• >
• GDPR a osobní údaje
• >
• Mezinárodní předávání osobních údajů, aneb ví se už, zda lze předávat osobní údaje z EU do USA?

Mezinárodní předávání osobních údajů, aneb ví se už, zda lze předávat osobní údaje z EU do USA?

Aby mohly osobní údaje opustit EU, vyžaduje Nařízení (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR“) dodržování stanovených podmínek, díky kterým je takové mezinárodní předávání osobních údajů legálně možné. Po několika koncepčních změnách však není v současnosti jasné, zda lze bez rizika předávání osobních údajů z EU do USA realizovat. Z hlediska právní regulace je nyní předávání osobních údajů do USA předmětem četných jednání příslušných orgánů EU.

Podle GDPR mohou být předávány osobní údaje z EU do zemí mimo EU pouze v souladu se zvláštními mechanismy předávání osobních údajů. Slovy Evropské komise: „Při předávání osobních údajů mimo Evropský hospodářský prostor se předpokládají zvláštní ochranná opatření, aby se zajistilo, že s údaji cestuje i ochrana. “[1] Jeden z možných mechanismů, který umožňuje předávání osobních údajů mezi EU a třetími zeměmi, je rozhodnutí Evropské komise, že třetí země poskytuje údajům EU odpovídající úroveň ochrany, tj. rozhodnutí Evropské komise o odpovídající ochraně ve smyslu článku 45 GDPR.

K předávání osobních údajů z EU do USA ve smyslu článku 45 GDPR docházelo dříve zejména na základě rozhodnutí Evropské komise 2016/1250 ze dne 12. července 2016, které reflektovalo právní rámec mezi EU a USA označovaný jako tzv. Privacy Shield. Díky tomu mohly americké společnosti relativně pohodlným způsobem přenášet osobní údaje z EU do USA, pokud byly certifikovány v rámci systému Privacy Shield.[2] Zjednodušeně řečeno, během fungování Privacy Shield stačilo, aby příslušná společnost byla uvedena na seznamu zřízeném Ministerstvem obchodu USA, a v důsledku toho bylo předávání osobních údajů vnímáno jako předávání osobních údajů učiněné v souladu s právem EU. Avšak dne 16. července 2020 byl Privacy Shield na základě rozhodnutí Soudního dvora EU (dále jen „SDEU“) ve věci C-311/18 (dále jen „Schrems II“) zrušen. Obecně v tomto rozhodnutí SDEU prohlásil, že Privacy Shield dává možnost vládním orgánům USA získávat v širokém rozsahu data od soukromých amerických společností a že subjekty EU v souvislosti s předáváním osobních údajů nemají vůči orgánům USA k dispozici dostatečně účinnou právní ochranu, čímž USA nezajistily rovnocennou úroveň ochrany údajů a soukromí ve světle Listiny základních práv EU. Aby společnosti mohly i nadále oprávněně předávat osobní údaje do USA, byly nuceny se uchýlit k alternativním mechanismům předávání údajů.

EU-US Data Privacy Framework

Vzhledem k tomu, že USA a EU jsou velmi důležitými obchodními partnery, mělo a stále má narušení oboustranných datových toků zásadní dopad na digitální obchod, jelikož alternativní mechanismy předávání osobních údajů nejsou již tak snadno proveditelné jako předávání osobních údajů na základě rozhodnutí Evropské komise o odpovídající ochraně údajů.

Proto Evropská komise zahájila jednání s příslušnými orgány USA o dalších krocích k aktualizaci či vytvoření obdoby Privacy Shield v souladu s požadavky obsaženými v rozhodnutí Schrems II. V říjnu 2022 bylo v USA vydáno nařízení k zavedení nového rámce na ochranu osobních údajů sdílených mezi USA a EU, který má představovat náhradu výše zmiňovaného Privacy Shield a který odstraňuje nedostatky Privacy Shield zjištěné v rozhodnutí Schrems II.[3] Vydání nařízení odstartovalo na poli Evropské komise proces, jehož cílem je posoudit nový režim představený nařízením a v souvislosti s tím připravit příslušné rozhodnutí, které potvrzuje odpovídající úroveň ochrany osobních údajů v USA. Cílem celého procesu je vnést jistotu a přehlednost do transatlantických toků osobních údajů.

