Rozsudek SDEU C-311/18 (Schrems II) a jeho důsledky - Rámec ochrany soukromí mezi EU a USA - Transfer Impact Assessment
Rozsudek Soudního dvora Evropské unie ve věci C-311/18 Data Protection Commissioner v. Facebook Ireland Limited a Maximillian Schrems (tzv. Schrems II) ze dne 16. července 2020 přinesl významný posun ve výkladu a praxi předávání osobních údajů do třetích zemí, a to jak pro předávání osobních údajů do Spojených států amerických, tak i obecně pro předávání na základě nástrojů podle čl. 46 obecného nařízení (povinnost provést Transfer Impact Assessment):
Předávání osobních údajů do Spojených států amerických
Rozsudek Soudního dvora prohlásil za neplatné Prováděcí rozhodnutí Komise ze dne 12. července 2016 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající úrovni ochrany poskytované štítem EU–USA na ochranu soukromí, čímž znemožnil předávání osobních údajů do USA na základě Štítu soukromí.
Po dlouhých jednáních Spojené státy prezidentských dekretem EO 14086 zavedly do oblasti zpracování osobních údajů orgány veřejné moci princip proporcionality, čímž otevřely prostor pro vytvoření nového programu Rámce ochrany soukromí, k němuž Evropská komise vydala Prováděcí rozhodnutí Komise ze dne 10. července 2023 podle nařízení Evropského parlamentu a Rady (EU) 2016/679 o odpovídající ochraně osobních údajů poskytované Rámcem ochrany soukromí mezi EU a USA.
Z rozhodnutí vyplývá, že Spojené státy americké zajišťují odpovídající úroveň ochrany osobních údajů, které jsou předávány organizacím v USA, které jsou zapsány v „Seznamu Rámce ochrany soukromí“.
Subjekty údajů mohou podávat stížnosti na nedodržení zásad Rámce ochrany soukromí americkými společnostmi zapsanými v DPF seznamu jednak přímo u těchto společností, jednak v některých případech u evropských dozorových úřadů (viz jednací řád „neformálního panelu úřadů pro ochranu osobních údajů v EU“; informace o rámci ochrany soukromí mezi EU a USA pro Fyzické osoby a pro Podniky).
Formulář pro podání stížnosti na DPF americkou společnost u evropských dozorových úřadů.
Subjekty údajů mohou také podávat stížnosti na nezákonný přístup zpravodajských služeb USA k jejich osobním údajům předaným do USA, a to prostřednictvím evropských dozorových úřadů (viz Informace o mechanismu nápravy, případně Procesní pravidla spolupráce v rámci mechanismu nápravy).
Transfer Impact Assessment
Rozsudek Soudního dvora konstatoval, že ve světle Listiny základních práv Evropské unie musí vhodné záruky podle čl. 46 obecného nařízení o ochraně osobních údajů zajistit předaným osobním údajům ve třetí zemi ochranu v zásadě rovnocennou ochraně poskytované obecným nařízením.
Vycházeje z tohoto konstatování dospěl Evropský soudní dvůr k závěru, že Rozhodnutí Komise 2010/87 ze dne 5. února 2010 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle směrnice Evropského parlamentu a Rady 95/46/ES je platné.
Zároveň však Evropský soudní dvůr zdůraznil, že pokud konkrétní smlouva obsahující dané standardní smluvní doložky nezajišťuje předaným osobním údajům ve třetí zemi ochranu v zásadě rovnocennou ochraně poskytované obecným nařízením, pak je na odpovědnosti vývozce a dovozce osobních údajů, aby poskytli dodatečné záruky, které požadovanou ochranu osobních údajů ve třetí zemi zajistí.
Důsledkem rozsudku Soudního dvora je tak povinnost každého správce/vývozce osobních údajů provést před realizací předávání osobních údajů do třetích zemí s nedostatečnou úrovní ochrany osobních údajů tzv. Transfer Impact Assessment, tzn. vyhodnotit, zda zvolený nástroj pro předání osobních údajů podle čl. 46 opravdu poskytne předaným údajům v zásadě rovnocennou ochranu, nebo zda je nezbytné přijmout dodatečná opatření, která tuto ochranu zajistí.
Postup, jakým je třeba Transfer Impact Assessment provádět, podrobně vysvětluje v několika krocích Evropský sbor pro ochranu osobních údajů v Doporučení Sboru 1/2020 k opatřením doplňujícím stávající nástroje předávání osobních údajů pro zajištění EU úrovně ochrany osobních údajů:
1. Správce musí předně skutečně znát okolnosti svého předání a uplatnit na předání jako na samostatnou operaci zpracování všechny zásady definované čl. 5 obecného nařízení, tzn. správce musí především vědět komu a do kterých zemí hodlá data předat, musí určit účel předání osobních údajů a vymezit relevantní údaje, které je nezbytné pro naplnění stanoveného účelu předat do třetí země.
2. Správce musí zvolit jeden z nástrojů pro předání vyjmenovaných v čl. 46 obecného nařízení, přičemž, pokud správce není členem skupiny disponující schválenými závaznými podnikovými pravidly, je v současné době stále jedinou schůdnou cestou použití standardních smluvních doložek podle rozhodnutí Evropské komise.
3. Správce musí v kontextu daného předání, nejlépe ve spolupráci s potenciálním dovozcem osobních údajů, zhodnotit, zda legislativa třetí země nenaruší úroveň ochrany předaných osobních údajů takovým způsobem, že ani použití zvoleného nástroje podle čl. 46 samo o sobě nezajistí vhodné záruky ochrany předaných osobních údajů. Především se správce musí soustředit na zhodnocení otázky, zda právní řád třetí země umožňuje jejím orgánům veřejné moci přístup k předaným osobním údajům v rozsahu, který jde nad rámec toho, co je obvyklé v demokratické společnosti, v čemž mu mohou pomoci Doporučení Sboru 2/2020 k zásadním zárukám přiměřeného přístupu k osobním údajům.
4. V případě, že správce dojde k závěru, že pro dané předání do třetí země neposkytuje zvolený nástroj podle čl. 46 dostatečné záruky pro zajištění „v zásadě rovnocenné“ ochrany předaných osobních údajů, musí správce, zpravidla ve spolupráci s dovozcem, přijmout doplňková opatření, která navýší záruky na požadovanou úroveň. V přílohách uvedeného Doporučení Sboru 1/2020 jsou uvedeny příklady možných technických, smluvních a organizačních opatření. Pokud správce nepřijme nebo nenalezne taková doplňková opatření, nezbude mu nic jiného než předání nerealizovat, resp. v případech již probíhajících předávání toto zastavit nebo oznámit danou skutečnost příslušnému dozorovému úřadu, který rozhodne o zastavení předávání.
5. Správce musí posléze ve vhodných intervalech znovu zhodnotit, zda v právním řádu dané třetí země nedošlo k nepříznivému vývoji vzhledem k úrovni ochrany předávaných údajů, a zda tedy není nutné nalézt a přijmout ještě jiná doplňková opatření.