epravo.cz

Přihlášení


Registrace nového uživatele
Zapomenuté heslo
Přihlášení
  • ČLÁNKY
  • ZÁKONY
  • SOUDNÍ ROZHODNUTÍ
  • AKTUÁLNĚ
  • COVID-19
  • E-shop
  • Advokátní rejstřík
  • občanské právo
  • obchodní právo
  • insolvenční právo
  • finanční právo
  • správní právo
  • pracovní právo
  • trestní právo
  • evropské právo
  • veřejné zakázky
  • ostatní právní obory
Konference_Tax Compliance 2021
17. 9. 2020
ID: 111846upozornění pro uživatele

Rozsudek Schrems II dva měsíce poté: Lze předávat osobní údaje do USA?

Soudní dvůr EU ve svém rozsudku ve věci C-311/18 Data Protection Commissioner v. Facebook Ireland Limited a Maximillian Schrems[1] (dále jen „rozsudek Schrems II“) ze dne 16. 7. 2020 zneplatnil bez jakéhokoliv přechodného období tzv. Privacy Shield[2] (také „Štít soukormí“), který představoval významný právní základ předávání osobních údajů do USA.

V dnešní době je téměř nepředstavitelné, aby podnikatel nespoléhal na žádné (zejména IT) služby či nástroje, při jejichž provozu dochází k předávání osobních údajů do USA (např. služby od společností jako Google, Microsoft, Facebook, Amazon, Mailchimp apod.). Většina zpracovatelů měla předávání údajů do USA založené právě na Privacy Shield, což není nadále možné. Je tedy možné je nadále používat ke zpracování osobních údajů?

Odpověď na tuto otázku není jednoduchá. Je totiž třeba posuzovat každý případ individuálně. Dle čl. 46 GDPR mohou být osobní údaje předány do třetí země pouze pokud správce nebo zpracovatel poskytl vhodné záruky a za podmínky, že jsou k dispozici vymahatelná práva subjektu údajů a účinná právní ochrana subjektů údajů. Tento příspěvek si klade za cíl předestřít aktuálně dostupné možnosti řešení vzniklé situace a informovat o souvisejícím dění.

Každý správce osobních údajů by měl nejprve s využitím záznamů o činnostech zpracování vedených dle čl. 30 GDPR zjistit, zda v rámci svých aktivit předává osobní údaje zpracovatelům do USA. V případě, že k takovému předávání údajů dochází, může být nezbytné (vzhledem k tomu, že nebylo dáno přechodného období) jej alespoň dočasně pozastavit, a to z důvodu absence právního podkladu předávání.

Většina velkých poskytovatelů služeb již z vlastní iniciativy vyvíjí snahu o řešení situace. Jejich řešení jsou zpravidla založená na standardních smluvních doložkách dle rozhodnutí 2010/87/EC [3] (neboli také Standard Contractual Clauses, SSD či SCC). Zásadní však z tohoto pohledu je, zda jsou standardní smluvní doložky doplněny o nějaká další opatření. Vzhledem k tomu, že zákony USA umožňují státním autoritám plošný přístup k předávaným osobním údajům[4], nebudou samotné doložky jako dvoustranná ujednání bohužel zřejmě stačit[5]. Vždy totiž musí být zajištěna úroveň ochrany údajů v zásadě rovnocenná s tou v EU.

Správce osobních údajů se tedy musí zabývat tím, jaká legislativa USA na jím předávané údaje dopadá a s jakými důsledky, jak poskytovatel nakládá s případnými požadavky státních autorit na zpřístupnění údajů a jak běžné tyto požadavky jsou. V každém případě je totiž třeba provést zhodnocení rizik pro práva a svobody subjektů, jakož i rozhodnutí, zda je předávání osobních údajů do USA možné, resp. za jakých podmínek.

