Přenosy dat v ohrožení?

/v /od

Rozsudkem C-311/18 ze dne 16. července 2020 (známým též jako rozhodnutí Schrems II) zrušil Soudní dvůr Evropské unie pro rozpor s evropskou právní úpravou ochrany dat (GDPR) tzv. systém Privacy Shield (Štít soukromí), jenž umožňoval přenos dat mezi správcem v Evropské unii a jejich zpracovatelem v USA. Nově tak bude předávání dat do USA možné výhradně za použití standartních smluvních doložek, jejichž použití soud nevyloučil.

V rámci řízení o předběžné otázce byl Soudní dvůr Evropské unie (SDEU) povolán posoudit soulad systému ochrany přenosů dat mezi správcem v EU a zpracovatelem v USA známým jako tzv. Privacy Shield (Štít soukromí) s úrovní ochrany osobních dat vyžadovanou právními předpisy Unie, především pak nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 (tzv. GDPR). V řízení pak SDEU dospěl k závěru, že současná ochrana dat prostřednictvím systému Privacy Shield již není dostatečná, v důsledku čehož Privacy Shield bez náhrady zrušil.

Nadále již tedy není možné předávat data a osobní údaje z EU do USA za pomoci Privacy Shield, když jedinou možností k předání dat zůstaly standartní smluvní doložky, jejichž platnost soud svým rozhodnutím nezrušil, třebaže jejich použití podmínil testem přiměřenosti (proporcionality). V praxi tak bude správce při předání dat povinen sám vyhodnotit, zda záruky ochrany a ochranná opatření obsažená ve smluvních doložkách poskytují srovnatelnou úroveň ochrany zaručenou GDPR a Listinou základních práv EU. Pokud by tak správce dat neučinil a data poskytl, vystavoval by se riziku uložení správních pokut či jiných sankcí právě v režimu GDPR.

Rozsudek SDEU citelně zasáhl tisíce amerických společností, mezi jimi také Amazon, Google, či Meta, které účinky rozhodnutí ztratily status bezpečného zpracovatele osobních údajů ve třetí zemi v režimu Privacy Shield. Právě poslední jmenovaná společnost provozující mimo jiné sociální sítě Facebook a Instagram vyjádřila v této souvislosti obavy, když uvedla, že „pokud by se nemohla spolehnout na nové nebo stávající dohody k přesunu dat, pak by pravděpodobně nebyla schopná nabídnout řadu svých nejvýznamnějších produktů a služeb, včetně Facebooku a Instagramu, v Evropě“. V současné době tak evropští regulátoři ve spolupráci s odborníky s USA přepracovávají nařízení o tom, jak evropská data do USA přenášet, aby byla zachována jak ochrana soukromí, tak veřejný zájem v podobě národní bezpečnosti.