epravo.cz

Přihlášení / registrace

Nemáte ještě účet? Zaregistrujte se


Zapomenuté heslo
    Přihlášení / registrace
    • ČLÁNKY
      • občanské právo
      • obchodní právo
      • insolvenční právo
      • finanční právo
      • správní právo
      • pracovní právo
      • trestní právo
      • evropské právo
      • veřejné zakázky
      • ostatní právní obory
    • ZÁKONY
      • sbírka zákonů
      • sbírka mezinárodních smluv
      • právní předpisy EU
      • úřední věstník EU
    • SOUDNÍ ROZHODNUTÍ
      • občanské právo
      • obchodní právo
      • správní právo
      • pracovní právo
      • trestní právo
      • ostatní právní obory
    • AKTUÁLNĚ
      • 10 otázek
      • tiskové zprávy
      • vzdělávací akce
      • komerční sdělení
      • ostatní
      • rekodifikace TŘ
    • Rejstřík
    • E-shop
      • Online kurzy
      • Online konference
      • Záznamy konferencí
      • EPRAVO.CZ Premium
      • Konference
      • Monitoring judikatury
      • Publikace a služby
      • Společenské akce
      • Advokátní rejstřík
      • Partnerský program
    • Předplatné
    10. 5. 2023
    ID: 116409upozornění pro uživatele

    Mezinárodní předávání osobních údajů, aneb ví se už, zda lze předávat osobní údaje z EU do USA?

    Aby mohly osobní údaje opustit EU, vyžaduje Nařízení (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR“) dodržování stanovených podmínek, díky kterým je takové mezinárodní předávání osobních údajů legálně možné. Po několika koncepčních změnách však není v současnosti jasné, zda lze bez rizika předávání osobních údajů z EU do USA realizovat. Z hlediska právní regulace je nyní předávání osobních údajů do USA předmětem četných jednání příslušných orgánů EU.

    Podle GDPR mohou být předávány osobní údaje z EU do zemí mimo EU pouze v souladu se zvláštními mechanismy předávání osobních údajů. Slovy Evropské komise: „Při předávání osobních údajů mimo Evropský hospodářský prostor se předpokládají zvláštní ochranná opatření, aby se zajistilo, že s údaji cestuje i ochrana. “[1] Jeden z možných mechanismů, který umožňuje předávání osobních údajů mezi EU a třetími zeměmi, je rozhodnutí Evropské komise, že třetí země poskytuje údajům EU odpovídající úroveň ochrany, tj. rozhodnutí Evropské komise o odpovídající ochraně ve smyslu článku 45 GDPR.

    K předávání osobních údajů z EU do USA ve smyslu článku 45 GDPR docházelo dříve zejména na základě rozhodnutí Evropské komise 2016/1250 ze dne 12. července 2016, které reflektovalo právní rámec mezi EU a USA označovaný jako tzv. Privacy Shield. Díky tomu mohly americké společnosti relativně pohodlným způsobem přenášet osobní údaje z EU do USA, pokud byly certifikovány v rámci systému Privacy Shield.[2] Zjednodušeně řečeno, během fungování Privacy Shield stačilo, aby příslušná společnost byla uvedena na seznamu zřízeném Ministerstvem obchodu USA, a v důsledku toho bylo předávání osobních údajů vnímáno jako předávání osobních údajů učiněné v souladu s právem EU. Avšak dne 16. července 2020 byl Privacy Shield na základě rozhodnutí Soudního dvora EU (dále jen „SDEU“) ve věci C-311/18 (dále jen „Schrems II“) zrušen. Obecně v tomto rozhodnutí SDEU prohlásil, že Privacy Shield dává možnost vládním orgánům USA získávat v širokém rozsahu data od soukromých amerických společností a že subjekty EU v souvislosti s předáváním osobních údajů nemají vůči orgánům USA k dispozici dostatečně účinnou právní ochranu, čímž USA nezajistily rovnocennou úroveň ochrany údajů a soukromí ve světle Listiny základních práv EU. Aby společnosti mohly i nadále oprávněně předávat osobní údaje do USA, byly nuceny se uchýlit k alternativním mechanismům předávání údajů.

