Nový Rámec ochrany soukromí mezi EU-USA: USA je opět bezpečným příjemcem údajů
Evropská komise dne 10. července 2023 přijala rozhodnutí o odpovídající úrovni ochrany osobních údajů v USA a potvrdila nový Rámec ochrany soukromí (Data Privacy Framework) pro předávání dat mezi EU-USA (dále jen „DPF“).[1] Společnosti, které jsou certifikované v rámci amerického certifikačního mechanismu DPF[2], budou nyní považovány za bezpečné příjemce osobních údajů.
DPF představuje certifikační systém pro americké společnosti, obdobně jako tomu bylo dříve u Privacy Shield a Safe Harbour (předchozí mechanismy legalizující předávání dat do USA, které byly oba následně zrušeny Soudním dvorem EU). Předávání osobních údajů těmto certifikovaným společnostem tak již nebude vyžadovat další technická a organizační opatření a předchozí tzv. Transfer Impact Assessment (TIA) a Local Law Assessments (LLAs) a standardní smluvní doložky, jako tomu bylo doposud v návaznosti na rozhodnutí ve věci Schrems II z července 2020.
Jedná se o nesmírně významný krok k obnovení právní jistoty při vývozu dat z EU do USA.
Jak to bylo s předáváním údajů do USA doposud?
Problematika předávání dat mezi EU a USA už je v oblasti ochrany osobních údajů evergreenem.
Evropská Komise vydala v minulosti již dvakrát rozhodnutí o odpovídající ochraně osobních údajů mezi EU a USA (tzv. adequacy decision), které legitimizovalo předávání osobních údajů do USA. A již dvakrát bylo rozhodnutí Evropské Komise zrušeno Soudním dvorem Evropské Unie.
Poprvé zasáhl Soudní dvůr Evropské unie do předávání osobních údajů do USA v roce 2015, když zrušil tehdejší rozhodnutí o odpovídající ochraně osobních údajů mezi EU a USA na základě mechanismu Safe Harbour (tzv. rozsudek Schrems I).[3] Po tomto rozhodnutí vydala Evropská komise v roce 2016 druhé rozhodnutí o odpovídající ochraně osobních údajů založené na mechanismu Privacy Shield. Téměř před třemi lety, 16. července 2020, Soudní dvůr Evropské unie (SDEU) ve svém rozsudku Schrems II s okamžitou platností zrušil i druhé rozhodnutí Komise o odpovídající ochraně osobních údajů mezi EU a USA na základě mechanismu Privacy Shield, široce používaný právní mechanismus pro legální vývoz osobních údajů z EU do USA.[4] Tímto přelomovým rozhodnutím Soudní dvůr Evropské unie ze dne na den prakticky znemožnil legální předávání osobních údajů do USA. V návaznosti na rozsudek SDEU následně vydal Evropský sbor pro ochranu osobních údajů (EDPB) Doporučení 1/2020 k opatřením doplňujícím stávající nástroje předávání osobních údajů pro zajištění EU úrovně ochrany osobních údajů, ve kterém blíže konkretizoval opatření, která mohou být přijata k legálnímu předávání osobních údajů do USA.[5]
V důsledku toho se vývozci údajů z EU a dovozci údajů z USA museli při legalizaci vývozu údajů spoléhat na standardní smluvní doložky EU, přičemž předtím museli provést podrobnou analýzu, zda bude zaručena odpovídající úroveň ochrany osobních údajů - tzv. Transfer Impact Assessment (TIA) a Local Law Assessments (LLAs) - a zavést dodatečná ochranná opatření, tj. dodatečná technická a organizační bezpečnostní opatření, než mohly být osobní údaje zákonně předány z EU do USA.
Toto rozhodnutí vedlo ke značné právní nejistotě ohledně jedné z nejzákladnějších každodenních operací mezinárodních (ale i lokálních) korporací, tj. možnosti předávat údaje společnostem ve skupině, poskytovatelům služeb a obchodním partnerům v jiných částech světa. Nastala tedy patová situace vzhledem k prostému faktu, že většina organizací se při zpracování osobních údajů obyvatel EU spoléhá na technologické a cloudové společnosti se sídlem v USA (byť některé z těchto společností začaly nabízet služby umístění serverů na půdě EU a dodatečná opatření směřující k souladu s požadavky evropských předpisů). Mezitím začaly v Evropské unii padat pokuty za nezákonné předávání dat do USA.[6]
Jak probíhalo přijetí nového rozhodnutí o odpovídající úrovni ochrany?
