EDPB a jeho „návod“ pro datové přenosy po rozhodnutí Schrems II

O Schremsově druhém vítězství si můžete přečíst zde. 

Doporučení EDPB obsahuje dva dokumenty. Ty dávají jistý přehled o tom, jak v případě předávání osobních údajů do zahraničí (mimo EU) mají společnosti vyhodnocovat adekvátnost zahraniční ochrany ve světle právní ochrany EU. Zároveň nastiňují, jaká opatření přijmout v případech, kdy je zahraniční ochrana ve srovnání s právními standardy EU považována za nedostatečnou.

EDPB se v rámci doporučení snaží zacílit přímo na společnosti ovlivněné zmiňovaným rozsudkem. Doporučení nabízejí společnostem šestikrokový plán, který by jim měl pomoci v hodnocení dosažení evropského standardu ochrany globálních toků osobních údajů.
 

1. Prvním krokem na cestě k úspěšné ochraně osobních údajů je zmapovat proces předávání osobních údajů. Jinými slovy vědět, jaké osobní údaje, za jakým účelem, kam a komu se předávají.
    
2. V dalším kroku je dle EDPB nezbytné ověřit konkrétní „nástroj“, na základě kterého jsou osobní údaje předávány. Konkrétně je třeba hledat v kapitole V. Obecného nařízení o ochraně osobních údajů (GDPR), která upravuje předávání osobních údajů do třetích zemí nebo mezinárodním organizacím.
    
3. Třetí krok se týká zhodnocení právní ochrany osobních údajů třetích zemí. EDPB doporučuje posoudit, jestli v právním řádu či v aplikační praxi třetích zemí existuje něco, co by mohlo mít dopad na účinnost záruk (nástrojů), na které se při předávání společnost spoléhá. V tomto kontextu hraje důležitou roli doporučení ohledně základních záruk, které by měly společnosti vzít v úvahu při hodnocení cizí právní úpravy. Jde např. o záruky, že zpracování osobních údajů by se mělo zakládat na jasných, určitých a přístupných pravidlech; nezbytnost a proporcionalita s ohledem na legitimitu účelů zpracování by měly být náležitě demonstrovány; měl by existovat nezávislý mechanismus dohledu nad zpracováním a účinné prostředky nápravy pro subjekty osobních údajů. EDPB zdůrazňuje, že při hodnocení v praxi by společnosti měly přikládat větší váhu objektivnímu hodnocení právních úprav a praxi orgánů veřejné moci namísto svým subjektivním pocitům ve smyslu, jaká existuje pravděpodobnost, že právě ty které osobní údaje budou „předmětem zájmu“.
    
4. V pořadí čtvrtý krok navazuje na kladnou odpověď v rámci třetího kroku. Společnost v těchto případech musí identifikovat a přijmout dodatečná opatření, jejichž zavedením se opět dosáhne adekvátní úrovně ochrany osobních údajů. EDPB uvádí orientační výčet takových opatření (zejména technického, smluvního či organizačního charakteru) a lze očekávat, že právě tato opatření budou předmětem dalších diskuzí. Pokud žádná opatření nepřinesou kýžený efekt, měla by společnost dle EDPB zastavit předávání osobních údajů.
    
5. Po provedení těchto extenzivních hodnocení se společnostem v rámci pátého kroku doporučuje řádně zdokumentovat jejich postup a usilovat o získání případné autorizace u příslušného orgánu (v závislosti na využití konkrétního nástroje pro předávání dle GDPR).
    
6. V šestém, finálním kroku EDPB doporučuje společnostem pravidelně vyhodnocovat a v případě nutnosti i změnit své zavedené přístupy.
    

Tato doporučení jistě vyvolají rozporuplné reakce dotčených společností. EDPB totiž doporučuje komplexní a náročná hodnocení, ale nenabízí ucelené a zaručené řešení. To se nepochybně promítne ve zvýšených nákladech. Je ale třeba ocenit snahu EDPB pružně reagovat na nejistotu, které mnoho společností v rámci svých každodenních operací čelí (zejména při zvýšené online aktivitě během pandemie). Bez pochyby bude zajímavé monitorovat vývoj těchto doporučení v závislosti na zpětné vazbě dotčených subjektů i odborné veřejnosti po celém světě.