Sdělení EDPB k EU & USA Data Privacy Framework
Dne 10. července 2023 přijala Evropská komise (dále jen “Komise”) Prováděcí rozhodnutí ze dne 10. července 2023 podle Nařízení Evropského parlamentu a Rady (EU) 2016/679 o odpovídající ochraně osobních údajů poskytované Rámcem ochrany soukromí mezi EU a USA.
Dne 10. července 2023 přijala Evropská komise (dále jen “Komise”) Prováděcí rozhodnutí ze dne 10. července 2023 podle Nařízení Evropského parlamentu a Rady (EU) 2016/679 o odpovídající ochraně osobních údajů poskytované Rámcem ochrany soukromí mezi EU a USA (dále jen „Rozhodnutí o odpovídající ochraně“).[1] Dokumentace Rámce ochrany soukromí (dále jen „DPF“) je obsažena v příloze rozhodnutí.
Komise rozhodla, že pro účely článku 45 Nařízení (EU) 2016/679 (dále jen „GDPR“) Spojené státy americké (dále jen „USA“) zajišťují odpovídající úroveň ochrany osobních údajů předávaných z EU[2] organizacím v USA, které jsou zapsány v „Seznamu Rámce ochrany soukromí“ vedeného a zveřejňovaného Ministerstvem obchodu USA v souladu s oddílem I.3 Přílohy I Rozhodnutí o odpovídající ochraně[3].
Před schválením tohoto rozhodnutí přijal Evropský sbor pro ochranu osobních údajů (dále jen „EDPB“), v souladu s článkem 70(1)(s) GDPR, stanovisko k návrhu Rozhodnutí o odpovídající ochraně[4].
Účelem tohoto sdělení je vyjasnit důsledky Rozhodnutí o odpovídající ochraně pro subjekty údajů v EU a pro společnosti předávající osobní údaje z EU do USA.
1. Jak předávat osobní údaje do USA na základě DPF?
Rozhodnutí o odpovídající ochraně platí od 10. července 2023. Od tohoto data mohou tedy být předávání osobních údajů z EU[5] organizacím v USA, které jsou zapsány v „Seznamu rámce ochrany soukromí“[6], uskutečňována na základě Rozhodnutí o odpovídající ochraně bez nutnosti použití nástrojů pro předávání podle článku 46 GDPR.
Předávání na základě Rozhodnutí o odpovídající ochraně tak nemusí být doprovázeno žádnými doplňujícími opatřeními[7]. EDPB odkazuje na vysvětlení poskytnutá v této věci Komisí[8].
2. Jak předávat osobní údaje do USA, když dovozce dat není na „Seznamu rámce ochrany soukromí“?
Předávání společnostem v USA, které nejsou na „Seznamu rámce ochrany soukromí“, nelze opřít o Rozhodnutí o odpovídající ochraně, a bude tedy nadále vyžadovat vhodné záruky ochrany osobních údajů, vymahatelná práva a účinnou právní ochranu subjektů údajů (např. prostřednictvím standardních smluvních doložek, závazných podnikových pravidel) v souladu s článkem 46 GDPR[9].
EDPB v tomto ohledu zdůrazňuje, že veškeré záruky zavedené vládou USA v oblasti národní bezpečnosti (včetně mechanismu nápravy) se vztahují na všechny údaje předávané do US, bez ohledu na použitý nástroj pro předávání[10]. Proto by vývozci dat při vyhodnocení efektivity vybraného nástroje pro předávání podle článku 46 GDPR[11] měli vzít v úvahu posouzení provedené Komisí v Rozhodnutí o odpovídající ochraně[12].
3. Mohou subjekty údajů v EU podávat stížnosti podle DPF?
Pokud osoby, jejichž údaje jsou předávány do USA na základě Rozhodnutí o odpovídající ochraně, nabudou dojmu, že dotčená organizace v US nepostupuje v souladu s DPF, mají k dispozici několik mechanismů nápravy[13]. Doporučujeme jednotlivým osobám nejprve uplatnit případnou stížnost u příslušné organizace v USA. Organizace v EU se mohou v případě dotazů , pokud to bude nezbytné, obrátit na své dozorové úřady, které jsou kompetentní pro dané činnosti zpracování.
