epravo.cz

Přihlášení


Registrace nového uživatele
Zapomenuté heslo
Přihlášení
    • ČLÁNKY
      • občanské právo
      • obchodní právo
      • insolvenční právo
      • finanční právo
      • správní právo
      • pracovní právo
      • trestní právo
      • evropské právo
      • veřejné zakázky
      • ostatní právní obory
    • ZÁKONY
      • sbírka zákonů
      • sbírka mezinárodních smluv
      • právní předpisy EU
      • úřední věstník EU
    • SOUDNÍ ROZHODNUTÍ
      • občanské právo
      • obchodní právo
      • správní právo
      • pracovní právo
      • trestní právo
      • ostatní právní obory
    • AKTUÁLNĚ
      • 10 otázek
      • tiskové zprávy
      • vzdělávací akce
      • komerční sdělení
      • ostatní
      • rekodifikace TŘ
    • E-shop
      • Online kurzy
      • Online konference
      • Záznamy konferencí
      • Další vzdělávaní advokátů
      • Konference
      • Roční předplatné
      • Monitoring judikatury
      • Publikace a služby
      • Společenské akce
      • Advokátní rejstřík
      • Partnerský program
    • Roční předplatné
    • Více
      10. 5. 2023
      ID: 116409upozornění pro uživatele

      Mezinárodní předávání osobních údajů, aneb ví se už, zda lze předávat osobní údaje z EU do USA?

      Aby mohly osobní údaje opustit EU, vyžaduje Nařízení (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR“) dodržování stanovených podmínek, díky kterým je takové mezinárodní předávání osobních údajů legálně možné. Po několika koncepčních změnách však není v současnosti jasné, zda lze bez rizika předávání osobních údajů z EU do USA realizovat. Z hlediska právní regulace je nyní předávání osobních údajů do USA předmětem četných jednání příslušných orgánů EU.

      Podle GDPR mohou být předávány osobní údaje z EU do zemí mimo EU pouze v souladu se zvláštními mechanismy předávání osobních údajů. Slovy Evropské komise: „Při předávání osobních údajů mimo Evropský hospodářský prostor se předpokládají zvláštní ochranná opatření, aby se zajistilo, že s údaji cestuje i ochrana. “[1] Jeden z možných mechanismů, který umožňuje předávání osobních údajů mezi EU a třetími zeměmi, je rozhodnutí Evropské komise, že třetí země poskytuje údajům EU odpovídající úroveň ochrany, tj. rozhodnutí Evropské komise o odpovídající ochraně ve smyslu článku 45 GDPR.

      K předávání osobních údajů z EU do USA ve smyslu článku 45 GDPR docházelo dříve zejména na základě rozhodnutí Evropské komise 2016/1250 ze dne 12. července 2016, které reflektovalo právní rámec mezi EU a USA označovaný jako tzv. Privacy Shield. Díky tomu mohly americké společnosti relativně pohodlným způsobem přenášet osobní údaje z EU do USA, pokud byly certifikovány v rámci systému Privacy Shield.[2] Zjednodušeně řečeno, během fungování Privacy Shield stačilo, aby příslušná společnost byla uvedena na seznamu zřízeném Ministerstvem obchodu USA, a v důsledku toho bylo předávání osobních údajů vnímáno jako předávání osobních údajů učiněné v souladu s právem EU. Avšak dne 16. července 2020 byl Privacy Shield na základě rozhodnutí Soudního dvora EU (dále jen „SDEU“) ve věci C-311/18 (dále jen „Schrems II“) zrušen. Obecně v tomto rozhodnutí SDEU prohlásil, že Privacy Shield dává možnost vládním orgánům USA získávat v širokém rozsahu data od soukromých amerických společností a že subjekty EU v souvislosti s předáváním osobních údajů nemají vůči orgánům USA k dispozici dostatečně účinnou právní ochranu, čímž USA nezajistily rovnocennou úroveň ochrany údajů a soukromí ve světle Listiny základních práv EU. Aby společnosti mohly i nadále oprávněně předávat osobní údaje do USA, byly nuceny se uchýlit k alternativním mechanismům předávání údajů.

      EU-US Data Privacy Framework

      Vzhledem k tomu, že USA a EU jsou velmi důležitými obchodními partnery, mělo a stále má narušení oboustranných datových toků zásadní dopad na digitální obchod, jelikož alternativní mechanismy předávání osobních údajů nejsou již tak snadno proveditelné jako předávání osobních údajů na základě rozhodnutí Evropské komise o odpovídající ochraně údajů.

