epravo.cz

Přihlášení / registrace

Nemáte ještě účet? Zaregistrujte se


Zapomenuté heslo
    Přihlášení / registrace
    • ČLÁNKY
      • občanské právo
      • obchodní právo
      • insolvenční právo
      • finanční právo
      • správní právo
      • pracovní právo
      • trestní právo
      • evropské právo
      • veřejné zakázky
      • ostatní právní obory
    • ZÁKONY
      • sbírka zákonů
      • sbírka mezinárodních smluv
      • právní předpisy EU
      • úřední věstník EU
    • SOUDNÍ ROZHODNUTÍ
      • občanské právo
      • obchodní právo
      • správní právo
      • pracovní právo
      • trestní právo
      • ostatní právní obory
    • AKTUÁLNĚ
      • 10 otázek
      • tiskové zprávy
      • vzdělávací akce
      • komerční sdělení
      • ostatní
      • rekodifikace TŘ
    • Rejstřík
    • E-shop
      • Online kurzy
      • Online konference
      • Záznamy konferencí
      • EPRAVO.CZ Premium
      • Konference
      • Monitoring judikatury
      • Publikace a služby
      • Společenské akce
      • Advokátní rejstřík
      • Partnerský program
    • Předplatné
    17. 9. 2020
    ID: 111846upozornění pro uživatele

    Rozsudek Schrems II dva měsíce poté: Lze předávat osobní údaje do USA?

    Soudní dvůr EU ve svém rozsudku ve věci C-311/18 Data Protection Commissioner v. Facebook Ireland Limited a Maximillian Schrems[1] (dále jen „rozsudek Schrems II“) ze dne 16. 7. 2020 zneplatnil bez jakéhokoliv přechodného období tzv. Privacy Shield[2] (také „Štít soukormí“), který představoval významný právní základ předávání osobních údajů do USA.

    V dnešní době je téměř nepředstavitelné, aby podnikatel nespoléhal na žádné (zejména IT) služby či nástroje, při jejichž provozu dochází k předávání osobních údajů do USA (např. služby od společností jako Google, Microsoft, Facebook, Amazon, Mailchimp apod.). Většina zpracovatelů měla předávání údajů do USA založené právě na Privacy Shield, což není nadále možné. Je tedy možné je nadále používat ke zpracování osobních údajů?

    Odpověď na tuto otázku není jednoduchá. Je totiž třeba posuzovat každý případ individuálně. Dle čl. 46 GDPR mohou být osobní údaje předány do třetí země pouze pokud správce nebo zpracovatel poskytl vhodné záruky a za podmínky, že jsou k dispozici vymahatelná práva subjektu údajů a účinná právní ochrana subjektů údajů. Tento příspěvek si klade za cíl předestřít aktuálně dostupné možnosti řešení vzniklé situace a informovat o souvisejícím dění.

    Reklama
    Nemáte ještě registraci na epravo.cz?

    Registrujte se, získejte řadu výhod a jako dárek Vám zašleme aktuální online kurz na využití umělé inteligence v praxi.

    REGISTROVAT ZDE

    Každý správce osobních údajů by měl nejprve s využitím záznamů o činnostech zpracování vedených dle čl. 30 GDPR zjistit, zda v rámci svých aktivit předává osobní údaje zpracovatelům do USA. V případě, že k takovému předávání údajů dochází, může být nezbytné (vzhledem k tomu, že nebylo dáno přechodného období) jej alespoň dočasně pozastavit, a to z důvodu absence právního podkladu předávání.

    Většina velkých poskytovatelů služeb již z vlastní iniciativy vyvíjí snahu o řešení situace. Jejich řešení jsou zpravidla založená na standardních smluvních doložkách dle rozhodnutí 2010/87/EC [3] (neboli také Standard Contractual Clauses, SSD či SCC). Zásadní však z tohoto pohledu je, zda jsou standardní smluvní doložky doplněny o nějaká další opatření. Vzhledem k tomu, že zákony USA umožňují státním autoritám plošný přístup k předávaným osobním údajům[4], nebudou samotné doložky jako dvoustranná ujednání bohužel zřejmě stačit[5]. Vždy totiž musí být zajištěna úroveň ochrany údajů v zásadě rovnocenná s tou v EU.

    Reklama
    ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    5.8.2025 13:003 975 Kč s DPH
    3 285 Kč bez DPH

    Koupit

    Správce osobních údajů se tedy musí zabývat tím, jaká legislativa USA na jím předávané údaje dopadá a s jakými důsledky, jak poskytovatel nakládá s případnými požadavky státních autorit na zpřístupnění údajů a jak běžné tyto požadavky jsou. V každém případě je totiž třeba provést zhodnocení rizik pro práva a svobody subjektů, jakož i rozhodnutí, zda je předávání osobních údajů do USA možné, resp. za jakých podmínek.