4. Jak mohou subjekty údajů v EU využít nový mechanismus nápravy v oblasti národní bezpečnosti?
Subjekty údajů v EU mohou, bez ohledu na nástroj použitý pro předání jejich osobních údajů do USA, uplatnit nový mechanismus nápravy v oblasti národní bezpečnosti podáním stížnosti ke svému národnímu úřadu pro ochranu osobních údajů. Národní úřad pro ochranu osobních údajů zajistí, že stížnost bude postoupena EDPB, který ji odešle úřadům v USA příslušným k vyřízení takové stížnosti. Národní úřad pro ochranu osobních údajů dále zajistí, aby subjekt údajů obdržel informaci ohledně postupu vyřizování stížnosti, včetně výsledku vyřízení podané stížnosti. Stěžovatelé nemusí kvůli přípustnosti stížnosti dokládat, že jejich údaje byly shromažďovány zpravodajskými službami USA.
5. Uskuteční se přezkum Rozhodnutí o odpovídající ochraně?
První přezkum Rozhodnutí o odpovídající ochraně proběhne jeden rok po vstupu tohoto rozhodnutí v platnost, aby bylo ověřeno, zda všechny prvky byly plně a účinně zavedeny do praxe. Po tomto prvním přezkumu a v závislosti na jeho výsledku Komise rozhodne, po konzultaci s EDPB a členskými státy EU, o četnosti následných přezkumů, které se každopádně uskuteční nejméně jednou za čtyři roky[14]. EDPB a jeho členové jsou připraveni k aktivní účasti v tomto hodnocení.
[1] Prováděcí rozhodnutí Komise ze dne 10.7.2023 podle Nařízení Evropského parlamentu a Rady (EU) 2016/679 o odpovídající úrovni ochrany osobních údajů poskytované Rámcem ochrany soukromí mezi EU a USA, C(2023) 4745 v konečném znění.
[2] Odkazy na “EU” musí být chápány jako odkazy na EHP/EU.
[3] Článek 1 Rozhodnutí o odpovídající ochraně.
[4] Stanovisko 5/2023 k návrhu prováděcího rozhodnutí Evropské komise o odpovídající ochraně osobních údajů poskytované Rámcem ochrany soukromí mezi EU a USA . Přijato dne 28. února 2023, https://edpb.europa.eu/system/files/2023-02/edpb_opinion52023_eu-us_dpf_en.pdf.
[5] Znamená to, že Rozhodnutí o odpovídající ochraně se netýká předávání od společností sídlících mimo EU a podléhajících GDPR podle článku 3(2) GDPR organizacím v US, které jsou na „Seznamu rámce ochrany soukromí“.
[6] https://www.dataprivacyframework.gov/s/participant-search.
[7] Viz Doporučení EDPB 01/2020 o opatřeních, která doplňují nástroje pro předávání s cílem zajistit soulad s úrovní ochrany osobních údajů v EU, paragraf 19: https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf.
[8] Viz tiskové prohlášení Komise (https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721) a často kladené otázky (https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752).
[9] Viz Doporučení EDPB 01/2020 o opatřeních, která doplňují nástroje pro předávání s cílem zajistit soulad s úrovní ochrany osobních údajů v EU, https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf
[10] Viz také https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752.
[11] Viz Doporučení EDPB 01/2020 o opatřeních, která doplňují nástroje pro předávání s cílem zajistit soulad s úrovní ochrany osobních údajů v EU, paragraf 30: https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf
[12] Viz zejména recitály (6) a (7) Rozhodnutí o odpovídající ochraně.
[13] Mechanismy nápravy jsou popsány v Rozhodnutí o odpovídající ochraně, Příloha I, Oddíl II.7 a III. 11 a Příloha I k Příloze I.
[14] Článek 3(4) Rozhodnutí o odpovídající ochraně.
Společnosti Avast Software s.r.o. byla pravomocně uložena pokuta ve výši 351 milionů Kč. Tu uložil Úřad pro ochranu osobních údajů za neoprávněné zpracování osobních údajů uživatelů jejího antivirového programu Avast a jeho rozšíření internetových prohlížečů (Browser Extensions...