stanoví, že „předávání osobních údajů do určité třetí země … se může uskutečnit, jestliže Komise rozhodla, že tato třetí země, určité území nebo jedno či více konkrétních odvětví v této třetí zemi, nebo tato mezinárodní organizace zajišťují odpovídající úroveň ochrany. Takovéto předání nevyžaduje žádné zvláštní povolení.“ Právě takové rozhodnutí přijala Komise ve vztahu ke Spojeným státům americkým v roce 2016 (před účinností GDPR). Jak bylo nastíněno výše, soud toto rozhodnutí Komise výše uvedeným rozsudkem zrušil, přičemž mimo jiné konstatoval, že americké zákonodárství neposkytuje odpovídající úroveň ochrany osobních údajů, včetně dostatečné ochrany práv subjektů údajů (a to i s ohledem na sledovací programy federální vlády). Po vydání předmětného rozsudku tedy nemohou obchodníci, kteří při zpracování osobních údajů využívali jako své zpracovatele americké společnosti, předávat osobní údaje do USA na základě „rozhodnutí o odpovídající ochraně“.

K předávání osobních údajů do zemí mimo EU může docházet i na jiných základech (než je „rozhodnutí o odpovídající ochraně“). Nicméně každý z nich má pro praxi své slabiny. Možnost předávání osobních údajů na základě standardních smluvních doložek připravených Komisí soud sice výslovně potvrdil, nicméně SDEU zároveň konstatoval, že musí být zajištěno, aby „se na práva osob, jejichž osobní údaje jsou předávány do třetí země na základě standardních doložek o ochraně osobních údajů, vztahovala úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené v Evropské unii tímto nařízením ve spojení s Listinou základních práv Evropské unie.“ Jak jsme se však dozvěděli od soudu již výše, americké zákonodárství odpovídající úroveň ochrany osobních údajů neposkytuje (což bude logicky platit i pro řadu dalších zemí mimo EU).

Zejména velké nadnárodní korporace mohou využít možnost předávání osobních údajů na základě tzv. závazných podnikových pravidel (čl. 47 GDPR), nicméně tato pravidla musí být schválena dozorovým orgánem. K předávání osobních údajů mimo území Evropské unie může docházet také při tzv. specifických situacích (čl. 49 GDPR). Jednou z takových předvídaných situací je i předávání osobních údajů v případě, že „subjekt údajů byl informován o možných rizicích, která pro něj … vyplývají, a následně k navrhovanému předání vydal svůj výslovný souhlas.“ Nicméně z pohledu praktického nebude toto ustanovení příliš oblíbené a navíc Evropský sbor pro ochranu osobních údajů se opakovaně vyjádřil v tom smyslu, že předání založené na tomto základě nemůže být náležitým podkladem pro systematické zpracování osobních údajů a navíc musí být chápáno skutečně jako výjimečné.

S ohledem na výše uvedené bychom tak obchodníkům doporučovali nejdříve prověřit, jaké služby z USA využívají a zdali je využívají i pro zpracování osobních údajů (americká společnost je zpracovatelem osobních údajů pro obchodníka jako správce). Pokud bude odpověď na tuto otázku kladná, je vhodné taktéž prověřit, zdali při využívání takové služby dochází k předávání osobních údajů do USA (zdali poskytovatel nemá speciální variantu pro EU). Pokud ano, je vhodné se zabývat i otázkou, na jakém základě k takovému předávání osobních údajů vlastně dochází. V případě, že by to bylo na základě štítu EU-USA na ochranu soukromí, je vhodné takovému zpracování osobních údajů určitě věnovat zvýšenou pozornost.

 

Josef Aujezdský

Tento text byl advokátní kanceláří Mašek, Kočí, Aujezdský původně vyhotoven ve spolupráci se spolkem Asociace pro elektronickou komerci (APEK) jako právní oběžník č. 7/2020 určený členům tohoto spolku.

Vstupte

K dalšímu čtení

Právo IT

Modernizační směrnice – on-line platformy

8. 6. 2022

>
Právo IT

Modernizační směrnice – nová regulace související s uživatelskými recenzemi

20. 3. 2022

>