Předávání osobních údajů do třetích zemí je zejména od účinnosti Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES („GDPR“) významným tématem, které se aktuálně dostává do povědomí širší veřejnosti.
To platí nejenom v souvislosti s přijetím prováděcího rozhodnutí Evropské komise ze dne 10. července 2023 o odpovídající ochraně osobních údajů poskytované Rámcem ochrany soukromí mezi EU a USA (Data Privacy Framework, „DPF“).
Obecně
Napříč členskými státy Evropské unie, respektive Evropského hospodářského prostoru, platí zásada volného pohybu osobních údajů, jelikož je nastaven stejný standard ochrany napříč jednotlivými členskými státy.
V zásadě je nutné, aby osobním údajům předávaných do třetích zemí byla zajištěna odpovídající úroveň ochrany jako v případech jejich předávání v rámci EU, čehož může být dosaženo různými způsoby.
Cílem předávání osobních údajů je migrace ochrany osobních údajů společně se samotnými osobními údaji.
Správce či zpracovatel předávající osobní údaje z EU do třetí země (mimo EU, EHP) se může nacházet v různých režimech předávání:
- předání je umožněno na základě rozhodnutí o odpovídající ochraně osobních údajů,
- předání je možné při přijetí vhodných záruk, nejčastěji standardních smluvních doložek (SCC) nebo závazných podnikových pravidel (BCR),
- speciální předávání osobních údajů do amerických certifikovaných organizací podle DPF, nebo
- při neexistenci výše uvedených režimů může být předávání založené na tzv. výjimkách.
Správce či zpracovatel nemůže předávat osobní údaje do třetích zemí bez dalšího a je nutné informovat subjekt údajů o této skutečnosti.
Společně s tím je dále také povinen vysvětlit subjektu údajů, v jakém režimu jsou jeho osobní údaje předávány a pokud není předávání založeno na existenci rozhodnutí o odpovídající ochraně, tak také sdělit přijaté záruky.
Kdy jde o předávání osobních údajů?
Pojem předávání nebyl dlouho dobu nikde zakotven a definován, avšak ve svých pokynech č. 5/2021[1] se o to pokusil Evropský sbor pro ochranu osobních údajů („EDPB“), když stanovil tři kritéria, která musí být kumulativně splněna, aby se jednalo o předávání osobních údajů:
- vývozcem údajů je správce či zpracovatel podléhající GDPR, konkrétně čl. 3;
- vývozce během zpracování přenese nebo zpřístupní osobní údaje jinému správci nebo zpracovateli označovanému jako dovozce údajů; a
- dovozce údajů se nachází ve třetí zemi případně je mezinárodní organizací nehledě na to, zda podléhá čl. 3 GDPR.
Vzhledem k relativně nové oblasti poskytl EDPB přehled možných situací, kdy se o předávání jedná a v jakém příkladě nikoliv.
Mezi situace, kdy se jedná o předávání a uplatní se na ně kapitola V řadí například předávání osobních údajů od dceřiné společnosti (správce) své mateřské společnosti (zpracovateli) ve třetí zemi či předávání zpracovatelem v EU zpět svému správci ve třetí zemi, a to i za předpokladu, že se jedná o osobní údaje subjektů mimo EU.
Vedle těchto situací upozorňuje EDPB na scénáře, na které se GDRP (kapitola V) neuplatí. Pro ilustraci nejde o předávání, pokud správce ve třetí zemi zpracovává osobní údaje přímo od subjektů údajů v EU (např. občan státu v EU objednává z e-shopu ze třetí země) ani pokud zaměstnanec z EU vycestuje na zahraniční služební cestu a sděluje při tom své osobní údaje. Jiný scénář by však v druhém zmíněném případě nastal za předpokladu, že by vycestovala osoba samostatně výdělečně činná a vystupovala by jako správce, v takové situaci by se samozřejmě uplatnilo GDPR.
Rozhodnutí o odpovídající ochraně osobních údajů
Evropská komise vydává rozhodnutí o odpovídající úrovni ochrany osobních údajů, pokud třetí země jako celek nebo určité odvětví, případně část území zajišťuje odpovídající úroveň ochrany osobních údajů a dá se tak považovat za bezpečnou třetí zemi. V rámci posuzování hodnotí Evropská komise zásady právního státu, lidská práva, mezinárodní závazky dané třetí země aj.
Praktickým důsledkem pro členské země i danou třetí zemi disponující tímto rozhodnutím je snazší předávání osobních údajů bez nadbytečných administrativních překážek, jelikož se třetí země nachází v oblasti předávání na úrovni členských států EU/EHP, a tudíž není vyžadováno přijetí žádných záruk ze strany správce či zpracovatele.
Od prvního takového rozhodnutí Evropské komise uběhlo už více jak 23 let a za tuto dobu je považováno několik zemí za bezpečné pro předávání osobních údajů. Všechna svá rozhodnutí zveřejňuje Evropská komise na své webové stránce, seznam najdete také v Úředním věstníku Evropské unie anebo na stránkách Úřadu pro ochranu osobní údajů („ÚOOÚ“).[2]
Výčtem se jedná například o Izrael, Nový Zéland, Japonsko, Spojené království a poslední vydané rozhodnutí se týkalo Korejské republiky. Mimo rozhodnutí o předávání do konkrétních zemí se některá rozhodnutí týkají konkrétních zákonů.