Na konci roku 2022 evropský komisař Didier Reynders zaslal předsedkyni Evropského sboru pro ochranu osobních údajů (dále jen „Sbor“) Andree Jelinek dlouho očekávaný návrh rozhodnutí Evropské komise o odpovídající úrovni ochrany osobních údajů zajištěné společnou dohodou EU-US Data Privacy Framework.[4] Sbor následně dne 28. února 2023 vydal stanovisko, ve kterém vyjádřil potěšení nad skutečností, že mnohé prvky EU-US Data Privacy Framework představují podstatné zlepšení oproti Privacy Shield (například zřízení soudu pro přezkum ochrany údajů, který bude vyšetřovat a řešit stížnosti týkající se přístupu amerických národních bezpečnostních orgánů k osobním údajům, či umožnění přístupu americkým zpravodajským službám k osobním údajům pouze v nezbytných situacích, zejména v případě ohrožení národní bezpečnosti). Avšak i přes tato pozitiva Sbor ve svém stanovisku konstatuje určité obavy a žádá Evropskou komisi o objasnění některých aspektů EU-US Data Privacy Framework.[5]

Než však Evropská komise bude moci přijmout příslušné rozhodnutí o odpovídající ochraně, které umožní volný a bezpečný tok osobních údajů mezi EU a USA, budou se k otázce EU-US Data Privacy Framework ještě vyjadřovat členské státy EU i Evropský parlament.

Jak tedy předávat osobní údaje mezi EU a USA, než bude přijato rozhodnutí Evropské komise o odpovídající ochraně?

Dokud nebude výše zmíněné rozhodnutí o odpovídající ochraně Evropskou komisí přijato, je potřeba za účelem předávání osobních údajů mezi EU a USA využít jiných prostředků. Mezi tyto prostředky se řadí tzv. vhodné záruky podle článku 46 GDPR a tzv. výjimky podle článku 49 GDPR.

V souvislosti s předáváním osobních údajů na základě výjimek podle článku 49 GDPR přijal Sbor Pokyny k derogacím článku 49 GDPR.[6] V těchto pokynech je především zdůrazněno, že výjimky musí být vykládány restriktivně a střídmě, aby se nestaly pravidlem. Navíc ohledně uplatnění výjimky platí, že výjimku je možné aplikovat jen při dodržení v GDPR stanovených pravidel, mezi která patří i podmínka příležitostných neopakujících se převodů a nemožnost založení některého předání na některém z ustanovení článku 45 nebo 46 GDPR.

Vhodné záruky ve smyslu článku 46 GDPR zahrnují různé alternativní nástroje předávání osobních údajů, mezi které spadají i tzv. standardní smluvní doložky o ochraně osobních údajů přijatých Evropskou komisí. Jedná se o vzorové modulární texty smluv, které díky své poměrné jednoduchosti představují velmi využívaný prostředek pro zajištění záruk ochrany osobních údajů při přípravě příslušných smluv v oblasti ochrany osobních údajů. V současnosti se uplatňují standardní smluvní doložky ve verzi z roku 2021, které nahradily původní standardní smluvní doložky, jež byly přijaty ještě před účinností GDPR a nereagovaly adekvátně na technologický a společenský pokrok v oblasti ochrany osobních údajů. Nové standardní smluvní doložky lépe odpovídají různorodým obchodním vztahům mezi správci osobních údajů a jejich dodavateli, protože jsou do jisté míry variabilní.

Ačkoliv standardní smluvní doložky představují relativně jednoduché řešení pro zajištění záruk ochrany osobních údajů, není možné je na konec příslušné smluvní dokumentace pouze zkopírovat, aniž by prošly úpravou ze strany smluvních stran. Vzhledem k tomu, že nelze obecně vymezit veškeré možné předvídatelné situace, pro které smluvní strany standardní smluvní doložky uzavírají, vyžadují tyto, aby do jejich některých částí smluvní strany zasáhly. Je nutné například konkretizovat kategorie předávaných osobních údajů, četnost předávání (např. zda jsou údaje předávány jednorázově či průběžně), dobu, po kterou budou osobní údaje uchovávány, nebo, není-li ji možné určit, kritéria použitá pro stanovení této doby.

Vzhledem k tomu, že SDEU ve výše zmiňovaném rozhodnutí Schrems II v několika bodech odůvodňujících rozhodnutí zdůraznil, že vzhledem k tomu, že samotné uzavření standardních smluvních doložek nemusí stačit k legálnímu předávání osobních údajů, je nezbytné, aby smluvní strany samy posoudily, zda samotné uzavření standardních smluvních doložek představuje v daném případě dostatečný prostředek k zajištění skutečné ochrany předávaných osobních údajů a zda jsou smluvní strany schopné jimi ujednaná práva a povinnosti fakticky realizovat.[7] Osoba vyvážející data si musí zejména ověřit, zda současná právní úprava země, kam jsou osobní údaje odesílány, umožňuje naplnění jednotlivých ustanovení standardních smluvních doložek. Zároveň je nezbytné sledovat vývoj úpravy v dané zemi, protože by mohla nastat situace, kdy by například osoba dovážející údaje nebyla v důsledku nové právní úpravy schopna standardní smluvní doložky řádně realizovat, a v takovém případě by muselo dojít k (po)zastavení přenosu osobních údajů.

