ROZHODNUTÍ EVROPSKÉ KOMISE O OCHRANĚ
POSKYTOVANÉ ŠTÍTEM SOUKROMÍ EU-USA
(TZV. EU-USA PRIVACY SHIELD) JE NEPLATNÉ
Dne 16. července 2020 Soudní dvůr Evropské unie vydal dlouho očekávaný rozsudek ve věci
C-311/18 (dále jen „rozsudek Schrems II“), kterým za neplatné prohlásil prováděcí rozhodnutí
Evropské komise č. 2016/1250 ze dne 12. července 2016 o odpovídající úrovni ochrany
poskytované štítem EU–USA na ochranu soukromí (dále jen „Rozhodnutí o Privacy Shield“).
Předávat osobní údaje do USA na základě Rozhodnutí o Privacy Shield tak již není možné,
ačkoliv byl tento postup dosud běžný a značně rozšířený.
Co je podstatou rozsudku Schrems II?
Podle nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně
fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů
(dále jen „nařízení GDPR“) lze osobní údaje do země mimo EU zpravidla předávat pouze tehdy,
pokud tato třetí země zajistí odpovídající úroveň ochrany takto předaných údajů, přičemž
obdobnou úpravu obsahovala i předchozí směrnice Evropského parlamentu a Rady EU č.
95/46/ES. Evropská komise a Ministerstvo obchodu USA za tímto účelem dohodly tzv. štít EU–
USA na ochranu soukromí a Evropská komise následně přijala předmětné Rozhodnutí o Privacy
Shield, ve kterém konstatovala, že Spojené státy americké v rámci tohoto štítu zajišťují
odpovídající úroveň ochrany osobních údajů předávaných z EU do USA.
Soudní dvůr EU nicméně v rámci rozsudku Schrems II došel k závěru, že omezení ochrany
osobních údajů, která plynou z vnitrostátních právních předpisů USA a která byla předmětem
Rozhodnutí o Privacy Shield, nejsou upravena takovým způsobem, aby skutečně odpovídala
požadavkům nařízení GDPR (zejména zásadě proporcionality). Dle názoru Soudního dvora EU
totiž nelze mít za to, že by se sledovací programy prováděné na základě předpisů USA
omezovaly pouze na to, co je nezbytně nutné. USA tak podle Soudního dvora EU neposkytuje
dostatečnou ochranu osobních údajů předávaných do této země, v důsledku čehož Rozhodnutí
o Privacy Shield odporuje nařízení GDPR.
Co rozsudek Schrems II znamená v praxi?
Vzhledem k tomu, že Rozhodnutí o Privacy Shield již není platné a jiné rozhodnutí Evropské
komise o odpovídající ochraně ve vztahu k USA (prozatím) neexistuje, mohou správci a
zpracovatelé usazení v rámci EU (tzv. vývozci údajů) osobní údaje do USA aktuálně předávat
jen tehdy, pokud poskytnou vhodné záruky. Ty lze poskytnout některým ze způsobů
uvedených v čl. 46 odst. 2 nařízení GDPR, tj. například prostřednictvím standardních doložek o
ochraně osobních údajů přijatých Evropskou komisí. K těm pak Soudní dvůr EU v rozsudku
Schrems II výslovně dovodil, že rozhodnutí Evropské komise ze dne 5. února 2010 o
standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve
třetích zemích je v souladu s nařízením GDPR. Správci a zpracovatelé tedy mohou smluvní
doložky obsažené v tomto rozhodnutí nadále používat.
NEWSFLASH 7/2020 III
Tel.: (+420) 224 490 000
Fax: (+420) 224 490 033
www.bpv-bp.com
info@bpv-bp.com
I přes pečlivé sestavení tohoto materiálu nemůže společnost
bpv Braun Partners s.r.o., její partneři, spolupracovníci či
spolupracující advokáti a daňoví poradci zaručit přesnost
a úplnost informací zde obsažených a nepřebírá jakoukoliv
odpovědnost za konání nebo zdržení se konání na základě
informací obsažených v tomto materiálu.
bpv Braun Partners s.r.o.
Palác Myslbek
Ovocný trh 8
110 00 Praha 1
Tento materiál slouží pouze jako všeobecná informace
o aktuálních tématech, nejedná se o poradenství.
Nezohledňují se v něm žádné zvláštní okolnosti, finanční
situace či zvláštní požadavky adresátů. Jeho adresáti by
si proto měli vždy vyžádat příslušné profesionální služby
k uvedeným informacím.
NEWSFLASH 7/2020 III
Při předávání osobních údajů do zemí mimo EU (tedy i USA) je pak navíc ještě třeba zajistit,
aby subjekty údajů měly k dispozici vymahatelná práva a účinnou právní ochranu. Tím se
rozumí, že na osoby, jejichž osobní údaje mají být předány do země mimo EU, se musí
fakticky vztahovat úroveň ochrany rovnocenná s úrovní ochrany, která je zaručená právem
EU. Zda tato úroveň ochrany bude v zemích mimo EU dosažena, si musí vývozci údajů vždy
předem ověřit.
ROZHODNUTÍ EVROPSKÉ KOMISE O OCHRANĚ
POSKYTOVANÉ ŠTÍTEM SOUKROMÍ EU-USA
(TZV. EU-USA PRIVACY SHIELD) JE NEPLATNÉ