Vzhledem k účinnosti GDPR roku 2018 a změnám, které přineslo, je třeba přezkoumat rozhodnutí učiněná Evropskou komisí před touto účinností. Výsledkem tohoto přezkumu bude souhrnná zpráva zhodnocující jednotlivé „bezpečné“ země a její zveřejnění je naplánováno na říjen 2023.
Předávání založené na přijetí vhodných záruk
Předávání osobních údajů do zemí bez rozhodnutí o odpovídající ochraně osobních údajů je možné pouze za splnění tří kritérií:
- správce či zpracovatel poskytne dostatečné záruky,
- jsou k dispozici vymahatelná práva subjektu údajů, a
- existence účinné právní ochrany subjektu údajů.
Správce nebo zpracovatel může zvolit nástroj k dosažení vhodných záruk podle svého uvážení, přičemž většina nástrojů nepodléhá povolení od dozorového úřadu (ÚOOÚ). Obecně jsou nejčastěji používané standardní smluvní doložky a závazná podniková pravidla, u kterých není povolení zapotřebí, avšak pokud chce správce či zpracovatel použít ad hoc smluvní doložky je třeba požádat ÚOOÚ o povolení.
Evropskou komisí schválené standardní smluvní doložky jsou oproti těm předchozím více flexibilní a přináší čtyři moduly pokrývající běžné předávání:
- správce – správce,
- správce – zpracovatel,
- zpracovatel – zpracovatel, a
- zpracovatel – správce.
Za předpokladu, že mají strany uzavřené standardní smluvní doložky není již potřeba, aby současně uzavírali zpracovatelskou smlouvu.
Vedle standardních smluvních doložek jsou i přes složitost procesu přijímání hojně využívána závazná vnitropodniková pravidla. BCR je dopředu schváleny soubor zásad pro zpracování osobních údajů uvnitř jedné organizace s právní závazností pro její členy i zaměstnance. Oproti standardním smluvním doložkám však nejsou flexibilní s ohledem na jejich náročný proces přijímání, který může trvat až 2 roky.
Předávání osobních údajů do USA – Data Privacy Framework
Novinkou, která rezonuje celým právním prostředím zabývajícím se osobnímu údaji, je nový rámec ochrany soukromí, který potvrdila Evropská komise 10. července 2023 přijetím rozhodnutí o odpovídající úrovni ochrany osobních údajů.
Prozatím je tak alespoň částečně opět postaveno najisto předávání osobních údajů do USA poté, co byl předchozí právní rámec Privacy Shield zrušen Soudním dvorem EU rozhodnutím známém pod názvem Schrems II.
DPF je založen na dekretu prezidenta J. Bidena č. 14086 ze dne 7. října 2022 o posílení záruk týkajících se signálové zpravodajské činnosti USA. Založení podstaty DPF na nelegislativním aktu je EDPB shledáváno jako nežádoucí, jelikož dekret může být dodatečně měněn dodatky bez toho, aniž by byl jejich obsah znám veřejnosti.
Reakce ze strany EU na sebe nenechala dlouho čekat a v únoru 2023 bylo k návrhu rozhodnutí o odpovídající ochraně v souvislosti s rámcem EU-USA pro ochranu osobních údajů přijato EDPB stanovisko č. 5/2023[3]. EDPB ve svém stanovisku zastává kladný postoj k DPF, jelikož došlo ke zlepšení oproti dřívějšímu právnímu rámci, především se DPF snaží řešit nedostatky, na které bylo poukázáno v rozhodnutí Schrems II.
Na druhou stranu se EDPB obává nedostatečného uplatňování klíčového principu proporcionality a zejména, aby byl uplatňován ve smyslu evropského práva. Rozdílný výklad pojmu proporcionalita v americkém a evropském prostředí je stěžejním bodem negativních reakcí na DPF a také jedním z hlavních argumentů v podaných či plánovaných stížnostech k Soudnímu dvoru EU.
Přestože jde o nový rámec ochrany soukromí, příliš se od svých předchůdců neliší a funguje opět na principu certifikace dovozců spravované Ministerstvem obchodu USA a dozorované Federální obchodní komisí, respektive Ministerstvem dopravy USA. Tato podobnost s předchozími rámci ochrany soukromí mezi EU-USA je také jedním z důvodů, proč už nyní je jisté, že nezávislá organizace NOYB v čele se svým zakladatelem Maxem Schremsem podá stížnost, a to již v první polovině roku 2024.
Předávání osobních údajů americkým organizacím, dovozcům, je umožněno pouze za předpokladu jejich certifikace, čímž se veřejně zavážou k dodržování pravidel stanovených v DPF.
