Autor: Mgr. Michal Nulíček, LL.M., Mgr. et Mgr. Ing. Jan Tomíšek, CIPP/E a Mgr. Filip Beneš

Aktuální sdělení z oblasti ochrany osobních údajů, a to souvislosti s dnešním rozhodnutím Soudního dvora EU ve věci Schrems II. V něm Soudní dvůr zrušil Privacy Shield a vyjádřil se také ke standardním smluvním doložkám.

Program Privacy Shield sloužil do dnešního dne řadě amerických společností k tomu, aby na základě certifikace mohly volně přijímat osobní údaje předávané z Evropské unie. Tato možnost dneškem končí, což může zkomplikovat situaci např. pro evropské pobočky společností, které mají v USA centrálu. Soudní dvůr konstatoval, že zejména s ohledem na široké pravomoci amerických zpravodajských služeb není možné ochranu osobních údajů v USA považovat za rovnocennou se standardem EU. Z toho důvodu soud zrušil rozhodnutí Evropské komise, na kterém se program Privacy Shield zakládá, stejně jako v minulosti zrušil rozhodnutí o jeho předchůdci, programu Safe Harbor.

Soudní dvůr se zabýval také platností rozhodnutí Komise o tzv. standardních smluvním doložkám (SCC), které je možné zahrnout do smlouvy a následně na základě takové smlouvy předávat osobní údaje mimo EU. Toto rozhodnutí před Soudním dvorem obstálo, zdůraznil však, že aby předávání osobních údajů mimo EU na základě standardních smluvních doložek bylo zákonné, je třeba zkoumat nejen obsah příslušné smlouvy, ale také podmínky ochrany osobních údajů v cílové zemi či zemích. Pokud právní systém v cílové zemi brání tomu, aby osobní údaje byly odpovídajícím způsobem chráněny, není možné do takové země osobní údaje předávat ani na základě smluvních doložek.

Pro správce a zpracovatele osobních údajů rozhodnutí znamená nutnost revidovat, do kterých konkrétních zemí osobní údaje předávají a na základě jakých mechanismů. To může být zvláště složité v dodavatelských řetězcích, například ve vztahu ke cloudovým službám, kde zákazníci často nemají informace, ve kterých zemích jsou údaje fakticky ukládány či zpracovávány. Lze proto doporučit již nyní začít mapovat konkrétní procesy předávání a zvažovat, zda údaje nejsou předávány do země, která je z hlediska ochrany osobních údajů riziková.

Rozhodnutí je k dispozici v angličtině pod tímto odkazem. Tisková zpráva k němu je pak dostupná i v češtině tady, v angličtině potom zde.

Situaci pro Vás budeme dále sledovat a ohledně závěrů z podrobné analýzy rozhodnutí a dalšího vývoje Vás budeme informovat. Naše aktuality také můžete odebírat na LinkedInu.


Změna výkladu zjevného narušení veřejného pořádku v koncepci absolutní neplatnosti právního jednání Lhůta sama o sobě nemůže být neústavní, zopakoval Ústavní soud