Štít EU-USA na ochranu soukromí končí | Marwick.cz
Marwick.cz

Štít EU-USA na ochranu soukromí končí

Právo 21.7.2020 Linda Kolaříková, Kateřina Randlová
Štít EU-USA na ochranu soukromí končí
Aktivista Max Schrems si ve sporu s Facebookem připisuje další právní vítězství. Aktuální rozsudek Soudního dvora Evropské unie (SDEU) zrušil tzv. štít na ochranu soukromí umožňující předávání osobních údajů z EU do USA. Globální korporace se nyní musí s dopady tohoto rozhodnutí poprat. Po zrušení koncepce tzv. bezpečného přístavu tak jde už o druhý Schremsův zásah.

Očekávaný rozsudek ve věci C-311/18 (tzv. „Schrems II“) vydal SDEU 16. července 2020. Zodpovídal v něm na jedenáct otázek ohledně úrovně ochrany při předávání osobních údajů do třetích zemí a s tím souvisejících povinností dozorových úřadů. Hlavní z nich směřovala na platnost štítu a standardních smluvních doložek. Oba mechanismy přitom dosud měly klíčovou roli. Nařízení GDPR totiž stanoví, že k předávání osobních údajů do třetí země může dojít pouze tehdy, pokud příslušná země zajistí odpovídající úroveň jejich ochrany. V praxi evropské společnosti předávají osobní údaje na základě dohod obsahujících standardní smluvní doložky nebo ve vztahu k USA spoléhaly na štít na ochranu soukromí.

Spor s Facebookem má své kořeny v roce 2013, kdy Maxmillian Schrems podal stížnost u irského komisaře pro ochranu údajů. Považoval totiž přenos osobních údajů společností Facebook Ireland na servery ve vlastnictví společnosti Facebook Inc. umístěné v USA za nebezpečný. To vedlo ke zneplatnění koncepce bezpečného přístavu a o pár měsíců později vznikl štít EU-USA na ochranu soukromí.

Další Schremsova stížnost napadala předávání osobních údajů na základě standardních smluvních doložek.  Žádal, aby irský dozorový úřad zakázal předávání jeho osobních údajů z EU do USA. Irský úřad dospěl k názoru, že vyřízení stížnosti závisí mimo jiné na platnosti rozhodnutí o štítu na ochranu soukromí mezi USA a EU. Jak jsme popsali dříve, generální advokát ve svém stanovisku považoval standardní smluvní doložky za stále platné. V souvislosti se štítem však vyjádřil pochybnosti ohledně úrovně ochrany údajů poskytovaných do USA, zejména s ohledem na činnost tamních bezpečnostních orgánů.  

Ve světle GDPR nakonec SDEU rozhodl, že vnitrostátní předpisy USA upravující přístup a používání osobních údajů dovážených z EU neposkytují ochranu, která je rovnocenná ochraně zaručené v Unii. SDEU upřesňuje, že při posuzování ochrany je třeba vzít v úvahu jak smluvní ujednání mezi vývozcem osobních údajů v EU a příjemcem předávaných údajů ve třetí zemi, tak prvky právního řádu této země, s ohledem na případný přístup orgánů veřejné moci třetí země k předávaným osobním údajům. SDEU poukázal na nedostatečnou úroveň právní ochrany osobních údajů v USA. Tamní úřady nenaplňují zásadu proporcionality, protože jejich sledovací programy se neomezují jen na nezbytně nutná zjištění.

Standardní smluvní doložky pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích naproti tomu zůstávají platné. Obsahují totiž účinné mechanismy, které v praxi umožní zajistit úroveň ochrany vyžadovanou unijním právem. V případě, že by došlo k jejich porušení nebo nebylo možné je dodržet, lze dočasně nebo trvale zakázat předávání osobních údajů na jejich základě. SDEU konstatuje, že rozhodnutí o smluvních doložkách takové mechanismy zavádí, protože stanoví povinnost vývozce a příjemce osobních údajů předem ověřit, že ve třetí zemi bude tato úroveň ochrany dodržena. Dále příjemci ukládá povinnost informovat vývozce osobních údajů, pokud nebude moci zajistit dodržování doložek o ochraně. Vývozce v takovém případě musí pozastavit předávání údajů nebo odstoupit od smlouvy s příjemcem.

