Privacy Shield již nebude moci sloužit k přenosu dat do USA
Soudní dvůr Evropské Unie dne 16. července 2020 prohlásil rozsudkem ve věci C-311/18 (Data Protection Commissioner v. Facebook Ireland a Schrems) rozhodnutí Komise 2016/1250 o odpovídající úrovni ochrany poskytované štítem EU – USA na ochranu soukromí (štít EU – USA na ochranu soukromí dále jen jako „Privacy Shield“) za neplatné, čímž podstatně ztížil možnost předání osobních údajů z EU do USA.
Právní rámec
Předání osobních údajů z Evropské unie do třetích zemí je mimo jiné možné v případě, kdy je toto předání založené na rozhodnutí o odpovídající ochraně vydávané Komisí dle čl. 45 GDPR (dříve byl obdobný požadavek vyjádřen v čl. 25 odst. 1 směrnice o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, tj. že členské státy mohly umožnit předání osobních údajů do třetích zemí pouze v případě, že tyto třetí země zajistí odpovídající úroveň ochrany). Rozhodnutí Komise 2016/1250 reflektující Privacy Shield bylo právě takovým rozhodnutím o odpovídající ochraně dle čl. 45 GDPR.
Zrušení rozhodnutí Komise 2016/1250
Soudní dvůr Evropské unie založil své rozhodnutí na tvrzení, že Privacy Shield umožňuje tajným službám a jiným vládním agenturám USA vyžádat data od soukromých amerických společností, přičemž v takovém případě ustupují evropské standardy ochrany osobních údajů stranou. Soudní dvůr Evropské unie považuje tuto možnost za porušení nejen předpisů o ochraně osobních údajů, ale dokonce samotné Listiny základních práv Evropské unie. Zároveň Privacy Shield nedával možnost efektivní procesní ochrany subjektům osobních údajů tak, jak je vyžadováno evropskými předpisy.
Možná řešení nastalé situace
Pokud pro vás byl Privacy Shield legálním základem pro export osobních údajů z EU do USA, je nyní nutné zvolit jiný právní základ, aby se předešlo případným pokutám ze strany dohledových orgánů.
Osobní údaje z EU do USA lze například předat na základě souhlasu subjektu osobních údajů a dalších specifických situací vyjádřených v čl. 49 GDPR, nebo na základě závazných podnikových pravidel dle čl. 47 GDPR (přičemž souhlas subjektu údajů je nejslabší možný titul pro předání, a závazná podniková pravidla lze vyhotovit pouze v rámci podnikatelského uskupení vykonávající společnou hospodářskou činnost, a navíc musí být předem schváleny dozorovým úřadem). Krom výše uvedeného lze taktéž využít i tzv. standardní doložky.
Standardní doložky jsou přijímány buď samotnou Komisí, nebo případně dozorovými úřady za současného schválení Komisí. Standardní doložky pro předávání osobních údajů z EU do třetích zemí jsou obsaženy v prováděcím předpisu vydaném jako rozhodnutí Komise 2010/87, jež byl prováděcím předpisem k tehdy ještě platné směrnici o ochraně osobních údajů.
Soudní dvůr Evropské unie nicméně konstatoval, že rozhodnutí Komise 2010/87 o standardních doložkách je použitelné i pro účely GDPR, zároveň ale Soudní dvůr Evropské unie objasnil, za jakých podmínek lze tyto doložky pro předání osobních údajů z EU do USA využít.
Nutná opatření při užití standardních doložek
Pokud jsou osobní údaje subjektů předávány do třetích zemí, tak na takové subjekty údajů se musí vztahovat úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zaručené v Evropské unii.
Zároveň dle doložky č. 5 obsažené v rozhodnutí Komise 2010/87 je povinností příjemce osobních údajů informovat vývozce, že nebude moci zajistit dodržování povinností, které pro něj vyplývají z uzavřené smlouvy. Krom toho příjemce musí osvědčit, že nemá důvod se domnívat, že mu právní předpisy jeho domovského státu brání plnit povinnosti vyplývající z uzavřené smlouvy a příjemce se zavazuje neprodleně informovat vývozce osobních údajů v případě, že se tato situace změní.