V souvislosti se vším výše uvedeným by smluvní strany měly také zajistit nejen vhodná technická opatření (např. náležité šifrování dat při přenosu, ukládání údajů i příslušných metadat v rámci datových center v členském státě EU, pseudonymizaci atd.), ale i opatření organizační (periodické školení pracovníků, stanovení interních pravidel týkajících se přístupu k osobním údajům atd.) a všechna tato opatření by měla být řádně ve smluvní dokumentaci upravena.[8] Avšak některé části standardních smluvních doložek by měly zůstat zcela nedotčené, jelikož v opačném případě hrozí, že by standardní smluvní doložky ztratily svůj smysl, spočívající v zajištění záruk ochrany údajů. V tomto je vzor standardních smluvních doložek relativně návodný.

Závěr

Ačkoliv se pracuje na tom, aby EU-US Data Privacy Framework mohl začít fungovat co nejdříve, je z aktuální situace zřejmé, že řadu jeho aspektů bude potřeba ještě vyjasnit a detailněji rozpracovat. I přesto, že z právního hlediska daná problematika zatím zcela uspokojivě vyřešena není, dle naší zkušenosti přenosy do USA nadále fungují, a to převážně v režimu standardních smluvních doložek o ochraně osobních údajů přijatých Evropskou komisí. S ohledem na poměrně obecné stanovisko Úřadu pro ochranu osobních údajů[9] neočekáváme, že by se v rámci České republiky rozmohla široká sankční praxe. Ostatně to ani nepovažujeme za vhodné s ohledem na stav právní regulace a částečné míry nejistoty. Na druhou stranu doporučení ohledně smluvních podkladů i technického a organizačního zabezpečení dat jsou známá, a dle našeho názoru je tudíž zásadní, aby byla implementována do praxe každého přenosu osobních údajů.

[1] International transfers of personal data [online]. [cit. 2023-03-29]. Dostupné z: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/rules-international-data-transfers_en

[2] WIGAND Christian et al. European Commission launches EU-U.S. Privacy Shield: stronger protection for transatlantic data flows. 2016-07-12 [online]. [cit. 2023-03-29]. Dostupné z: https://ec.europa.eu/commission/presscorner/detail/en/IP_16_2461

[3] Cooper Dan et al. President Biden Signs Executive Order to Implement EU-U.S. Data Privacy Framework. 2022-10-14 [online]. [cit. 2023-03-29]. Dostupné z: https://www.insideprivacy.com/eu-data-protection/president-biden-signs-executive-order-to-implement-eu-u-s-data-privacy-framework/

[4] EU – US Data Privacy Framework a návrh Evropské komise. 2022-12-20 [online]. [cit. 2023-03-29]. Dostupné z: https://www.uoou.cz/eu-us-data-privacy-framework-a-navrh-evropske-komise/d-56714

[5] Opinion 5/2023 on the European Commission Draft Implementing Decision on the adequate protection of personal data under the EU-US Data Privacy Framework. 2023-02-28 [online]. [cit. 2023-03-29]. Dostupné z: https://edpb.europa.eu/system/files/2023-02/edpb_opinion52023_eu-us_dpf_en.pdf

[6] Pokyny 2/2018 k výjimkám podle článku 49 nařízení (EU)

2016/679. 2018-05-25 [online]. [cit. 2023-03-29]. Dostupné z: https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=33546

[7] Zejména se jedná o body č. 126, 128, 130 až 134.

[8] Vyjádření ÚOOÚ k využívání cloudových služeb z pohledu ochrany osobních údajů a povinnostem správce a zpracovatele podle obecného nařízení. [online]. [cit. 2023-03-29]. Dostupné z: https://www.mvcr.cz/soubor/vyjadreni-uoou-k-vyuzivani-cloudovych-sluzeb-z-pohledu-ochrany-osobnich-udaju-a-povinnostem-spravce-a-zpracovatele-podle-obecneho-narizeni.aspx

[9] Vyjádření ÚOOÚ k předávání osobních údajů do třetích zemí v rámci sekce Často kladené otázky [online]. [cit. 2023-03-29].  https://www.uoou.cz/k-predavani-osobnich-udaju-do-tretich-zemi/ds-5296