Předávání osobních údajů do USA či třetích zemí na základě standardních smluvních doložek je ale nyní velkou otázkou. Například úřad berlínského Komisaře pro ochranu osobních údajů již v podstatě vyzval správce údajů, aby od jejich předávání do USA odstoupili a preferovali čistě evropské řešení. Evropský sbor pro ochranu osobních údajů v souladu s rozsudkem zdůraznil nutnost adekvátního posouzení nejen obsahu doložek, ale především okolností předávání údajů a právního režimu cílové země. Doporučujeme také monitorovat činnost Evropské komise, která by mohla znění smluvních doložek aktualizovat.

autor
Linda Kolaříková, Kateřina Randlová

Nástrahy inteligentní domácnosti pohledem právníka

Nástrahy inteligentní domácnosti pohledem právníka

Kdo odpovídá za škodu způsobenou umělou inteligencí? Výrobce, majitel přístroje, nebo dodavatel dat? Také tento hlavolam zkouší vyřešit Evropská unie.

Google utržil další ránu za 2,42 mld. eur

Google utržil další ránu za 2,42 mld. eur

Společnost Google a její mateřská společnost Alphabet prohrály další spor s Evropskou komisí. Pokutu udělenou za zneužívání dominantního postavení na trhu potvrdil Tribunál Soudního dvora Evropské unie. Snaha Googlu zvrátit rozhodnutí Komise, které nejen že ukládá rekordní pokutu, ale zároveň naznačuje směr pro budoucí rozhodovací praxi, tak vyšla naprázdno.
Ladislav Karas: Pro přivýdělek ve stejném oboru je potřeba souhlas zaměstnavatele

Ladislav Karas: Pro přivýdělek ve stejném oboru je potřeba souhlas zaměstnavatele

Jak sladit přivýdělek s pracovní dobou je jedna věc. Jak ho sladit se zákoníkem práce, radí Ladislav Karas, advokát KPMG Legal.
Komise navrhla ambiciózní reformu digitálního prostoru

Komise navrhla ambiciózní reformu digitálního prostoru

Evropská komise chystá nová pravidla pro digitální služby. Měla by přinést největší změny od roku 2000.
EDPB a jeho „návod“ pro datové přenosy po rozhodnutí Schrems II

EDPB a jeho „návod“ pro datové přenosy po rozhodnutí Schrems II

V listopadu 2020 vydal Evropský sbor pro ochranu osobních údajů (European Data Protection Board – EDPB) dlouho očekávaná doporučení ohledně přenosu osobních údajů mimo EU. Navazují na přelomové rozhodnutí Soudního dvora EU známé jako „Schrems II (C-311/18)“.
Amazon opět v hledáčku Komise – tentokrát kvůli využití dat obchodníků na Marketplace

Amazon opět v hledáčku Komise – tentokrát kvůli využití dat obchodníků na Marketplace

Evropská komise informovala největšího internetového prodejce Amazon o svém předběžném zjištění o porušení antimonopolních pravidel EU. Údajně měl narušit hospodářskou soutěž na maloobchodních trzích provozovaných online. 
Návrh nařízení o správě dat unikl před zveřejněním a sklidil kritiku

Návrh nařízení o správě dat unikl před zveřejněním a sklidil kritiku

Podle uniklého návrhu je cílem vytvoření dobré infrastruktury pro sdílení dat, a přinést tak EU „digitální suverenitu“. 
Evropská regulace AI na obzoru

Evropská regulace AI na obzoru

Evropský parlament hlasoval v říjnu o návrzích pravidel pro umělou inteligenci (AI). Europoslanci přijali Etický rámec, zprávu o právech k duševnímu vlastnictví a především předběžný návrh nařízení o odpovědnosti za provoz systémů AI.