      Reklama
      Novinky v soutěžním právu (online - živé vysílání) - 8.12.2023
      Novinky v soutěžním právu (online - živé vysílání) - 8.12.2023
      8.12.2023 09:003 025 Kč s DPH
      2 500 Kč bez DPH

      Koupit

      Proto Evropská komise zahájila jednání s příslušnými orgány USA o dalších krocích k aktualizaci či vytvoření obdoby Privacy Shield v souladu s požadavky obsaženými v rozhodnutí Schrems II. V říjnu 2022 bylo v USA vydáno nařízení k zavedení nového rámce na ochranu osobních údajů sdílených mezi USA a EU, který má představovat náhradu výše zmiňovaného Privacy Shield a který odstraňuje nedostatky Privacy Shield zjištěné v rozhodnutí Schrems II.[3] Vydání nařízení odstartovalo na poli Evropské komise proces, jehož cílem je posoudit nový režim představený nařízením a v souvislosti s tím připravit příslušné rozhodnutí, které potvrzuje odpovídající úroveň ochrany osobních údajů v USA. Cílem celého procesu je vnést jistotu a přehlednost do transatlantických toků osobních údajů.

      Na konci roku 2022 evropský komisař Didier Reynders zaslal předsedkyni Evropského sboru pro ochranu osobních údajů (dále jen „Sbor“) Andree Jelinek dlouho očekávaný návrh rozhodnutí Evropské komise o odpovídající úrovni ochrany osobních údajů zajištěné společnou dohodou EU-US Data Privacy Framework.[4] Sbor následně dne 28. února 2023 vydal stanovisko, ve kterém vyjádřil potěšení nad skutečností, že mnohé prvky EU-US Data Privacy Framework představují podstatné zlepšení oproti Privacy Shield (například zřízení soudu pro přezkum ochrany údajů, který bude vyšetřovat a řešit stížnosti týkající se přístupu amerických národních bezpečnostních orgánů k osobním údajům, či umožnění přístupu americkým zpravodajským službám k osobním údajům pouze v nezbytných situacích, zejména v případě ohrožení národní bezpečnosti). Avšak i přes tato pozitiva Sbor ve svém stanovisku konstatuje určité obavy a žádá Evropskou komisi o objasnění některých aspektů EU-US Data Privacy Framework.[5]

      Než však Evropská komise bude moci přijmout příslušné rozhodnutí o odpovídající ochraně, které umožní volný a bezpečný tok osobních údajů mezi EU a USA, budou se k otázce EU-US Data Privacy Framework ještě vyjadřovat členské státy EU i Evropský parlament.

      Jak tedy předávat osobní údaje mezi EU a USA, než bude přijato rozhodnutí Evropské komise o odpovídající ochraně?

      Dokud nebude výše zmíněné rozhodnutí o odpovídající ochraně Evropskou komisí přijato, je potřeba za účelem předávání osobních údajů mezi EU a USA využít jiných prostředků. Mezi tyto prostředky se řadí tzv. vhodné záruky podle článku 46 GDPR a tzv. výjimky podle článku 49 GDPR.

      V souvislosti s předáváním osobních údajů na základě výjimek podle článku 49 GDPR přijal Sbor Pokyny k derogacím článku 49 GDPR.[6] V těchto pokynech je především zdůrazněno, že výjimky musí být vykládány restriktivně a střídmě, aby se nestaly pravidlem. Navíc ohledně uplatnění výjimky platí, že výjimku je možné aplikovat jen při dodržení v GDPR stanovených pravidel, mezi která patří i podmínka příležitostných neopakujících se převodů a nemožnost založení některého předání na některém z ustanovení článku 45 nebo 46 GDPR.

      Vhodné záruky ve smyslu článku 46 GDPR zahrnují různé alternativní nástroje předávání osobních údajů, mezi které spadají i tzv. standardní smluvní doložky o ochraně osobních údajů přijatých Evropskou komisí. Jedná se o vzorové modulární texty smluv, které díky své poměrné jednoduchosti představují velmi využívaný prostředek pro zajištění záruk ochrany osobních údajů při přípravě příslušných smluv v oblasti ochrany osobních údajů. V současnosti se uplatňují standardní smluvní doložky ve verzi z roku 2021, které nahradily původní standardní smluvní doložky, jež byly přijaty ještě před účinností GDPR a nereagovaly adekvátně na technologický a společenský pokrok v oblasti ochrany osobních údajů. Nové standardní smluvní doložky lépe odpovídají různorodým obchodním vztahům mezi správci osobních údajů a jejich dodavateli, protože jsou do jisté míry variabilní.

