7. 8. 2020 – Úřad pro ochranu osobních údajů se na svých webových stránkách vyjadřuje k dopadům rozsudku Evropského soudního dvora ve věci C-311/18 na přenos údajů mezi správcem v EU a zpracovatelem ve třetí zemi (USA). Součástí textu je také doporučení pro správce osobních údajů, jak nastalou situaci řešit. Řada správců využívá služeb zpracovatelů usazených v USA a pro předání údajů si zvolila jako právní základ EU-USA Štít soukromí (Privacy Shield) nebo standardní smluvní doložky, což jsou nástroje, které podle GDPR poskytují předávaným údajům ve třetí zemi dostatečnou úroveň ochrany.
Prováděcí rozhodnutí Komise ze dne 12. července 2016 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající úrovni ochrany poskytované štítem EU–USA na ochranu soukromí bylo prohlášeno za neplatné rozsudkem Soudního dvora Evropské unie ve věci C-311/18 Data Protection Commissioner v. Facebook Ireland Limited a Maximillian Schrems (tzv. Schrems II) ze dne 16. července 2020. Nadále tak již není možné předávat osobní údaje do USA na základě Štítu soukromí.
Standardní smluvní doložky Evropský soud svým rozsudkem nezrušil, jejich použití však podmiňuje testem přiměřenosti přijatých opatření v závislosti na okolnostech předání a zemi dovozce údajů. V zásadě tedy požaduje, aby v případě, že se správce rozhodne pro předání údajů do konkrétní třetí země použít standardní smluvní doložky, sám prověřil, zda vhodné záruky a ochranná opatření v doložkách skutečně zajišťují srovnatelnou úroveň ochrany zaručené v Unii GDPR a Listinou. Podle soudu by správce při posuzování úrovně měl brát v úvahu i relevantní prvky právního řádu třetí země. V případě USA toto posouzení učinil sám ESD a konstatoval, že USA na základě platné legislativy realizují plošný přístup státních orgánů k osobním údajům a nezajišťují dostatečnou ochranu předávaným údajům ani účinnou právní ochranu subjektům údajů. Z rozhodnutí Komise o standardních smluvních doložkách pak přímo vyplývá, že pokud vývozce a dovozce údajů dojdou k závěru, že standardní smluvní doložky nemohou být ve třetí zemi dodrženy, měly by být doplněny o další opatření nebo přenos údajů zastaven.
GDPR požaduje, aby monitorovaní a přezkoumávání rizik pro práva a svobody subjektů údajů probíhalo nepřetržitě na základě aktuální situace. Aktuální situace nastala v souvislosti s rozsudkem ESD C-311/18. Tato skutečnost vyžaduje, aby proběhla revize uvažovaných hrozeb, hodnocení správnosti a účinnosti uplatněných opatření (technických a organizačních) včetně revize smluvních ujednání (standardní smluvní doložky).
Pokud jsou zpracovatelé jakožto dovozci údajů subjektem amerického práva, je třeba zvlášť posoudit rizika vyplývající nejen z rozsudku Evropského soudu, ale i z tzv. CLOUD Act (právní předpis přijatý Kongresem Spojených států amerických jako H. R. 4943 Clarifying Lawful Overseas Use of Data Act – Objasnění zákonného použití dat v zámoří).
Správce může využít pouze takového zpracovatele, který poskytuje dostatečné záruky zavedení vhodných technických a organizačních opatření (čl. 28 odst. 1 GDPR). Prokázání kreditu zvoleného zpracovatele je z hlediska GDPR zcela zásadní.
Vzhledem k výše uvedenému by měl každý správce předávající osobní údaje zpracovateli do USA na základě standardních smluvních doložek nebo správce, který zatím o předání uvažuje, řešit s dovozcem údajů konkrétní dopady rozsudku ESD, hledat a navrhovat řešení v podobě dalších bezpečnostních záruk (např. uložení dat včetně metadat pouze na území EU, šifrování bez zadních vrátek apod.). Přitom by správce neměl zapomenout na zásadu transparentnosti a informovat subjekt údajů o konkrétních opatřeních a postupech, komu a do jakých zemí jsou údaje zpřístupňovány/předány, za jakých podmínek, jak jsou jeho údaje chráněny, případně rizika s tím související.
Komentáře