Americká organizace zapsaná na veřejně dostupném seznamu certifikovaných organizací[4] je považována za bezpečnou a je možné ji předávat osobní údaje jako kdyby o ní bylo přijato rozhodnutí o odpovídající ochraně osobních údajů, tudíž není potřeba standardních smluvních doložek, provedení TIA aj.
Samotná certifikace je platná 1 rok a následně je třeba žádat o prodloužení. O certifikaci musí být žádáno i v případě, že již daná americká organizace byla certifikována podle dřívějšího rámce ochrany soukromí. Vývozce osobních údajů však musí zkontrolovat nejen přítomnost dovozce na seznamu certifikovaných amerických organizací, ale také její platnost a na jaké osobní údaje se daná certifikace vztahuje – může jít o HR údaje nebo osobní údaje jiné povahy. Vedle certifikace je nutné pro umožnění předávání osobních údajů z EU, aby dovozce zavedl možnost vyřizování podaných stížností subjekty údajů.
České společnosti nyní nejčastěji předávají osobní údaje do USA na základě smluvních doložek, a i pokud bude nově daná americká organizace figurovat na veřejném seznamu, je doporučováno, aby byly ponechány dosavadní smluvní doložky či jiné záruky v platnosti, vzhledem k očekávajícím stížnostem a nejistému vývoji v celé věci. První stížnost na DPF byla již podána Soudnímu dvoru EU francouzským poslancem Philippe Latombem.
Předávání na základě tzv. výjimek
Sběrnou kategorií, pokud není rozhodnutí o odpovídající ochraně ani vývozce nedal přiměřené záruky, je předávání na základě výjimek pro specifické situace založené na čl. 49 GDPR, přičemž není potřeba souhlasu ÚOOÚ.
Blíže se uplatňování výjimek věnují pokyny č. 2/2018[5] z 25. května 2018, které mimo jiné upozorňují na možnost jejich nadužívání, jelikož jde o poslední šanci při předávání osobních údajů do třetích zemí, a je tak nutné k výkladu výjimek přistupovat restriktivně.
Mezi specifické situace patří například předávání na základě výslovného souhlasu, předávání je nezbytné pro splnění smlouvy mezi subjektem údajů a správcem nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů, předávání je nezbytné z důležitých důvodů veřejného zájmu aj.
Shrnutí
Vzhledem ke stálému vývoji v oblasti ochrany osobních údajů, aktuálně zejména na poli předávání do USA, je třeba sledovat aktuální pravidla a věnovat pozornost standardům nastaveným v EU. Pokud potřebujete předávat osobní údaje do jiných zemí, vždy bude nejjednodušší takové předávání uskutečňovat v rámci EU.
V případě, že se nemůže vyhnout předávání do třetích zemí, je vždy nutné sledovat aktuálně vydaná rozhodnutí o odpovídající ochraně osobních údajů a při jeho neexistenci si dostatečně prověřit, zda dovozce osobních údajů zaručuje bezpečné předávání, či platí dokonce některá z výjimek.
Vývoj v oblasti předávání osobních údajů, zejména v souvislosti s předáváním do USA, pro Vás budeme v PEYTON legal sledovat.
[1] EDPB, Pokyny 05/2021 o souhře mezi uplatňováním článku 3 a ustanoveními o mezinárodním předávání údajů podle kapitoly V GDPR. V: edpb.europa.eu. [online]. 14. 2. 2023. [cit.2023-10-06]. Dostupné z: https://edpb.europa.eu/system/files/2023-09/edpb_guidelines_05/2021_interplay_between_the_application_cs.pdf
[2] Úřad pro ochranu osobních údajů, Předávání založené na rozhodnutí o odpovídající úrovni ochrany osobních údajů. V: uoou.cz. [online]. [cit.2023-10-06]. Dostupné z: https://www.uoou.cz/predavani-zalozene-na-rozhodnuti-o-odpovidajici-urovni-ochrany-osobnich-udaju/ds-5065
[3] EDPB, Stanovisko č. 5/2023 k návrhu prováděcího rozhodnutí Evropské komise o odpovídající ochraně osobních údajů podle rámce EU-USA pro ochranu údajů. V: edpb.europa.eu. [online]. 28. 2. 2023. [cit.2023-10-06]. Dostupné z: https://edpb.europa.eu/system/files/2023-09/edpb_opinion52023_eu-us_dpf_cs.pdf
[4] Ministerstvo obchodu Spojených států, Data Privacy Framework List, V: dataprivacyframework.gov. [online]. 13. 7. 2023. [cit.2023-10-07]. Dostupné z: https://www.dataprivacyframework.gov/s/participant-search
[5] EDPB, Pokyny 2/2018 k výjimkám podle čl. 49 nařízení (EU) 2016/679, V: edpb.europa.eu. [online]. 25. 5. 2018. [cit.2023-10-07]. Dostupné z: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_2_2018_derogations_cs.pdf
Tereza Benešová, právní asistentka – benesova@plegal.cz
Mgr. Jakub Málek, managing partner – malek@plegal.cz
Mgr. Radim Šulc, advokátní koncipient – sulc@plegal.cz
24. 10. 2023