      Ačkoliv standardní smluvní doložky představují relativně jednoduché řešení pro zajištění záruk ochrany osobních údajů, není možné je na konec příslušné smluvní dokumentace pouze zkopírovat, aniž by prošly úpravou ze strany smluvních stran. Vzhledem k tomu, že nelze obecně vymezit veškeré možné předvídatelné situace, pro které smluvní strany standardní smluvní doložky uzavírají, vyžadují tyto, aby do jejich některých částí smluvní strany zasáhly. Je nutné například konkretizovat kategorie předávaných osobních údajů, četnost předávání (např. zda jsou údaje předávány jednorázově či průběžně), dobu, po kterou budou osobní údaje uchovávány, nebo, není-li ji možné určit, kritéria použitá pro stanovení této doby.

      Vzhledem k tomu, že SDEU ve výše zmiňovaném rozhodnutí Schrems II v několika bodech odůvodňujících rozhodnutí zdůraznil, že vzhledem k tomu, že samotné uzavření standardních smluvních doložek nemusí stačit k legálnímu předávání osobních údajů, je nezbytné, aby smluvní strany samy posoudily, zda samotné uzavření standardních smluvních doložek představuje v daném případě dostatečný prostředek k zajištění skutečné ochrany předávaných osobních údajů a zda jsou smluvní strany schopné jimi ujednaná práva a povinnosti fakticky realizovat.[7] Osoba vyvážející data si musí zejména ověřit, zda současná právní úprava země, kam jsou osobní údaje odesílány, umožňuje naplnění jednotlivých ustanovení standardních smluvních doložek. Zároveň je nezbytné sledovat vývoj úpravy v dané zemi, protože by mohla nastat situace, kdy by například osoba dovážející údaje nebyla v důsledku nové právní úpravy schopna standardní smluvní doložky řádně realizovat, a v takovém případě by muselo dojít k (po)zastavení přenosu osobních údajů.

      V souvislosti se vším výše uvedeným by smluvní strany měly také zajistit nejen vhodná technická opatření (např. náležité šifrování dat při přenosu, ukládání údajů i příslušných metadat v rámci datových center v členském státě EU, pseudonymizaci atd.), ale i opatření organizační (periodické školení pracovníků, stanovení interních pravidel týkajících se přístupu k osobním údajům atd.) a všechna tato opatření by měla být řádně ve smluvní dokumentaci upravena.[8] Avšak některé části standardních smluvních doložek by měly zůstat zcela nedotčené, jelikož v opačném případě hrozí, že by standardní smluvní doložky ztratily svůj smysl, spočívající v zajištění záruk ochrany údajů. V tomto je vzor standardních smluvních doložek relativně návodný.

      Závěr

      Ačkoliv se pracuje na tom, aby EU-US Data Privacy Framework mohl začít fungovat co nejdříve, je z aktuální situace zřejmé, že řadu jeho aspektů bude potřeba ještě vyjasnit a detailněji rozpracovat. I přesto, že z právního hlediska daná problematika zatím zcela uspokojivě vyřešena není, dle naší zkušenosti přenosy do USA nadále fungují, a to převážně v režimu standardních smluvních doložek o ochraně osobních údajů přijatých Evropskou komisí. S ohledem na poměrně obecné stanovisko Úřadu pro ochranu osobních údajů[9] neočekáváme, že by se v rámci České republiky rozmohla široká sankční praxe. Ostatně to ani nepovažujeme za vhodné s ohledem na stav právní regulace a částečné míry nejistoty. Na druhou stranu doporučení ohledně smluvních podkladů i technického a organizačního zabezpečení dat jsou známá, a dle našeho názoru je tudíž zásadní, aby byla implementována do praxe každého přenosu osobních údajů.

       


      Mgr. Adam Šimice,
      advokátní koncipient


      Mgr. Igor Pieš,
      partner

      Kastner & Pieš, advokátní kancelář s.r.o.

      International Business Center (IBC)
      Pobřežní 620/3
      18600 Praha 8

      Tel..
       +420 737 965 626
      e-mail: info@kastnerpies.cz

       

      [1] International transfers of personal data [online]. [cit. 2023-03-29]. Dostupné >>> zde.

