Privacy Shield končí. Existuje vhodná náhrada?

Prováděcí rozhodnutí Komise (EU) 2016/1250 ze dne 12. července 2016 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající úrovni ochrany poskytované štítem EU–USA na ochranu soukromí (tzv. rozhodnutí o štítu na ochranu soukromí, Privacy Shield), je neplatné.

Oproti tomu je rozhodnutí Komise 2010/87 ze dne 5. února 2010 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle směrnice Evropského parlamentu a Rady 95/46/ES, stále platné, neboť není zde v kontextu Listiny základních práv EU „žádná skutečnost, která by mohla mít dopad na jeho platnost“.

K uvedeným závěrům dospěl Soudní dvůr Evropské unie dne 16. července 2020 ve věci C-311/18, Data Protection Commissioner v. Facebook Ireland a Schrems.

Soudní dvůr Evropské unie má za to, že „omezení ochrany osobních údajů, která plynou z vnitrostátních právních předpisů Spojených států upravujících přístup k takovým údajům předávaným z [Evropské] unie do této třetí země a jejich použití orgány veřejné moci USA a která Komise (EU) posuzovala v rozhodnutí [o štítu na ochranu soukromí (Privacy Shield)], nejsou upravena takovým způsobem, aby odpovídala požadavkům, které jsou v zásadě rovnocenné požadavkům vyžadovaným v [evropském] unijním právu zásadou proporcionality, protože sledovací programy prováděné na základě těchto předpisů se neomezují na to, co je nezbytně nutné“[1]. Soudní dvůr Evropské unie poukazuje na to, že „v souvislosti s některými sledovacími programy nevyplývá ze zmíněných právních předpisů, že by existovala sebemenší omezení pro jimi stanovené zmocnění k provádění těchto programů nebo že by existovaly záruky pro osoby, které nejsou osobami z USA a na které se tyto programy mohou vztahovat“[2]. Soudní dvůr Evropské unie dodává, že „tyto předpisy sice stanoví požadavky, které při provádění dotčených sledovacích programů musí americké orgány respektovat, avšak subjektům údajů nepřiznávají práva vymahatelná vůči orgánům USA před soudy“[3].

Předáváte-li osobní údaje do USA, musíte co nejdříve zrevidovat svou interní politiku „vývozu“ osobních údajů. Náhradou Privacy Shield jsou standardní smluvní doložky s příjemcem těchto údajů v USA, závazná podniková pravidla nebo např. výslovný souhlas subjektů údajů. Evropský sbor pro ochranu osobních údajů však upozorňuje[4], že odpověď na otázku, zda můžete předávat osobní údaje na základě standardních smluvních doložek nebo závazných podnikových pravidel, závisí na výsledku Vašeho posouzení, s přihlédnutím k okolnostem konkrétního předání údajů do USA nebo jiné třetí země, a na doplňujících opatřeních, která zde přicházejí v úvahu. Standardní smluvní doložky, závazná podniková pravidla, jakož i ostatní doplňující opatření, musí zajistit, aby právní předpisy USA nezasahovaly do odpovídající úrovně ochrany osobních údajů, kterou uvedená opatření zaručují. Pokud však dospějete k závěru, že by s přihlédnutím k okolnostem konkrétního předání a k případným doplňujícím opatřením nebyly zajištěny vhodné záruky pro předávání osobních údajů do třetí země, máte povinnost předávání osobních údajů přerušit, či dokonce ukončit. Zkontrolujte, zda neodkazujete ve smlouvách o zpracování osobních údajů uzavřených s americkými partnery na Privacy Shield. Lze očekávat, že EU a USA se v budoucnosti domluví na vhodné náhradě, která vzniklé nedostatky napraví, vzhledem k současné nejistotě ohledně transatlantických politických i obchodních vztahů lze ovšem sotva odhadnout, kdy to bude.

 

[1] Soudní dvůr Evropské unie. Tisková zpráva č. 91/20, 16. července 2020. Soudní dvůr prohlašuje rozhodnutí 2016/1250 o odpovídající úrovni ochrany poskytované štítem EU–USA na ochranu soukromí za neplatné. WWW: <https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091cs.pdf>.

[2] Soudní dvůr Evropské unie. Tisková zpráva č. 91/20, 16. července 2020. Soudní dvůr prohlašuje rozhodnutí 2016/1250 o odpovídající úrovni ochrany poskytované štítem EU–USA na ochranu soukromí za neplatné. WWW: <https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091cs.pdf>.

[3] Ibid.

[4] Ibid..