    Reklama
    Nemáte ještě registraci na epravo.cz?

    Registrujte se, získejte řadu výhod a jako dárek Vám zašleme aktuální online kurz na využití umělé inteligence v praxi.

    REGISTROVAT ZDE

    EU-US Data Privacy Framework

    Vzhledem k tomu, že USA a EU jsou velmi důležitými obchodními partnery, mělo a stále má narušení oboustranných datových toků zásadní dopad na digitální obchod, jelikož alternativní mechanismy předávání osobních údajů nejsou již tak snadno proveditelné jako předávání osobních údajů na základě rozhodnutí Evropské komise o odpovídající ochraně údajů.

    Reklama
    ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    5.8.2025 13:003 975 Kč s DPH
    3 285 Kč bez DPH

    Koupit

    Proto Evropská komise zahájila jednání s příslušnými orgány USA o dalších krocích k aktualizaci či vytvoření obdoby Privacy Shield v souladu s požadavky obsaženými v rozhodnutí Schrems II. V říjnu 2022 bylo v USA vydáno nařízení k zavedení nového rámce na ochranu osobních údajů sdílených mezi USA a EU, který má představovat náhradu výše zmiňovaného Privacy Shield a který odstraňuje nedostatky Privacy Shield zjištěné v rozhodnutí Schrems II.[3] Vydání nařízení odstartovalo na poli Evropské komise proces, jehož cílem je posoudit nový režim představený nařízením a v souvislosti s tím připravit příslušné rozhodnutí, které potvrzuje odpovídající úroveň ochrany osobních údajů v USA. Cílem celého procesu je vnést jistotu a přehlednost do transatlantických toků osobních údajů.

    Na konci roku 2022 evropský komisař Didier Reynders zaslal předsedkyni Evropského sboru pro ochranu osobních údajů (dále jen „Sbor“) Andree Jelinek dlouho očekávaný návrh rozhodnutí Evropské komise o odpovídající úrovni ochrany osobních údajů zajištěné společnou dohodou EU-US Data Privacy Framework.[4] Sbor následně dne 28. února 2023 vydal stanovisko, ve kterém vyjádřil potěšení nad skutečností, že mnohé prvky EU-US Data Privacy Framework představují podstatné zlepšení oproti Privacy Shield (například zřízení soudu pro přezkum ochrany údajů, který bude vyšetřovat a řešit stížnosti týkající se přístupu amerických národních bezpečnostních orgánů k osobním údajům, či umožnění přístupu americkým zpravodajským službám k osobním údajům pouze v nezbytných situacích, zejména v případě ohrožení národní bezpečnosti). Avšak i přes tato pozitiva Sbor ve svém stanovisku konstatuje určité obavy a žádá Evropskou komisi o objasnění některých aspektů EU-US Data Privacy Framework.[5]

    Než však Evropská komise bude moci přijmout příslušné rozhodnutí o odpovídající ochraně, které umožní volný a bezpečný tok osobních údajů mezi EU a USA, budou se k otázce EU-US Data Privacy Framework ještě vyjadřovat členské státy EU i Evropský parlament.

    Jak tedy předávat osobní údaje mezi EU a USA, než bude přijato rozhodnutí Evropské komise o odpovídající ochraně?

    Dokud nebude výše zmíněné rozhodnutí o odpovídající ochraně Evropskou komisí přijato, je potřeba za účelem předávání osobních údajů mezi EU a USA využít jiných prostředků. Mezi tyto prostředky se řadí tzv. vhodné záruky podle článku 46 GDPR a tzv. výjimky podle článku 49 GDPR.

