Brexit s otázkou předávání osobních údajů
Odchod Spojeného království z Evropské unie (EU) neboli „Brexit“ a s ním související opuštění vnitřního trhu proměnily fungování a prostupnost mezi členskými státy a Spojeným královstvím. V důsledku vystoupení členského státu z EU se tak mohou na některá právní jednání vztahovat jiná pravidla než dříve. Jedním z takových případů je i otázka předávání osobních údajů z EU do Spojeného království.
Od roku 2016, ve kterém občané Spojeného království v referendu rozhodli, že si přejí opustit Evropskou unii, panovala nad vztahy mezi EU a Spojeným královstvím značná nejistota. Po téměř čtyřech letech se Spojené království dočkalo a dne 31. ledna 2020 o půlnoci (SEČ) vystoupilo z EU. Spojené království a EU se dohodly na přechodném období trvajícím do 31. prosince 2020. Od 1. ledna 2021 se pak začaly uplatňovat tři prováděcí dohody, a to (i) Dohoda o obchodu a spolupráci[1], (ii) Dohoda o bezpečnostních postupech pro výměnu a ochranu utajovaných informací[2], a (iii) Dohoda o spolupráci při běžném a mírovém využívání jaderné energie[3].
Pravidla pro ochranu osobních údajů a jejich předávání mezí členskými státy a Spojeným královstvím pro období několika měsíců po Brexitu obsahuje Dohoda o obchodu a spolupráci. Tato dohoda vymezuje období, po které není Spojené království vnímáno jako třetí země a předávání osobních údajů tedy po tuto dobu může fungovat za stejných podmínek jako po dobu členství Spojeného království v EU. Jedná se o období 4 měsíců + 2 měsíce, pokud proti tomu žádná ze stran nevznese námitku či nebude vydáno rozhodnutí Evropské komise o přiměřenosti. Konec tohoto období je tedy předpokládán na 30. červen 2021. Dosavadní změnou v této souvislosti je ukončení činnosti jednotného kontaktního místa k 1. lednu 2021. Zpracovatelé ve Spojeném království tak museli jmenovat své zástupce v EU (ve smyslu článku 3 odst. 2 a článku 27 GDPR[4]).
Hlavní faktická změna ochrany osobních údajů ve vztahu ke Spojenému království tak pravděpodobně nastane od 1. července 2021. Vzhledem k tomu, že od zmíněného data bude Spojené království v kontextu transferu osobních údajů vnímáno jako třetí země, bude třeba postupovat v souladu s kapitolou V GDPR „Předávání osobních údajů do třetích zemí nebo mezinárodním organizacím“. Možnosti pro předávání osobních údajů do Spojeného království od 1. července 2021 jsou nastíněny níže.
První variantou je předání založené na rozhodnutí o odpovídající ochraně, které vydává Evropská komise. Pokud toto rozhodnutí bude vydáno, bude to znamenat, že ochrana osobních údajů je ve Spojeném království dostačující a osobní údaje mohou být předávány do značné míry ve stejném režimu i nadále. Ačkoliv se předpokládá, že k vydání takového rozhodnutí dojde, a to i proto, že dne 19. února 2021 zveřejnila Evropská komise návrh dvou těchto rozhodnutí, zatím stále není jasné, kdy se tak stane. Namátkou lze zmínit Argentinu, která se rozhodnutí o přiměřenosti dočkala až 12 měsíců po podání žádosti k Evropské komisi.
Je nutné se připravit i na druhou variantu, tedy na předávání osobních údajů na základě vhodných záruk. Transfer osobních údajů možný sice bude, ale neobejde se bez zkoumání bezpečnosti a dalších záruk zajištění dostatečné ochrany osobních údajů. Tyto případy předávání bývají nejčastěji řešeny za použití standardních smluvních doložek, které se stávají součástí smluvní dokumentace a tvoří základ pro předávání osobních údajů do třetích zemí. Standardní smluvní doložky by měly být dále doplněny o náležitosti, které jsou vyžadovány ve světle rozhodnutí Soudního dvora EU Schrems II[5], a o přiměřené úsilí vymáhat dotčená ustanovení týkající se ochrany osobních údajů. Třetí varianta představuje výjimky pro specifické situace, a to například existuje-li na předání veřejný zájem aj. Takové případy je však nutné posuzovat případ od případu a v podnikatelském prostředí se většinou neuplatní.
Ideální variantou řešení toku osobních údajů mezi EU a Spojeným královstvím po Brexitu by bylo vydání rozhodnutí o přiměřenosti ze strany Evropské komise. Vzhledem k tomu, že vydání rozhodnutí o přiměřenosti je především politická otázka, nelze následující vývoj předpokládat s větší mírou jistoty. Našim klientům proto doporučujeme nespoléhat se na příznivý vývoj situace a připravit smluvní dokumentaci tak, aby byla v souladu s GDPR i v případě, že do 30. června 2021 rozhodnutí o přiměřenosti vydáno nebude.
Edita Bolková,
advokátka
Michaela Čejková,
advokátní koncipientka
Deloitte Legal s.r.o., advokátní kancelář
Churchill I
Italská 2581/67
120 00 Praha 2 – Vinohrady
Tel.: +420 246 042 100
e-mail: legalcz@deloittece.com
[1] Dohoda o obchodu a spolupráci mezi Evropskou unií a Evropským společenstvím pro atomovou energii na jedné straně a Spojeným královstvím Velké Británie a Severního Irska na straně druhé, Úř. věst. L 444, 31.12.2020, s. 14-1462. Dostupné take >>> zde.
[2] Dohoda o bezpečnostních postupech pro výměnu a ochranu utajovaných informací, Úř. věst. L 444, s. 1463-1474. Dostupné take >>> zde.
[3] Dohoda mezi vládou Spojeného království Velké Británie a Severního Irska a Evropským společenstvím pro atomovou energii o spolupráci v oblasti bezpečného a mírového využití jaderné energie, Úř. věst. L 150, 30.4.2021, s. 1-18. Dostupné také >>> zde.
[4] Nařízení Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), Úř. věst. L 119, 4.5.2016, s. 1-88. Dostupné také >>> zde.
[5] Rozsudek Soudního dvora ze dne 16. července 2020, Schrems II, C-311/18, C:2020:559
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