Nejobvyklejším řešením budou nepochybně právě již zmiňované standardní smluvní doložky uzavírané mezi správcem a zpracovatelem. Otázkou zůstává, o jaká další opatření mají být standardní smluvní doložky případně doplněny a zda tímto způsobem vůbec lze v případě USA docílit dostatečné úrovně ochrany. V daném ohledu rozsudek Schrems II bohužel příliš sdílný nebyl. Nabízí se např. pseudonymizace, šifrování[6], další zvláštní smluvní ujednání apod. EDPB (European Data Protection Board) by měl v tomto ohledu v nejbližší době vydat doporučení[7].

Pokud není řešení založené na standardních smluvních doložkách z jakýchkoliv důvodů možné, pak je k dispozici ještě čl. 49 GDPR (tzv. závaznými podnikovými pravidly, resp. BCR, dle čl. 47 GDPR se článek pro nízký praktický význam nezabývá). Je však třeba podotknout, že právní základy předávání osobních údajů obsažené v tomto ustanovení by se měly využívat pouze výjimečně, jak ostatně vyplývá i z pokynů EDPB[8]. Teoreticky použitelnými se jeví např. předávání na základě výslovného souhlasu subjektu (dle čl. 49 odst. 1 písm. a) GDPR), případně předávání nezbytné pro splnění smlouvy mezi správcem a subjektem údajů (dle čl. 49 odst. 1 písm. b) GDPR), či uzavřené v zájmu subjektu údajů (dle čl. 49 odst. 1 písm. c) GDPR).

Neprávním řešením situace pak může být změna nastavení služeb tak, aby byly osobní údaje uchovávány pouze na serverech v EU/EEA. Tato možnost je ze strany zpracovatelů stále častěji nabízena, ale zpravidla je zpoplatněna. Pokud není změna nastavení možná, pak lze zvážit využití alternativních služeb či nástrojů, které uchování osobních dat výhradně v EU/EEA nabízí.

Z výše uvedeného je zjevné, že situace je komplikovaná. Není však reálné, aby se tok dat mezi USA a EU zastavil. Mnoho podnikatelů proto bude nepochybně volit postup s akceptováním určité míry rizika. Jako nejpoužitelnější (nikoliv ideální) řešení se jeví předávání na základě standardních smluvních doložek doplněných o některá konkrétní opatření, zejména pak proti „odposlouchávání“ internetového provozu (např. silné šifrování a pseudonymizace). Za doplňkové opatření se dá považovat i certifikace Privacy Shield na straně zpracovatele (Privacy Shield již nemůže být základem pro předávání, ale certifikace nadále zavazuje). Takové řešení se dá v současnosti pokládat za „best-effort“ postup. Lze očekávat, že v případě důsledného zhodnocení rizik a realizace obdobného řešení, bude přístup regulátorů alespoň v nejbližší době přinejmenším shovívavý. A to jak s ohledem na počet správců, kterých se problém způsobený zrušením Privacy Shield týká, tak i na právní nejistotu a aktuálně dostupné možnosti řešení.

Závěrem je vhodné zmínit, že není vyloučeno, že regulátoři přistoupí k zákazu předávání osobních údajů do USA[9]. Není to však příliš pravděpodobné. V každém případě lze doporučit i nadále sledovat vývoj. V nejbližší době by mělo přijít výše zmiňované doporučení EDPB (ohledně doplňujících opatření k SCC). Kromě toho Evropská komise v červnu oznámila záměr aktualizovat znění standardních smluvních doložek[10]. A možná se dočkáme i Privacy Shield 2.0, o němž byly zahájeny debaty[11].

Mgr. Štěpán Kubát,
advokát

 

 

Mgr. Štěpán Kubát, advokát

Kořenského 1025/7,
150 00 Praha

Tel.: +420 735 530 300
e-mail: office@justask.cz

 

[1] Celé znění rozsudku k dispozici >>> zde.

[2] Více informací o frameworku Privacy Shield >>> zde.

[3] Rozhodnutí dostupné >>> zde.

[4] Např. FISA 702 či EO 12.333

[5] Viz body 133-135 rozsudku Schrems II

[6] Uvedeno i ve stanovisku ÚOOÚ dostupném >>> zde.

[7] Viz bod 10 dokumentu „FAQ“ vydaného EDPB, který je dostupný zde.