    V souvislosti s předáváním osobních údajů na základě výjimek podle článku 49 GDPR přijal Sbor Pokyny k derogacím článku 49 GDPR.[6] V těchto pokynech je především zdůrazněno, že výjimky musí být vykládány restriktivně a střídmě, aby se nestaly pravidlem. Navíc ohledně uplatnění výjimky platí, že výjimku je možné aplikovat jen při dodržení v GDPR stanovených pravidel, mezi která patří i podmínka příležitostných neopakujících se převodů a nemožnost založení některého předání na některém z ustanovení článku 45 nebo 46 GDPR.

    Vhodné záruky ve smyslu článku 46 GDPR zahrnují různé alternativní nástroje předávání osobních údajů, mezi které spadají i tzv. standardní smluvní doložky o ochraně osobních údajů přijatých Evropskou komisí. Jedná se o vzorové modulární texty smluv, které díky své poměrné jednoduchosti představují velmi využívaný prostředek pro zajištění záruk ochrany osobních údajů při přípravě příslušných smluv v oblasti ochrany osobních údajů. V současnosti se uplatňují standardní smluvní doložky ve verzi z roku 2021, které nahradily původní standardní smluvní doložky, jež byly přijaty ještě před účinností GDPR a nereagovaly adekvátně na technologický a společenský pokrok v oblasti ochrany osobních údajů. Nové standardní smluvní doložky lépe odpovídají různorodým obchodním vztahům mezi správci osobních údajů a jejich dodavateli, protože jsou do jisté míry variabilní.

    Ačkoliv standardní smluvní doložky představují relativně jednoduché řešení pro zajištění záruk ochrany osobních údajů, není možné je na konec příslušné smluvní dokumentace pouze zkopírovat, aniž by prošly úpravou ze strany smluvních stran. Vzhledem k tomu, že nelze obecně vymezit veškeré možné předvídatelné situace, pro které smluvní strany standardní smluvní doložky uzavírají, vyžadují tyto, aby do jejich některých částí smluvní strany zasáhly. Je nutné například konkretizovat kategorie předávaných osobních údajů, četnost předávání (např. zda jsou údaje předávány jednorázově či průběžně), dobu, po kterou budou osobní údaje uchovávány, nebo, není-li ji možné určit, kritéria použitá pro stanovení této doby.

    Vzhledem k tomu, že SDEU ve výše zmiňovaném rozhodnutí Schrems II v několika bodech odůvodňujících rozhodnutí zdůraznil, že vzhledem k tomu, že samotné uzavření standardních smluvních doložek nemusí stačit k legálnímu předávání osobních údajů, je nezbytné, aby smluvní strany samy posoudily, zda samotné uzavření standardních smluvních doložek představuje v daném případě dostatečný prostředek k zajištění skutečné ochrany předávaných osobních údajů a zda jsou smluvní strany schopné jimi ujednaná práva a povinnosti fakticky realizovat.[7] Osoba vyvážející data si musí zejména ověřit, zda současná právní úprava země, kam jsou osobní údaje odesílány, umožňuje naplnění jednotlivých ustanovení standardních smluvních doložek. Zároveň je nezbytné sledovat vývoj úpravy v dané zemi, protože by mohla nastat situace, kdy by například osoba dovážející údaje nebyla v důsledku nové právní úpravy schopna standardní smluvní doložky řádně realizovat, a v takovém případě by muselo dojít k (po)zastavení přenosu osobních údajů.

    V souvislosti se vším výše uvedeným by smluvní strany měly také zajistit nejen vhodná technická opatření (např. náležité šifrování dat při přenosu, ukládání údajů i příslušných metadat v rámci datových center v členském státě EU, pseudonymizaci atd.), ale i opatření organizační (periodické školení pracovníků, stanovení interních pravidel týkajících se přístupu k osobním údajům atd.) a všechna tato opatření by měla být řádně ve smluvní dokumentaci upravena.[8] Avšak některé části standardních smluvních doložek by měly zůstat zcela nedotčené, jelikož v opačném případě hrozí, že by standardní smluvní doložky ztratily svůj smysl, spočívající v zajištění záruk ochrany údajů. V tomto je vzor standardních smluvních doložek relativně návodný.

