V rámci Evropské unie si mohou subjekty volně předávat osobní údaje, samozřejmě při dodržení podmínek stanovených Nařízením (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR“). Obecně, pokud chce správce či zpracovatel předávat osobní údaje do určité třetí země, může tak činit na základě rozhodnutí Komise o odpovídající ochraně dle čl. 45 odst. 3 GDPR. Pokud takové rozhodnutí Komise neexistuje, mohou být osobní údaje předány v případě, že správce nebo zpracovatel poskytl vhodné záruky dle čl. 46 GDPR. Vhodnými zárukami jsou například standardní smluvní doložky či závazná podniková pravidla dle čl. 47 GDPR. Výjimečně lze také předávat osobní údaje ve zvláštních situacích popsaných v čl. 49 GDPR.

Rozhodnutím Komise o odpovídající ochraně dle čl. 45 odst. 3 GDPR bylo prováděcí rozhodnutí ze dne 12. července 2016 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající úrovni ochrany poskytované štítem EU–USA na ochranu soukromí, tedy tzv. štít na ochranu soukromí. V rámci štítu na ochranu soukromí se americké společnosti, které chtěly přijímat osobní údaje z EU, musely zavázat k dodržování zásad ochrany osobních údajů vydaných Ministerstvem obchodu USA.

Štít na ochranu soukromí byl zrušen rozsudkem Soudního dvora Evropské unie (dále jen „SDEU“) ve věci C-311/18 ze dne 16. července 2020 (dále jen „Schrems II“) a na základě tohoto nástroje již není možné osobní údaje do USA předávat. Jedním z důvodů pro zrušení štítu na ochranu soukromí bylo zjištění, že právo USA nestanoví „omezení a záruky nezbytné vzhledem k zásahům dovoleným jeho vnitrostátní úpravou a nezajišťuje ani účinnou soudní ochranu proti takovým zásahům“[2]. SDEU v rozhodnutí Schrems II. také konstatoval, že vhodné záruky dle čl. 46 GDPR musí zajistit předaným osobním údajům ve třetí zemi ochranu v zásadě rovnocennou ochraně, kterou poskytuje GDPR.

Reklama

Microsoft Copilot pro Office365 prakticky (online - živé vysílání) - 2.12.2024

2.12.2024 13:003 025 Kč s DPH
2 500 Kč bez DPH

Koupit

Standardní smluvní doložky

Jak již bylo zmíněno výše, v případě neexistence rozhodnutí o odpovídající ochraně dle čl. 45 odst. 3 GDPR, kterým byl právě štít na ochranu soukromí, mohou být osobní údaje předávány na základě standardních smluvních doložek. Ještě po zrušení štítu na ochranu soukromí byly užívány standardní smluvní doložky dle Rozhodnutí Komise ze dne 5. února 2010 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle směrnice Evropského parlamentu a Rady 95/46/ES. Tyto standardní smluvní doložky z roku 2010 byly ke dni 27. září 2021 nahrazeny aktualizovanou verzí standardních smluvních doložek, které jsou přílohou prováděcího rozhodnutí Komise (EU) 2021/914 o standardních smluvních doložkách pro předávání osobních údajů do třetích zemí podle nařízení Evropského parlamentu a Rady (EU) 2016/67 ze dne 4. června 2021 (dále jen „rozhodnutí Komise (EU) 2021/914“).

Z rozhodnutí Komise (EU) 2021/914 plyne, že všechny smlouvy týkající se předávání osobních údajů do třetích zemí uzavřené po 27. září 2021 musí obsahovat aktualizované standardní smluvní doložky. Ve smlouvách uzavřených před 27. září 2021 musí být původní standardní smluvní doložky nahrazeny aktuální verzí standardních smluvních doložek, a to do 27. prosince 2022.

Nový rámec pro předávání osobních údajů do USA

Dne 25. března 2022, tedy přesně po roce vyjednávání, Komise a USA oznámily, že byly dohodnuty principy nového transatlantického rámce pro ochranu osobních údajů[3]. Cílem je zejména vytvořit nástroj pro předávání osobních údajů do USA, který bude v souladu s rozhodnutím Schrems II.

Mezi dohodnuté principy transatlantického rámce pro ochranu osobních údajů patří volný a bezpečný přenos dat a posílení záruk ochrany soukromí a občanských svobod. V rámci posílení soukromí by shromažďování osobních údajů americkými zpravodajskými agenturami mělo být omezeno pouze na zpracování nezbytná pro dosažení legitimních cílů národní bezpečnosti USA, přičemž zpracování nesmí mít nepřiměřený dopad na ochranu soukromí a občanských svobod jednotlivců.

Spojené státy se zavázaly zřídit nový vícestupňový systém nápravy, který zahrnuje zvláštní nezávislý soud pro přezkum ochrany osobních údajů (Data Protection Review Court), jenž by se skládal z osob mimo vládu USA, a který bude mít plnou pravomoc rozhodovat o stížnostech a v případě potřeby nařizovat nápravná opatření. Americké zpravodajské agentury mají přijmout postupy, které zajistí účinný dohled nad novými standardy ochrany soukromí a občanských svobod.

Obdobně jako u původního štítu na ochranu soukromí by měla fungovat autocertifikace, tedy dodržování povinností společnostmi, které budou zpracovávat osobní údaje předávané z EU, a to prostřednictvím Ministerstva obchodu USA.

Závěr

Týmy vlády USA a Komise by nyní měly pokračovat ve spolupráci s cílem převést toto ujednání do právních dokumentů. Závazky USA by měly být obsaženy ve výkonném příkazu prezidenta USA, který bude základem pro návrh rozhodnutí o odpovídající ochraně Komise dle čl. 45 GDPR.

V současné době ještě neexistuje přesné znění dohody a otázkou tedy je, zda se podaří zavést systém předávání osobních údajů do USA, který bude v souladu s evropským právem a který případně obstojí před drobnohledem SDEU.

Mgr. Ing. Jitka Hendrychová