    Nejobvyklejším řešením budou nepochybně právě již zmiňované standardní smluvní doložky uzavírané mezi správcem a zpracovatelem. Otázkou zůstává, o jaká další opatření mají být standardní smluvní doložky případně doplněny a zda tímto způsobem vůbec lze v případě USA docílit dostatečné úrovně ochrany. V daném ohledu rozsudek Schrems II bohužel příliš sdílný nebyl. Nabízí se např. pseudonymizace, šifrování[6], další zvláštní smluvní ujednání apod. EDPB (European Data Protection Board) by měl v tomto ohledu v nejbližší době vydat doporučení[7].

    Pokud není řešení založené na standardních smluvních doložkách z jakýchkoliv důvodů možné, pak je k dispozici ještě čl. 49 GDPR (tzv. závaznými podnikovými pravidly, resp. BCR, dle čl. 47 GDPR se článek pro nízký praktický význam nezabývá). Je však třeba podotknout, že právní základy předávání osobních údajů obsažené v tomto ustanovení by se měly využívat pouze výjimečně, jak ostatně vyplývá i z pokynů EDPB[8]. Teoreticky použitelnými se jeví např. předávání na základě výslovného souhlasu subjektu (dle čl. 49 odst. 1 písm. a) GDPR), případně předávání nezbytné pro splnění smlouvy mezi správcem a subjektem údajů (dle čl. 49 odst. 1 písm. b) GDPR), či uzavřené v zájmu subjektu údajů (dle čl. 49 odst. 1 písm. c) GDPR).

    Neprávním řešením situace pak může být změna nastavení služeb tak, aby byly osobní údaje uchovávány pouze na serverech v EU/EEA. Tato možnost je ze strany zpracovatelů stále častěji nabízena, ale zpravidla je zpoplatněna. Pokud není změna nastavení možná, pak lze zvážit využití alternativních služeb či nástrojů, které uchování osobních dat výhradně v EU/EEA nabízí.

    Z výše uvedeného je zjevné, že situace je komplikovaná. Není však reálné, aby se tok dat mezi USA a EU zastavil. Mnoho podnikatelů proto bude nepochybně volit postup s akceptováním určité míry rizika. Jako nejpoužitelnější (nikoliv ideální) řešení se jeví předávání na základě standardních smluvních doložek doplněných o některá konkrétní opatření, zejména pak proti „odposlouchávání“ internetového provozu (např. silné šifrování a pseudonymizace). Za doplňkové opatření se dá považovat i certifikace Privacy Shield na straně zpracovatele (Privacy Shield již nemůže být základem pro předávání, ale certifikace nadále zavazuje). Takové řešení se dá v současnosti pokládat za „best-effort“ postup. Lze očekávat, že v případě důsledného zhodnocení rizik a realizace obdobného řešení, bude přístup regulátorů alespoň v nejbližší době přinejmenším shovívavý. A to jak s ohledem na počet správců, kterých se problém způsobený zrušením Privacy Shield týká, tak i na právní nejistotu a aktuálně dostupné možnosti řešení.

    Závěrem je vhodné zmínit, že není vyloučeno, že regulátoři přistoupí k zákazu předávání osobních údajů do USA[9]. Není to však příliš pravděpodobné. V každém případě lze doporučit i nadále sledovat vývoj. V nejbližší době by mělo přijít výše zmiňované doporučení EDPB (ohledně doplňujících opatření k SCC). Kromě toho Evropská komise v červnu oznámila záměr aktualizovat znění standardních smluvních doložek[10]. A možná se dočkáme i Privacy Shield 2.0, o němž byly zahájeny debaty[11].

    Mgr. Štěpán Kubát,
    advokát

     

     

    Mgr. Štěpán Kubát, advokát

    Kořenského 1025/7,
    150 00 Praha

    Tel.: +420 735 530 300
    e-mail: office@justask.cz

     

    [1] Celé znění rozsudku k dispozici >>> zde.

    [2] Více informací o frameworku Privacy Shield >>> zde.

    [3] Rozhodnutí dostupné >>> zde.

    [4] Např. FISA 702 či EO 12.333

    [5] Viz body 133-135 rozsudku Schrems II

    [6] Uvedeno i ve stanovisku ÚOOÚ dostupném >>> zde.