    Závěr

    Ačkoliv se pracuje na tom, aby EU-US Data Privacy Framework mohl začít fungovat co nejdříve, je z aktuální situace zřejmé, že řadu jeho aspektů bude potřeba ještě vyjasnit a detailněji rozpracovat. I přesto, že z právního hlediska daná problematika zatím zcela uspokojivě vyřešena není, dle naší zkušenosti přenosy do USA nadále fungují, a to převážně v režimu standardních smluvních doložek o ochraně osobních údajů přijatých Evropskou komisí. S ohledem na poměrně obecné stanovisko Úřadu pro ochranu osobních údajů[9] neočekáváme, že by se v rámci České republiky rozmohla široká sankční praxe. Ostatně to ani nepovažujeme za vhodné s ohledem na stav právní regulace a částečné míry nejistoty. Na druhou stranu doporučení ohledně smluvních podkladů i technického a organizačního zabezpečení dat jsou známá, a dle našeho názoru je tudíž zásadní, aby byla implementována do praxe každého přenosu osobních údajů.

     


    Mgr. Adam Šimice,
    advokátní koncipient


    Mgr. Igor Pieš,
    partner

    Kastner & Pieš, advokátní kancelář s.r.o.

    International Business Center (IBC)
    Pobřežní 620/3
    18600 Praha 8

    Tel..
     +420 737 965 626
    e-mail: info@kastnerpies.cz

     

    [1] International transfers of personal data [online]. [cit. 2023-03-29]. Dostupné >>> zde.

    [2] WIGAND Christian et al. European Commission launches EU-U.S. Privacy Shield: stronger protection for transatlantic data flows. 2016-07-12 [online]. [cit. 2023-03-29]. Dostupné >>> zde.

    [3] Cooper Dan et al. President Biden Signs Executive Order to Implement EU-U.S. Data Privacy Framework. 2022-10-14 [online]. [cit. 2023-03-29]. Dostupné >>> zde.

    [4] EU - US Data Privacy Framework a návrh Evropské komise. 2022-12-20 [online]. [cit. 2023-03-29]. Dostupn >>> zde.

    [5] Opinion 5/2023 on the European Commission Draft Implementing Decision on the adequate protection of personal data under the EU-US Data Privacy Framework. 2023-02-28 [online]. [cit. 2023-03-29]. Dostupné >>> zde.

    [6] Pokyny 2/2018 k výjimkám podle článku 49 nařízení (EU)

    2016/679. 2018-05-25 [online]. [cit. 2023-03-29]. Dostupné >>> zde.

    [7] Zejména se jedná o body č. 126, 128, 130 až 134.

    [8] Vyjádření ÚOOÚ k využívání cloudových služeb z pohledu ochrany osobních údajů a povinnostem správce a zpracovatele podle obecného nařízení. [online]. [cit. 2023-03-29]. Dostupné >>> zde.

    [9] Vyjádření ÚOOÚ k předávání osobních údajů do třetích zemí v rámci sekce Často kladené otázky [online]. [cit. 2023-03-29].  K dispozici >>> zde.


    © EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


    Mgr. Adam Šimice, Mgr. Igor Pieš (Kastner & Pieš)
    10. 5. 2023

    Poslat článek emailem

    *) povinné položky

    Další články:

    • Právo a umělé inteligence: AI Act, osobní údaje, kyberbezpečnost a další regulace
    • Dítě a dovolená v zahraničí: Co dělat, když druhý rodič nesouhlasí s cestou?
    • Cena zvláštní obliby – kdy má citový vztah poškozeného k věci vliv na výši odškodného?
    • Umělá inteligence v právu: Efektivní pomoc nebo riziko pro odborný úsudek?
    • Úvodní vhled do klasifikace povinných osob dle návrhu nového zákona o kybernetické bezpečnosti
    • Rodinná nadace s dceřinou společností: Alternativa ke svěřenskému fondu pro správu rodinného majetku
    • Řádné prověření podnětu jako podklad pro místní šetření (nález Ústavního soudu)
    • Zákon č. 73/2025 Sb.: Advokacie v nové éře regulace a ochrany důvěrnosti
    • Státní zaměstnanci a úředníci v byznysu: Flexinovela bourá hranice a otevírá dveře do podnikatelských orgánů
    • K jednomu z výkladových úskalí na úseku regulace slev
    • Student je spotřebitel: ÚS redefinoval smluvní vztahy se soukromými VŠ