Narozdíl od druhého rozhodnutí o odpovídající úrovni ochrany (Privacy Shield) si politici dali na čas s přípravou nového rámce pro předávání osobních údajů, který přišel až tři roky po zrušení předchozího rozhodnutí.
Nové rozhodnutí o odpovídající úrovni ochrany se zabývá hlavními výtkami, které měl Soudní dvůr EU[7] v souvislosti s předáváním osobních údajů z EU do USA, a to zejména:
- Orgány veřejné moci USA mají široká práva přístupu k osobním údajům včetně osobních údajů obyvatel EU.
- Obyvatelé EU nemají odpovídající dostatečné a účinné prostředky právní ochrany.
Klíčovým krokem, který předcházel vydání nového rozhodnutí o odpovídající úrovni ochrany byl výkonný dekret prezidenta USA, který zavedl potřebné záruky na straně USA.[8]
Jak uvádí Evropská komise: „Rámec EU–USA pro ochranu údajů zavádí nové závazné záruky, které řeší všechny obavy vyjádřené Evropským soudním dvorem, včetně omezení přístupu zpravodajských služeb USA k údajům EU na to, co je nezbytné a přiměřené, a zřízení Soudu pro přezkum ochrany údajů, na nějž se fyzické osoby z EU budou moci obrátit.“[9]
Tato opatření byla dostatečná k tomu, aby si zajistila podporu členských států EU. Po několika kolech projednávání učinila Evropská komise rozhodnutím o odpovídající ochraně poslední nezbytný krok k (opětovnému) posvěcení předávání osobních údajů do USA.
Jaké jsou důsledky rozhodnutí o odpovídající úrovni ochrany osobních údajů?
Ustanovení čl. 45 odst. 3 obecného nařízení o ochraně osobních údajů (GDPR[10]) svěřuje Evropské komisi pravomoc rozhodnout prostřednictvím prováděcího aktu, že určitá třetí země zajišťuje „odpovídající úroveň ochrany“, tj. úroveň ochrany osobních údajů, která je v zásadě rovnocenná úrovni ochrany v rámci EU. V důsledku rozhodnutí o odpovídající ochraně mohou osobní údaje z EU (jakož i Norska, Lichtenštejnska a Islandu) bez dalších překážek volně proudit do dané třetí země.
Stejně jako v případě dříve zrušeného rámce Privacy Shield (a jeho předchůdce Safe Harbor) musí americké společnosti prokázat soulad s požadavky na ochranu údajů a zapsat se na oficiální seznam společností certifikovaných v rámci DPF, aby jim mohly být údaje volně předávány. Za certifikaci a vedení daného seznamu bude zodpovědné Ministerstvo obchodu Spojených států (United States Department of Commerce neboli DoC), které již v mezičase spustilo webovou stránku umožňující americkým společnostem projít samocertifikačním mechanismem – viz >>> zde. Na této webové stránce je rovněž veřejně dostupný seznam společností, které se v rámci DPF certifikovaly – viz >>> zde.
Pokud je pak společnost certifikována podle DPF EU-USA, stává se příjemcem údajů, kterému je možné volně předávat osobní údaje podle článku 44 a 45 GDPR. Předání údajů tomuto příjemci nevyžaduje TIA, LLA, dodatečná ochranná opatření ani standardní smluvní doložky a lze tudíž postupovat v zásadě stejně, jako kdyby se jednalo o příjemce v rámci EU.
Lze očekávat, že všichni významní příjemci údajů v USA, včetně poskytovatelů technologických, cloudových a AI služeb, brzy oznámí svou certifikaci podle DPF a nechají se zapsat na výše uvedený seznam.
Do třetice všeho dobrého: přinese nové rozhodnutí jistotu?
Navzdory tomuto výrazně pozitivnímu vývoji může být pro společnosti předčasné ukončit stávající dohody se standardními smluvními doložkami. Ačkoli je nyní předávání osobních údajů do USA bezpečné, nelze s jistotou zaručit, že i toto třetí rozhodnutí nebude jednou zrušeno Soudním dvorem EU, jako tomu bylo u předchozích dvou rozhodnutí.
Není překvapivé, že nové rozhodnutí Evropské komise již kritizuje platforma pro ochranu údajů "NOYB"[11], kterou založil Max Schrems (který inicioval výše citovaná rozhodnutí Soudního dvora Schrems I a Schrems II). Podle NOYB nesplňuje nové rozhodnutí požadavky GDPR. Platforma NOYB již ohlásila, že se bude proti novému rozhodnutí Evropské komise bránit a uvedla, že se rozhodnutí o odpovídající ochraně pravděpodobně "během několika měsíců vrátí k Soudnímu dvoru (SDEU)".[12] O tom, zda dohoda o ochraně osobních údajů mezi EU a USA obstojí před Soudním dvorem EU, se jistě povedou intenzivní debaty.
V této fázi je tedy ve vztahu k příjemcům osobních údajů v USA jistě nejvhodnějším řešením předávat osobní údaje společnostem certifikovaným v rámci DPF, avšak i přesto je stále doporučeníhodné uzavírat standardní smluvní doložky, aby existovala alespoň minimální právní ochrana, pokud by došlo k opětovnému zrušení právního rámce pro předávání dat do USA.
Na závěr je nutné podotknout, že ve vztahu k jiným třetím zemím, které nejsou pokryté rozhodnutím Evropské komise o odpovídající úrovni ochrany osobních údajů[13], je třeba i nadále dodržovat postup doporučený výše uvedeným doporučením Evropského sboru pro ochranu osobních údajů (EDPB), tedy uzavírat standardní smluvní doložky[14], přijmou případná dodatečná technická a organizační opatření a provést potřebná posouzení práva daného státu a předání údajů do zahraničí (TIA a LLA).
Mgr. Štěpánka Havlíková, LL.M.*
advokátka
Dentons Europe CS LLP, organizační složka
V Celnici 6
110 00 Praha 1
Tel.: +420 236 082 111
Fax: +420 236 082 999
e-mail: prague@dentons.com
* Mgr. Štěpánka Havlíková, LL.M. působí jako advokátka v mezinárodní advokátní kanceláři Dentons a ve své praxi se zaměřuje na sektor technologií, médií a telekomunikací (TMT). Štěpánka se specializuje zejména na právo duševního vlastnictví, IT právo, softwarové smlouvy, soudní spory zejména v oblasti nekalé soutěže, jakož i na ochranu dat. Vedle advokátní praxe se Štěpánka věnuje právu duševního vlastnictví a otázkám web scrapingu a data miningu v rámci doktorského studia na Ústavu práva a technologií na Masarykově Univerzitě. V rámci úspěšně dokončeného LL.M. studia na univerzitě v Regensburg se Štěpánka věnovala právním aspektům technologie umožňující automatickou hlasovou analýzu.
[1] Rozhodnutí Evropské komise ze dne 10. července 2023, dostupné online >>> zde [cit. 20. července 2023]
[2] Veřejný seznam takto certifikovaných společností vede Ministerstvo obchodu Spojených států (United States Department of Commerce), dostupné online >>> zde [cit. 20. července 2023]
[3] Rozsudek Soudního dvora (velkého senátu) ze dne 6. října 2015 ve věci C-362/14 Data Protection Commissioner v. Maximillian Schrems. K dispozici >>> zde [cit. 20. července 2023]
[4] Rozsudek Soudního dvora (velkého senátu) ze dne 16. července 2020 ve věci C-311/18. Data Protection Commissioner v. Facebook Ireland Limited a Maximillian Schrems. K dispozici >>> zde [cit. 20. července 2023]
[5] Doporučení Sboru 1/2020 k opatřením doplňujícím stávající nástroje předávání osobních údajů pro zajištění EU úrovně ochrany osobních údajů vydané dne 18. července 2021, dostupné online >>> zde [cit. 20. července 2023]
[7] Viz poznámka pod čarou 2.
[8] Executive Order č. 14086, "Enhancing Safeguards for United States Signals Intelligence Activities" ze dne 7. října 2022. Viz tisková zpráva, dostupné online >>> zde [cit. 20. července 2023]
[9] Tisková zpráva Evropské komise ze dne 10. července 2023, dostupné online >>> zde [cit. 20. července 2023]
[10] Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation neboli GDPR), plným názvem Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
[11] Evropské centrum pro digitální práva s názvem NOYB (neboli "none of your business"), spoluzaložené aktivistou Maxem Schremsem.
[13] Rozhodnutí Evropské komise o odpovídající úrovni ochrany jsou dostupná >>> zde [cit. 20. července 2023]
[14] Pokud tedy neexistuje jiný mechanismus předání podle článku 45 a násl. GDPR.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