[8] Pokyny EDPB jsou dostupné >>> zde.

[9] Viz bod 113 rozsudku Schrems II

[10] Viz Sdělení Komise o implementaci GDPR dostupné >>> zde.

[11] Viz společná tisková zpráva dostupná >>> zde.


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


Mgr. Štěpán Kubát
17. 9. 2020
pošli emailem
vytiskni článek
  • Tweet

Další články:

  • Nové doporučení Komise o relevantních trzích elektronických komunikací
  • Hlavní povinnosti správce při zjištění porušení zabezpečení osobních údajů dle GDPR
  • Mění se pravidla ICC pro arbitráže
  • Novinky z oblasti české a evropské regulace finančních institucí za měsíc prosinec 12/2020
  • Novinky z oblasti české a evropské regulace finančních institucí za měsíc listopad 11/2020
  • Preventivní restrukturalizace v době koronavirové krize
  • Crowdfunding - nová unijní regulace
  • Konvenční formy peněz morálně zastarávají. EU proto uvažuje o zavedení digitálního eura
  • Digitální finance v EU
  • Právo na dovolenou při neplatném rozvázání pracovního poměru očima Soudního dvora Evropské unie
  • Evropský platební rozkaz a jeho výkon

Související produkty

Online kurzy

  • Blockchain
  • Právní formy sportovních organizací se zaměřením na spolky II. část
  • Právní formy sportovních organizací se zaměřením na spolky I. část
  • Ochrana osobních údajů
  • Bezpečnost osobních údajů
Lektoři kurzů
Mgr. Michal Nulíček, LL.M.
Mgr. Michal Nulíček, LL.M.
Kurzy lektora
Mgr. Ing. Bc. Jan Tomíšek
Mgr. Ing. Bc. Jan Tomíšek
Kurzy lektora
JUDr. Josef Donát, LL.M.
JUDr. Josef Donát, LL.M.
Kurzy lektora
JUDr. Tomáš Dobřichovský, Ph.D.
JUDr. Tomáš Dobřichovský, Ph.D.
Kurzy lektora
Mgr. Michaela Micková
Mgr. Michaela Micková
Kurzy lektora
JUDr. Martin Maisner, Ph.D., MCIArb
JUDr. Martin Maisner, Ph.D., MCIArb
Kurzy lektora
JUDr. Mgr. Filip Rigel, Ph.D.
JUDr. Mgr. Filip Rigel, Ph.D.
Kurzy lektora
JUDr. Daniela Kovářová
JUDr. Daniela Kovářová
Kurzy lektora
Mgr. Libor Zbořil
Mgr. Libor Zbořil
Kurzy lektora
všichni lektoři

Nejčtenější na epravo.cz

  • 24 hod
  • 7 dní
  • 30 dní
  • Možné alternativy úpravy styku nezletilého s rodičem při svěření nezletilého do péče druhého rodiče
  • Nová právní úprava dovolené účinná k 1.1.2021 – dovolená za kalendářní rok (část 1.)
  • Vícepráce aneb kdopak to zaplatí?
  • Návrat soukromých arbitrážních center do českého rozhodčího řízení?
  • Stravenkový paušál, co tato novinka znamená pro zaměstnance a co pro zaměstnavatele?
  • Vypořádání SJM
  • Řízení ve věcech služby v digitalizované spisové službě
  • Náklady řízení
  • Nová právní úprava dovolené účinná k 1.1.2021 – dovolená za kalendářní rok (část 1.)
  • Stravenkový paušál, co tato novinka znamená pro zaměstnance a co pro zaměstnavatele?
  • Ochrana proti nesoučinnosti kupujícího při přepisu vozidla v registru silničních vozidel
  • Náklady řízení
  • Regulace open-source P2P platební sítě Bitcoin
  • Vláda o integraci do EU a účasti ve standardizační dohodě NATO
  • Výpověď z pracovního poměru ze strany zaměstnance (část 1.)
  • Právní jednání podle zákoníku práce
  • Nová právní úprava dovolené účinná k 1.1.2021 – dovolená za kalendářní rok (část 1.)
  • Stravenkový paušál, co tato novinka znamená pro zaměstnance a co pro zaměstnavatele?
  • Regulace open-source P2P platební sítě Bitcoin
  • Náklady řízení
  • Výpověď z pracovního poměru ze strany zaměstnance (část 1.)
  • Převod nevyčerpané dovolené podle novely zákoníku práce
  • Elektronický příjezdový formulář jako podmínka vstupu do ČR z rizikových zemí
  • Vláda o integraci do EU a účasti ve standardizační dohodě NATO