    [7] Viz bod 10 dokumentu „FAQ“ vydaného EDPB, který je dostupný zde.

    [8] Pokyny EDPB jsou dostupné >>> zde.

    [9] Viz bod 113 rozsudku Schrems II

    [10] Viz Sdělení Komise o implementaci GDPR dostupné >>> zde.

    [11] Viz společná tisková zpráva dostupná >>> zde.


    © EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


    Mgr. Štěpán Kubát
    17. 9. 2020

    Poslat článek emailem

    *) povinné položky

    Další články:

    • Novinky z české a evropské regulace finančních institucí za měsíc květen 2025
    • Úvodní vhled do klasifikace povinných osob dle návrhu nového zákona o kybernetické bezpečnosti
    • Nový zákon o kybernetické bezpečnosti: co se mění a jak se připravit?
    • Ohrožení pobídek v modelu bez investičního poradenství?
    • Výhrada veřejného pořádku a základní práva dle LZP EU – Otevírá SDEU dveře meritornímu přezkumu?
    • Novinky z české a evropské regulace finančních institucí za měsíc duben 2025
    • Novinky z české a evropské regulace finančních institucí za měsíc březen 2025
    • Návrh Evropské komise na zmírnění pravidel ESG reportingu
    • Vykonatelnost nálezů finančního arbitra v zahraničí, aneb stahující se mračna nad investičními šmejdy
    • Novinky z české a evropské regulace finančních institucí za měsíc únor 2025
    • Ochrana advokátní mlčenlivosti a rozhodnutí ESLP ve věci Nezerić proti Bosně a Hercegovině

    Novinky v eshopu

    Aktuální akce

    • 05.08.2025ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    • 12.08.2025Claude (Anthropic) od A do Z v právní praxi (online - živé vysílání) - 12.8.2025
    • 19.08.2025Microsoft Copilot od A do Z v právní praxi (online - živé vysílání) - 19.8.2025
    • 26.08.2025Gemini a NotebookLM od A do Z v právní praxi (online - živé vysílání) - 26.8.2025
    • 02.09.2025Pracovní smlouva prakticky (online - živé vysílání) - 2.9.2025

    Online kurzy

    • Úvod do problematiky squeeze-out a sell-out
    • Pořízení pro případ smrti: jak zajistit, aby Váš majetek zůstal ve správných rukou
    • Zaměstnanec – rodič z pohledu pracovněprávních předpisů
    • Flexi novela zákoníku práce
    • Umělá inteligence a odpovědnost za újmu
    Lektoři kurzů
    JUDr. Tomáš Sokol
    JUDr. Tomáš Sokol
    Kurzy lektora
    JUDr. Martin Maisner, Ph.D., MCIArb
    JUDr. Martin Maisner, Ph.D., MCIArb
    Kurzy lektora
    Mgr. Marek Bednář
    Mgr. Marek Bednář
    Kurzy lektora
    Mgr. Veronika  Pázmányová
    Mgr. Veronika Pázmányová
    Kurzy lektora
    Mgr. Michaela Riedlová
    Mgr. Michaela Riedlová
    Kurzy lektora
    JUDr. Jindřich Vítek, Ph.D.
    JUDr. Jindřich Vítek, Ph.D.
    Kurzy lektora
    Mgr. Michal Nulíček, LL.M.
    Mgr. Michal Nulíček, LL.M.
    Kurzy lektora
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Tomáš Nielsen
    JUDr. Tomáš Nielsen
    Kurzy lektora
    všichni lektoři

    Konference

    • 18.09.2025Diskusní fórum: Daňové právo v praxi - 18.9.2025
    • 02.10.2025Trestní právo daňové - 2.10.2025
    • 03.10.2025Daňové právo 2025 - Daň z přidané hodnoty - 3.10.2025
    Archiv

    Magazíny a služby

    • Monitoring judikatury (24 měsíců)
    • Monitoring judikatury (12 měsíců)
    • Monitoring judikatury (6 měsíců)

    Nejčtenější na epravo.cz

    • 24 hod
    • 7 dní
    • 30 dní
    • Znamená „převedení na jinou práci“ stále to, co říká zákon?
    • K odpovědnosti státu za majetkovou a nemajetkovou újmu způsobenou při výkonu veřejné moci. Vyslovování konstatací porušení práva. Připomínka státního svátku 6. července
    • Právo na víkend - týden v české justici očima šéfredaktora
    • Veřejně přístupná účelová komunikace a její znaky
    • Blanketní stížnost
    • Smlouva o smlouvě budoucí kupní k nemovitým věcem: Písemná forma není povinná, říká Nejvyšší soud
    • AI revoluce v právní praxi: 10 specializovaných kurzů, které změní váš způsob práce
    • Promlčení zápůjčky na dobu neurčitou a změna judikatury Nejvyššího soudu
    • Smlouva o smlouvě budoucí kupní k nemovitým věcem: Písemná forma není povinná, říká Nejvyšší soud
    • Veřejně přístupná účelová komunikace a její znaky
    • Promlčení zápůjčky na dobu neurčitou a změna judikatury Nejvyššího soudu
    • 10 otázek pro … Ronalda Němce
    • Od konkurenční doložky k právní nejistotě: kontroverzní výklad Nejvyššího soudu v rozsudku 27 Cdo 1236/2024
    • Musí žák platit školné za výuku nevyžádaného předmětu?
    • Dítě a dovolená v zahraničí: Co dělat, když druhý rodič nesouhlasí s cestou?
    • Znamená „převedení na jinou práci“ stále to, co říká zákon?
    • Nařízení odstranění černé stavby aneb Když výjimka potvrzuje pravidlo
    • Bez rozvrhu pracovní doby to nepůjde
    • Zákon č. 73/2025 Sb.: Advokacie v nové éře regulace a ochrany důvěrnosti
    • Top 12 čili Tucet nejvýznamnějších judikátů Nejvyššího soudu z loňského roku 2024 vzešlých z řešení pracovněprávních sporů
    • Závislá práce ve světle nového rozhodnutí Nejvyššího správního soudu. Rozsudek Nejvyššího správního soudu ze dne 19. 3. 2025, sp. zn. A Ads 6/2025
    • Dítě a dovolená v zahraničí: Co dělat, když druhý rodič nesouhlasí s cestou?
    • Promlčení zápůjčky na dobu neurčitou a změna judikatury Nejvyššího soudu
    • Umělá inteligence v právu: Efektivní pomoc nebo riziko pro odborný úsudek?

    Soudní rozhodnutí

    Blanketní stížnost

    Krajský soud tím, že rozhodl před uplynutím konce stěžovatelem avizované lhůty pro doplnění odůvodnění blanketní stížnosti, a navíc v situaci, kdy odůvodnění stížnosti již...

    Blanketní stížnost (exkluzivně pro předplatitele)

    Nepřihlédne-li stížnostní soud k odůvodnění stížnosti původně podané jako blanketní, ač měl odůvodnění v době rozhodování o stížnosti k dispozici, může porušit právo...

    Dovolání (exkluzivně pro předplatitele)

    Podle judikatury Nejvyššího soudu, spočívá-li rozsudek odvolacího soudu na posouzení vícero právních otázek, z nichž každé samo o sobě vede k zamítnutí žaloby, není dovolání...

    Exekutor (exkluzivně pro předplatitele)

    Funkce soudního exekutora je veřejnou funkcí. Proces obsazování exekutorského úřadu se tedy týká práva na rovný přístup k veřejným funkcím podle čl. 21 odst. 4 Listiny základních...

    Extrémní nesoulad mezi provedenými důkazy a skutkovými a právními závěry (exkluzivně pro předplatitele)

    Ústavní soud ve své judikatuře ustáleně opakuje, že obecné soudy poruší právo účastníka na soudní ochranu, pokud učiní skutkové a právní závěry, které jsou v extrémním...

    Hledání v rejstřících

    • mapa serveru
    • o nás
    • reklama
    • podmínky provozu
    • kontakty
    • publikační podmínky
    • FAQ
    • obchodní a reklamační podmínky
    • Ochrana osobních údajů - GDPR
    • Nastavení cookies
    100 nej
    © EPRAVO.CZ, a.s. 1999-2025, ISSN 1213-189X
    Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.
    Automatické vytěžování textů a dat z této internetové stránky ve smyslu čl. 4 směrnice 2019/790/EU je bez souhlasu EPRAVO.CZ, a.s. zakázáno.

    Jste zde poprvé?

    Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.

    Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního online kurzu Základy práce s AI. Tento kurz vás vybaví znalostmi a nástroji potřebnými k tomu, aby AI nebyla jen dalším trendem, ale spolehlivým partnerem ve vaší praxi. Připravte se objevit potenciál AI a zjistit, jak může obohatit vaši kariéru.

    Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


    Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů



    Nezapomněli jste něco v košíku?

    Vypadá to, že jste si něco zapomněli v košíku. Dokončete prosím objednávku ještě před odchodem.


    Přejít do košíku


    Vaši nedokončenou objednávku vám v případě zájmu zašleme na e-mail a můžete ji tak dokončit později.