Toto osvědčení je pro ochranu smluvních stran vhodné vyhotovit písemně při nejbližší možné příležitosti. Je totiž povinností správce pozastavit předávání osobních údajů do třetí země v případě, že shledá, že ochrana osobních údajů není naplněna dle požadavků pro předávání na základě standardních doložek. Pokud tak neučiní, hrozí mu postih ze strany dozorového orgánu.
V případě, že na začátku předávání je vývozce ujištěn a přesvědčen, že třetí stát dává adekvátní ochranu osobním údajům, ale tato situace se v průběhu času změní, nejen že musí pozastavit předávání osobních údajů, ale je též nutné, aby příjemce veškeré již předané údaje navrátil (včetně jejich kopií) nebo případně zničil.
Soudní dvůr Evropské unie přenesl na dozorové úřady členských států velice silnou pravomoc rozhodovat o tom, zda standardní doložky mohou být ve třetím státě dodrženy s ohledem na tamější právní úpravu. V případě, že dozorový úřad dojde k názoru, že takové standardní doložky můžou být jakkoli narušeny, a tedy nebude dána v podstatě stejná úroveň ochrany osobních údajů, jakou nabízí unijní právo, jsou dozorové úřady povinny předávání osobních údajů dočasně nebo trvale do této třetí země na základě standardních doložek zakázat.
Neprodleně nutné kroky
Pro větší přehlednost zde zjednodušeně uvádíme v bodech nutné kroky, které správci osobních údajů musí zajistit v souvislosti s výše uvedeným rozhodnutím Soudního dvoru Evropské unie:
- Zjistit, zda jsou osobní údaje do USA předávány na základě čl. 45 GDPR, tedy na základě Privacy Shield;
- Pokud ano, je nutné toto předávání podložit jiným právním důvodem předpokládaným GDPR, tedy ať už souhlasem subjektu osobních údajů, závaznými podnikovými pravidly nebo standardními doložkami dle rozhodnutí Komise 2010/87;
- V případě, že se rozhodnete pro oprávnění předávání využít standardní doložky, je nejdříve nutné posoudit, zda je v USA náležitá ochrana osobních údajů, tj. především, že tamní právní předpisy nepovoleným způsobem neovlivňují, resp. nevylučují použitelnost standardních doložek. Tento krok nemůže být podceňován a pro předávajícího správce osobních údajů by to neměl být „pouze nějaký papír“, ostatně o složitosti vypracování takového posudku svědčí i fakt, že sám Soudní dvůr Evropské unie v nadepsaném rozhodnutí zhodnotil, že právo USA není kompatibilní se základními právy garantovanými Evropskou unií;
- Následně je nutné si od příjemce osobních údajů vyžádat osvědčení o tom, že nemá důvod se domnívat, že mu právní předpisy USA brání plnit pokyny vývozce osobních údajů a jeho povinnosti vyplývající ze smlouvy a že v případě změny těchto právních předpisů, která by mohla mít výrazně nepříznivý dopad na ochranná opatření a závazky stanovené doložkami, oznámí neprodleně tuto změnu vývozci osobních údajů;
- Vývozce osobních údajů je pak oprávněn pozastavit vývoz těchto osobních údajů, a pokud se i přesto rozhodne v něm pokračovat, musí informaci příjemce osobních údajů o tom, že již nadále nelze standardní doložky dodržovat, předložit dozorovému orgánu.
Závěr
S ohledem na odůvodnění výše uvedeného rozsudku lze předpokládat, že dozorové úřady jednotlivých členských států postupně dojdou k závěru, že právo USA nedává takovou úroveň ochrany osobním údajům, aby při předávání osobních údajů mohly být standardní doložky využívány. Prozatím se ale jeví, že právě tyto standardní doložky by, alespoň dočasně, mohly být stále nástrojem, jak překonat ono „vakuum“ bez platného rozhodnutí Komise o odpovídající ochraně.