Pracovní pozice

Soudní rozhodnutí

Nájem bytu

O vyúčtování úhrad za plnění poskytovaná s užíváním bytů lze hovořit a vyúčtování může přivodit splatnost nedoplatku plynoucího z tohoto vyúčtování jen tehdy, obsahuje-li...

Majetková podstata

Insolvenční zákon výslovně upravuje, jaké pohledávky a v jakém pořadí jsou v insolvenčním řízení uspokojovány, stejně jako způsoby jejich uplatnění. Výslovně v § 165 odst. 2...

Zpeněžování (exkluzivně pro předplatitele)

Žádné ustanovení insolvenčního zákona nebrání tomu, aby tam, kde je zvoleným způsobem oddlužení plnění splátkového kalendáře po dobu (nejdéle) 5 let, byl před vydáním...

Odměna advokáta

Podle § 71 odst. 2 zákona č. 182/1993 Sb., o Ústavním soudu, zůstávají pravomocná rozhodnutí vydaná na základě právního předpisu, který byl zrušen (s výjimkou rozsudku vydaného v...

Přípustnost dovolání (exkluzivně pro předplatitele)

Je-li předmětem řízení o odpůrčí žalobě insolvenčního správce požadavek na určení neúčinnosti plateb (uskutečněných bankovními převody) a (současně) požadavek na vydání...

Vyhledávání ASPI

ASPI

Hledání v rejstřících

Nejčtenější články

Souběh podání výpovědi a okamžitého zrušení pracovního poměru

Při výkonu závislé práce se zaměstnanec může dopustit různých prohřešků proti pracovnímu právu s různým stupněm intenzity provinění. Zákoník práce rozlišuje mezi soustavným...

PRÁVNICKÁ FIRMA ROKU 2020 - VÝSLEDKOVÁ LISTINA

Společnost EPRAVO.CZ vyhlásila výsledky již 13. ročníku firemního žebříčku Právnická firma roku. Záštitu nad letošním ročníkem převzalo, stejně jako v minulých letech...

Zrušení daně z nabytí nemovitých věcí a změna zákona o daních z příjmů

Dne 26. září 2020 nabyl účinnosti zákon č. 386/2020 Sb., jímž se zrušuje zákonné opatření Senátu č. 340/2013 Sb., o dani z nabytí nemovitých věcí, a jenž mění další...

Fotografování na veřejně přístupných místech povoleno?

Fotografujete na veřejně přístupných místech nebo na veřejném prostranství? A je v tom vlastně rozdíl? V praxi se stále častěji setkáváme s dotazy týkajícími se problematiky...

Zajímavý posun soudní judikatury ve věci přezkoumávání rozhodčích nálezů jako exekučních titulů

Ústavní soud ve svém nálezu pod sp. zn. II.ÚS 3194/18 ze dne 1. 4. 2019 shrnul svoji dosavadní rozhodovací praxi a vyjádřil se k možnosti soudního přezkumu exekučních titulů v...

  • mapa serveru
  • o nás
  • reklama
  • podmínky provozu
  • kontakty
  • publikační podmínky
  • FAQ
  • obchodní a reklamační podmínky
  • Ochrana osobních údajů - GDPR
AIVD APEK 100 nej
© EPRAVO.CZ, a.s. 1999-2021, ISSN 1213-189X      developed by Actimmy
Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.

Jste zde poprvé?

Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.


Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního video tréningu od jednoho z nejznámějších českých advokátů a rozhodců JUDr. Martina Maisnera, Ph.D., MCIArb, a to "Taktika vyjednávání o smlouvách".


Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů