Předávání osobních údajů do zahraničí – Privacy Shield už nefunguje, standardní smluvní doložky samy o sobě nemusí stačit
Soudní dvůr Evropské unie (SDEU) dnes vydal rozhodnutí (jeho znění je k dispozici zde), ve kterém se vyjádřil zejména ke dvěma klíčovým nástrojům pro správce osobních údajů, resp. jejich předávání do zahraničí, konkrétně do zemí mimo EU – jde o standardní smluvní doložky a tzv. Privacy Shield (tedy rozhodnutí Komise o odpovídající úrovni ochrany osobních údajů poskytovaných štítem EU-USA).
Předně SDEU potvrdil platnost rozhodnutí Komise EU, kterým se stanovují standardní smluvní doložky užívané v rámci smluvních vztahů mezi správci osobních údajů, resp. správci a zpracovateli ze zemí mimo EU. Užití těchto standardních smluvních doložek tedy představuje jeden z klíčových prvků, zajišťující dostatečný rámec ochrany zpracování osobních údajů při jejich předávání do zemí mimo EU. SDEU však zdůraznil, že sjednání samotných doložek nepředstavuje záruku, že taková ochrana osobních údajů je srovnatelná s ochranou poskytovanou v EU. Je totiž nutno zkoumat také okolnosti nezávislé na smluvní straně doložek, jakými jsou například právní režim příslušného státu a možnost přístupu státních orgánů či institucí k těmto osobním údajům předaným z EU. Dle SDEU je povinností správce a osoby přijímající osobní údaje z EU předem ověřit, zda je úroveň ochrany srovnatelná s tou v rámci EU, a současně je povinností přijímající osoby informovat správce o tom, že došlo ke změně právních předpisů znemožňující zajištění srovnatelné ochrany s EU a zastavit předávání osobních údajů.
Druhým posuzovaným nástrojem pro ochranu osobních údajů bylo rozhodnutí Komise o tzv. „Privacy Shield“, které mělo při předávání osobních údajů do USA zajistit bezpečnostní standard dle EU. SDEU však toto rozhodnutí Komise prohlásil za neplatné.
Podkladem pro toto rozhodnutí byla stížnost pana Schremse, kterou podal u irského úřadu pro ochranu osobních údajů na společnost Facebook Ireland Ltd, která mj. předávala osobní údaje pana Schremse společnosti Facebook Inc., sídlící v USA. Zajímavostí je, že předchůdce „Privacy Shield“, tj. dohoda mezi USA a EU o ochraně osobních údajů – tzv. bezpečný přístav („Safe Harbour“) – byla taktéž zrušena na základě stížnosti pana Schremse na předávání a zejména uchovávání osobních údajů společností Facebook Ireland Ltd. na serverech nacházejících se v USA (jedná se o rozhodnutí SDEU ze dne 6.10.2015 se sp. zn. C-362/14).
V dnešním rozhodnutí SDEU vyjádřil pochybnosti nad tím, zda USA poskytuje osobním údajům ochranu srovnatelnou s EU zejména z toho důvodu, že si USA vyhradily možnost přístupu státních orgánů a institucí k těmto předávaným údajům v rozsahu nezbytném pro ochranu zájmů USA. Současně SDEU uvedl, že v USA není zákonem či jiným právním předpisem upravena ochrana osobních údajů, a tím pádem v USA nejsou pro subjekty osobních údajů záruky a pojistky, které by limitovaly přístup státních orgánů a institucí USA k osobním údajům předaným z EU. Jedná se například nemožnost soudního přezkumu zpracování osobních údajů subjektů v USA, nemožnost subjektu osobních údajů domoci se svých práv garantovaných v GDPR, neexistence důvodu a rozsahu zpracovávání osobních údajů sledovacími programy zpravodajských orgánů USA. Stejně tak ombudsman zřízený dle Privacy Shield není nezávislý – je součástí vládní administrativy USA a je volen a odvoláván ministrem zahraničních věcí (Secretary of State).
Z výše uvedeného rozhodnutí se lze domnívat, že předávání osobních údajů do USA by aktuálně nemělo být možné, a to ani na základě standardních smluvních doložek, neboť podle názoru SDEU neposkytují USA dostatečnou ochranu srovnatelnou s ochranou EU. Jelikož však osobní údaje z EU do USA proudí nepřetržitě (i z důvodů globálních skupin společností majících řídící společnost nebo hlavní sídlo mateřské společnosti v USA), otázka způsobu předávání osobních údajů z EU do USA bude v nadcházející době intenzivně diskutována a řešena.
- Datum: 16. 07. 2020