      [2] WIGAND Christian et al. European Commission launches EU-U.S. Privacy Shield: stronger protection for transatlantic data flows. 2016-07-12 [online]. [cit. 2023-03-29]. Dostupné >>> zde.

      [3] Cooper Dan et al. President Biden Signs Executive Order to Implement EU-U.S. Data Privacy Framework. 2022-10-14 [online]. [cit. 2023-03-29]. Dostupné >>> zde.

      [4] EU - US Data Privacy Framework a návrh Evropské komise. 2022-12-20 [online]. [cit. 2023-03-29]. Dostupn >>> zde.

      [5] Opinion 5/2023 on the European Commission Draft Implementing Decision on the adequate protection of personal data under the EU-US Data Privacy Framework. 2023-02-28 [online]. [cit. 2023-03-29]. Dostupné >>> zde.

      [6] Pokyny 2/2018 k výjimkám podle článku 49 nařízení (EU)

      2016/679. 2018-05-25 [online]. [cit. 2023-03-29]. Dostupné >>> zde.

      [7] Zejména se jedná o body č. 126, 128, 130 až 134.

      [8] Vyjádření ÚOOÚ k využívání cloudových služeb z pohledu ochrany osobních údajů a povinnostem správce a zpracovatele podle obecného nařízení. [online]. [cit. 2023-03-29]. Dostupné >>> zde.

      [9] Vyjádření ÚOOÚ k předávání osobních údajů do třetích zemí v rámci sekce Často kladené otázky [online]. [cit. 2023-03-29].  K dispozici >>> zde.


      © EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


      Mgr. Adam Šimice, Mgr. Igor Pieš (Kastner & Pieš)
      10. 5. 2023
      pošli emailem
      vytiskni článek
      • Tweet

      Další články:

      • Střídavá péče a vzdálenost mezi bydlišti rodičů
      • Změna prohlášení vlastníků u SVJ - II - aktuálně dle znění NOZ účinného od 1.7.2020 (dle z.č. 163/2020 Sb.)
      • Obsah povinnosti Objednatele předat Staveniště podle Pod-článku 2.1 Červené knihy FIDIC ve vztahu k povinnosti Objednatele zajistit stavební povolení
      • Legalizace elektronického podpisu a její praktická úskalí
      • Základy compliance programů ve firmách
      • DIP: praktické otázky a odpovědi ohledně nového spoření na penzi
      • Možnost zpeněžení předmětu zadržovacího práva v řízení o soudním prodeji zástavy
      • Příklady praktického využití metody Med-Arb na skutečných případech
      • Amortizace vozů z pohledu škodní události
      • Vyvlastnění nemovitosti s duplicitním zápisem vlastnického práva
      • Plánovací smlouvy dle nového stavebního zákona – druhy a obsah

      Související produkty

      Online kurzy

      • Mezigenerační předání (rodinného) bohatství (ideálně dobře připravené) - I. část
      • Aktuální judikatura vysokých soudů k věcným právům
      • Aktuální judikatura vysokých soudů k náhradě škody
      • Předání rodinného majetku - právo jako pomocník a nikoliv nepřítel
      • Splnění dluhu, započtení pohledávky a odstoupení od smlouvy
      Lektoři kurzů
      Mgr. Stanislav Servus, LL.M.
      Mgr. Stanislav Servus, LL.M.
      Kurzy lektora
      JUDr. et Mgr.  Pavla  Voříšková, Ph.D.
      JUDr. et Mgr. Pavla Voříšková, Ph.D.
      Kurzy lektora
      doc. JUDr. Petr Tégl, Ph.D.
      doc. JUDr. Petr Tégl, Ph.D.
      Kurzy lektora
      Mgr. František Korbel, Ph.D.
      Mgr. František Korbel, Ph.D.
      Kurzy lektora
      doc. JUDr.  Milan Hulmák, Ph.D.
      doc. JUDr. Milan Hulmák, Ph.D.
      Kurzy lektora
      doc. JUDr. Filip Melzer, LL.M., Ph.D.
      doc. JUDr. Filip Melzer, LL.M., Ph.D.
      Kurzy lektora
      JUDr. Daniela Kovářová
      JUDr. Daniela Kovářová
      Kurzy lektora
      všichni lektoři

      Nejčtenější na epravo.cz

      • 24 hod
      • 7 dní
      • 30 dní
      • Střídavá péče a vzdálenost mezi bydlišti rodičů
      • Elektronický podpis při zadávání veřejných zakázek
      • DIP: praktické otázky a odpovědi ohledně nového spoření na penzi
      • Legalizace elektronického podpisu a její praktická úskalí
      • Robert Neruda patří v soutěžním právu mezi nejlepší advokáty na světě
      • Nečinnost správního orgánu
      • Změna prohlášení vlastníků u SVJ - II - aktuálně dle znění NOZ účinného od 1.7.2020 (dle z.č. 163/2020 Sb.)
      • Novinky z české a evropské regulace finančních institucí za měsíc říjen 2023
      • Legalizace elektronického podpisu a její praktická úskalí
      • DIP: praktické otázky a odpovědi ohledně nového spoření na penzi
      • Změna prohlášení vlastníků u SVJ - II - aktuálně dle znění NOZ účinného od 1.7.2020 (dle z.č. 163/2020 Sb.)
      • Střídavá péče a vzdálenost mezi bydlišti rodičů
      • Vyvlastnění nemovitosti s duplicitním zápisem vlastnického práva
      • Amortizace vozů z pohledu škodní události
      • Prokura v současné judikatuře a její aplikační praxe
      • Možnost zpeněžení předmětu zadržovacího práva v řízení o soudním prodeji zástavy
      • Delší dovolená nebo příspěvek na stravování?
      • Smluvní pokuta (po novu) v kontextu dalších aktuálních rozhodnutích Nejvyššího soudu
      • Promlčení pohledávky na zaplacení faktury
      • Českou republiku čeká transpozice další evropské směrnice v oblasti pracovního práva
      • Elektronické pracovněprávní dokumenty po novele zákoníku práce
      • Aktuální trendy ESG reportů
      • Legalizace elektronického podpisu a její praktická úskalí
      • Předžalobní výzva a její výklad v praxi

      Pracovní pozice

      Soudní rozhodnutí

      Nečinnost správního orgánu

      Prostředek, který procesní předpis platný pro řízení u správního orgánu stanoví k ochraně proti nečinnosti správního orgánu (např. § 80 správního řádu), je žalobce povinen...

      Daňové řízení

      Pokud z důvodu, že došlo k uplynutí lhůty pro stanovení daně podle § 148 daňového řádu, správce daně ztratil pravomoc daňovému subjektu daň stanovit, postup k odstranění...

      Stavební zákon

      Dohoda podílových spoluvlastníků o změně stavby, která je předmětem řízení o dodatečném povolení stavby, je platným dokladem o právu ve smyslu § 110 odst. 2 písm. a) zákona č....

      Mezinárodní ochrana

      Právnické osoby podle § 35 odst. 5 s. ř. s. mohou zastupovat cizince též v řízeních o nečinnostní (§ 79 s. ř. s.) či zásahové žalobě (§ 82 s. ř. s.), týká-li se žaloba oblastí...

      Daň z přidané hodnoty (exkluzivně pro předplatitele)

      Úrok z vratitelného přeplatku (§ 155 odst. 5 daňového řádu) vzniká jako pohledávka daňového subjektu vůči státu a předepisuje se na osobní daňový účet v zákonem stanovené...

      Hledání v rejstřících

      • mapa serveru
      • o nás
      • reklama
      • podmínky provozu
      • kontakty
      • publikační podmínky
      • FAQ
      • obchodní a reklamační podmínky
      • Ochrana osobních údajů - GDPR
      • Nastavení cookies
      100 nej
      © EPRAVO.CZ, a.s. 1999-2023, ISSN 1213-189X      developed by Actimmy
      Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.
      Automatické vytěžování textů a dat z této internetové stránky ve smyslu čl. 4 směrnice 2019/790/EU je bez souhlasu EPRAVO.CZ, a.s. zakázáno.

      Jste zde poprvé?

      Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.


      Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního video tréningu od jednoho z nejznámějších českých advokátů a rozhodců JUDr. Martina Maisnera, Ph.D., MCIArb, a to "Taktika vyjednávání o smlouvách".


      Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


      Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů



      Nezapomněli jste něco v košíku?

      Vypadá to, že jste si něco zapomněli v košíku. Dokončete prosím objednávku ještě před odchodem.


      Přejít do košíku


      Vaši nedokončenou objednávku vám v případě zájmu zašleme na e-mail a můžete ji tak dokončit později.