    Novinky v eshopu

    Aktuální akce

    • 05.08.2025ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    • 12.08.2025Claude (Anthropic) od A do Z v právní praxi (online - živé vysílání) - 12.8.2025
    • 19.08.2025Microsoft Copilot od A do Z v právní praxi (online - živé vysílání) - 19.8.2025
    • 26.08.2025Gemini a NotebookLM od A do Z v právní praxi (online - živé vysílání) - 26.8.2025
    • 02.09.2025Pracovní smlouva prakticky (online - živé vysílání) - 2.9.2025

    Online kurzy

    • Úvod do problematiky squeeze-out a sell-out
    • Pořízení pro případ smrti: jak zajistit, aby Váš majetek zůstal ve správných rukou
    • Zaměstnanec – rodič z pohledu pracovněprávních předpisů
    • Flexi novela zákoníku práce
    • Umělá inteligence a odpovědnost za újmu
    Lektoři kurzů
    JUDr. Tomáš Sokol
    JUDr. Tomáš Sokol
    Kurzy lektora
    JUDr. Martin Maisner, Ph.D., MCIArb
    JUDr. Martin Maisner, Ph.D., MCIArb
    Kurzy lektora
    Mgr. Marek Bednář
    Mgr. Marek Bednář
    Kurzy lektora
    Mgr. Veronika  Pázmányová
    Mgr. Veronika Pázmányová
    Kurzy lektora
    Mgr. Michaela Riedlová
    Mgr. Michaela Riedlová
    Kurzy lektora
    JUDr. Jindřich Vítek, Ph.D.
    JUDr. Jindřich Vítek, Ph.D.
    Kurzy lektora
    Mgr. Michal Nulíček, LL.M.
    Mgr. Michal Nulíček, LL.M.
    Kurzy lektora
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Tomáš Nielsen
    JUDr. Tomáš Nielsen
    Kurzy lektora
    všichni lektoři

    Konference

    • 18.09.2025Diskusní fórum: Daňové právo v praxi - 18.9.2025
    • 02.10.2025Trestní právo daňové - 2.10.2025
    • 03.10.2025Daňové právo 2025 - Daň z přidané hodnoty - 3.10.2025
    Archiv

    Magazíny a služby

    • Monitoring judikatury (24 měsíců)
    • Monitoring judikatury (12 měsíců)
    • Monitoring judikatury (6 měsíců)

