Malý velký třesk v předávání osobních údajů do USA

Rozhodnutí o ochraně osobních údajů „Safe Harbor“ už neplatí. Jak má správce osobních údajů postupovat, když v rámci své činnosti potřebuje předat osobní údaje do USA?

Soudní dvůr EU prohlásil za neplatné rozhodnutí Evropské komise 2000/520/ES ze dne 26. 7. 2000 podle směrnice Evropského parlamentu a Rady 9546/ES o odpovídající ochraně poskytované podle zásad „bezpečného přístavu“ a s tím souvisejících „často kladených otázek“ vydaných Ministerstvem obchodu USA. Na základě tohoto rozhodnutí bylo dosud možno předávat osobní údaje společnostem usazeným v USA, které se zavázaly dodržovat zásady tzv. „bezpečného přístavu“ (Safe Harbor). Podstatou bezpečného přístavu bylo, že na základě prohlášení a registrace u příslušného orgánu v USA byla americká společnost považována za schopnou vyhovět evropským standardům na ochranu osobních údajů a bez dalšího jí mohly být předávány osobní údaje občanů ze zemí EU.

Soudní dvůr EU zrušil uvedené rozhodnutí v rámci rozsudku ve věci C-362/14 M. Schrems v. Data Protection Commissioner (DPC). V řízení šlo o to, že si pan Schrems stěžoval u DPC z důvodu, že společnost v Irsku, se kterou uzavřel smlouvu o užívání Facebooku, předává jeho osobní údaje na servery mateřské společnosti usazené v USA, a DPC tuto stížnost odmítl s poukazem na institut bezpečného přístavu. Evropský soud došel k závěru, že vzhledem k právu USA a tamější praxi v přístupu k ochraně osobních údajů (bezpečný přístav se vztahoval na organizace, nikoliv veřejné orgány, které k nim měly přístup prostřednictvím různých sledovacích systémů) účast příjemce osobních údajů v programu Safe Harbor fakticky nemůže zajistit odpovídající úroveň ochrany. Dále soud rozhodl po posouzení všech okolností a omezení ovlivňujících aplikaci rozhodnutí, že je neplatné.

Než orgány EU a USA sjednají novou úpravu na ochranu předávaných osobních údajů, může správce předávat údaje do USA na základě smlouvy, jejíž nedílnou součástí budou standardní smluvní doložky podle níže uvedených rozhodnutí Evropské komise. V takovém případě proběhne předání v souladu se zákonem o ochraně osobních údajů a není tedy nutné žádat Úřad o povolení.

Pro předání osobních údajů zpracovateli ve třetí zemi (tzn. i USA) jsou určeny standardní smluvní doložky, které jsou přílohou rozhodnutí Komise ze dne 5. 2. 2010 pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle směrnice 95/46/ES.

Pro předání osobních údajů novému správci osobních údajů ve třetí zemi jsou určeny buď standardní smluvní doložky, které jsou přílohou Rozhodnutí Komise ze dne 15. 6. 2001 o standardních smluvních doložkách pro předávání osobních údajů do třetích zemí podle směrnice 95/46/ES, nebo standardní smluvní doložky, které jsou přílohou Rozhodnutí Komise ze dne 27. 12. 2004, kterým se mění rozhodnutí 2001/497/ES, pokud jde o zavádění alternativního souboru standardních smluvních doložek pro předávání osobních údajů do třetích zemí.

V souvislosti s využitím standardních smluvních doložek Úřad pro ochranu osobních údajů doporučuje, aby správce (vývozce) údajů jako jedna ze smluvních stran vždy důkladně zvážil rizika související s předáváním a prověřil, zda je dovozce schopen dodržet zásady, k nimž se ve standardních smluvních doložkách zavázal.

V ostatních případech správce musí k předání osobních údajů do USA požádat Úřad o povolení k předání v souladu se zákonem.

                                                                                                                                         Sekce zaměstnavatelská