    Nejčtenější na epravo.cz

    • 24 hod
    • 7 dní
    • 30 dní
    • Compliance z pohledu obchodní korporace a přínos compliance programu pro obchodní korporaci
    • Prodloužení lhůt pro dání výpovědi a okamžitého zrušení zaměstnavatelem
    • Závislá práce ve světle nového rozhodnutí Nejvyššího správního soudu. Rozsudek Nejvyššího správního soudu ze dne 19. 3. 2025, sp. zn. A Ads 6/2025
    • Sankční povinnost odevzdání řidičského průkazu v implikační souvislosti
    • Právo a umělé inteligence: AI Act, osobní údaje, kyberbezpečnost a další regulace
    • Obchodní vedení společnosti
    • Dítě a dovolená v zahraničí: Co dělat, když druhý rodič nesouhlasí s cestou?
    • 10 otázek pro ... Jana Kohouta
    • Top 12 čili Tucet nejvýznamnějších judikátů Nejvyššího soudu z loňského roku 2024 vzešlých z řešení pracovněprávních sporů
    • Dítě a dovolená v zahraničí: Co dělat, když druhý rodič nesouhlasí s cestou?
    • Obchodní vedení společnosti
    • Cena zvláštní obliby – kdy má citový vztah poškozeného k věci vliv na výši odškodného?
    • Závislá práce ve světle nového rozhodnutí Nejvyššího správního soudu. Rozsudek Nejvyššího správního soudu ze dne 19. 3. 2025, sp. zn. A Ads 6/2025
    • Byznys a paragrafy, díl 12.: Právní Due Diligence
    • Finální podoba flexibilní novely zákoníku práce nabyla účinnosti - co nás čeká?
    • Novinky z české a evropské regulace finančních institucí za měsíc květen 2025
    • Ověření podpisu advokátem a „nestrannost“ advokáta
    • Projevy tzv. flexinovely zákoníku práce při skončení pracovního poměru výpovědí udělenou zaměstnanci ze strany zaměstnavatele
    • Bez rozvrhu pracovní doby to nepůjde
    • Úprava styku rodiče s dítětem nízkého věku v tzv. navykacím režimu a poté
    • Zákon č. 73/2025 Sb.: Advokacie v nové éře regulace a ochrany důvěrnosti
    • Nařízení odstranění černé stavby aneb Když výjimka potvrzuje pravidlo
    • Nový zákon o kybernetické bezpečnosti: co se mění a jak se připravit?
    • V Mělníce by se chtěl soudit každý aneb úspěšnost návrhů na vydání předběžného opatření u okresních soudů

    Soudní rozhodnutí

    Poškozený

    Postupem soudu, v jehož důsledku je podle § 206 odst. 3 trestního řádu nezákonně vyloučeno účastenství konkrétní osoby v trestním řízení, se porušuje právo dané osoby na soudní...

    Opatrovník

    Z hlediska kolize zájmů není přípustné, pokud je opatrovníkem účastníka řízení ustanovena osoba podřízená orgánu veřejné moci (např. jeho zaměstnanec), který vede řízení, a...

    Společná domácnost

    Za přiměřené poměry manžela ve smyslu § 767 odst. 2 o. z. lze považovat takové okolnosti, které prokazují jeho potřebu bydlet v daném bytě či domě, jež musí být natolik...

    Mzda (exkluzivně pro předplatitele)

    Posuzuje-li se otázka rovného odměňování složkou mzdy, pro niž jsou podmínky (předpoklady) stanovené zaměstnavatelem ve vnitřním předpisu, je nutné v prvé řadě rozlišovat, zda...

    Náhrada za ztrátu na výdělku (exkluzivně pro předplatitele)

    Ošetřující lékař podle § 57 zákona o nemocenském pojištění vydává rozhodnutí o vzniku dočasné pracovní neschopnosti a podle § 59 téhož zákona vydává rozhodnutí o ukončení...

    Hledání v rejstřících

    • mapa serveru
    • o nás
    • reklama
    • podmínky provozu
    • kontakty
    • publikační podmínky
    • FAQ
    • obchodní a reklamační podmínky
    • Ochrana osobních údajů - GDPR
    • Nastavení cookies
    100 nej
    © EPRAVO.CZ, a.s. 1999-2025, ISSN 1213-189X
    Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.
    Automatické vytěžování textů a dat z této internetové stránky ve smyslu čl. 4 směrnice 2019/790/EU je bez souhlasu EPRAVO.CZ, a.s. zakázáno.

    Jste zde poprvé?

    Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.

    Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního online kurzu Základy práce s AI. Tento kurz vás vybaví znalostmi a nástroji potřebnými k tomu, aby AI nebyla jen dalším trendem, ale spolehlivým partnerem ve vaší praxi. Připravte se objevit potenciál AI a zjistit, jak může obohatit vaši kariéru.

    Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


    Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů



    Nezapomněli jste něco v košíku?

    Vypadá to, že jste si něco zapomněli v košíku. Dokončete prosím objednávku ještě před odchodem.


    Přejít do košíku


    Vaši nedokončenou objednávku vám v případě zájmu zašleme na e-mail a můžete ji tak dokončit později.