Jak to celé začalo?
Obecné nařízení o ochraně osobních údajů (GDPR) v článku 44 uvádí, že k jakémukoli předání osobních údajů mimo Evropskou unii může dojít pouze tehdy, splní-li správce a zpracovatel podmínky stanovené tímto právním předpisem.
Těmito podmínkami jsou buď existence rozhodnutí Evropské komise, že třetí země zajišťuje odpovídající úroveň ochrany, nebo je předávání založené na jiných vhodných zárukách.
Řada správců a zpracovatelů usazených v USA pro předání údajů zvolila jako právní základ pro tok dat EU-USA tzv. Štít soukromí (Privacy Shield), tedy rozhodnutí Komise ze dne 12. července 2016 po odpovídající úrovni ochrany. Tento nástroj byl však dne 16. července 2020 zrušen Soudním dvorem Evropské unie (tzv. rozsudek Schrems II), a to s okamžitou platností. Pro praxi to byl dost velký šok.
Evropský soud také částečně zpochybnil i užívání dalšího nástroje pro bezpečné předávání údajů mimo EU, tzv. standardních smluvních doložek. Soud totiž uvedl, že smluvní doložky samy o sobě nemusí být dostatečným nástrojem pro ochranu osobních údajů mimo Evropskou unii.
Nové postupy pro předávání údajů do USA
Situace se o něco zlepšila, když Evropská komise 4. června 2021 vydala aktualizované standardní smluvní doložky s cílem zohlednit rozsudek Soudního dvora EU ve věci Schrems II. V něm Soudní dvůr mj. uvedl, že článek 46 Obecného nařízení (GDPR) musí být vykládán v tom smyslu, že vhodné záruky a práva poskytovaná na základě standardních smluvních doložek takovou úroveň ochrany práv a svobod subjektů údajů, která bude shodná s úrovní ochrany v EU.
Další jednání mezi Komisí a americkou vládou rovněž vedla k přijetí nového nástroje pro předávání dat do USA. Dne 10. července 2023 bylo oficiálně přijato Prováděcí rozhodnutí o odpovídající ochraně osobních údajů poskytované Rámcem ochrany soukromí mezi EU a USA, Data Privacy Framework (DPF).
V rámci DPF je předávání osobních údajů založeno na tzv. odpovídající ochraně. Jinak řečeno, společnosti, které se v USA registrují a splní podmínky DPF, jsou považovány za bezpečné pro předávání osobních údajů z Evropské unie. Na základě nového rozhodnutí o odpovídající ochraně mohou osobní údaje bezpečně proudit z EU do společností z USA, které se rámce účastní, aniž by bylo nutné zavádět další záruky ochrany údajů.
DPF zavádí nové závazné záruky, které mají řešit všechny obavy Evropského soudního dvora, včetně omezení přístupu zpravodajských služeb USA k údajům z EU a zřízení Přezkumného soudu pro ochranu údajů, k němuž budou mít přístup i fyzické osoby z EU.
Předávání údajů organizacím na „Seznamu Rámce ochrany soukromí“
Od přijetí rozhodnutí, tzn. od 10. července 2023, mohou být osobních údaje předávány z EU organizacím v USA, které jsou zapsány v „Seznamu rámce ochrany soukromí“, bez nutnosti použití nástrojů pro předávání podle článku 46 GDPR.
Seznam zapsaných organizací je možné nalézt na https://www.dataprivacyframework.gov/s/participant-search.
Předávání na základě Rozhodnutí o odpovídající ochraně nemusí být doprovázeno žádnými doplňujícími opatřeními.
Předávání údajů organizacím, které nejsou zapsané v „Seznamu Rámce ochrany soukromí“
Předávání společnostem v USA, které nejsou na „Seznamu rámce ochrany soukromí“, bude i nadále vyžadovat vhodné záruky ochrany osobních údajů, vymahatelná práva a účinnou právní ochranu subjektů údajů. Typickými nástroji jsou právě standardní smluvní doložky nebo závazná podniková pravidla.
Jednu výhodu však DPF přináší i pro předávání dat na seznamu nezapsaným organizacím: Evropský sbor pro ochranu osobních údajů zdůrazňuje, že veškeré záruky zavedené vládou USA v oblasti národní bezpečnosti (včetně mechanismu nápravy) se vztahují na všechny údaje předávané do USA, bez ohledu na použitý nástroj pro předávání. Proto by vývozci dat při vyhodnocení efektivity vybraného nástroje (např. standardních smluvních doložek) měli vzít v úvahu posouzení provedené Komisí v Rozhodnutí o odpovídající ochraně.
Znamená zavedení DPF, že předávání údajů do USA je vyřešeno?
V žádném případě!
Data Privacy Framework řeší pouze předávání osobních údajů z EU/EHS do USA, nikoli ochranu osobních údajů obecně. Je proto třeba i nadále dodržovat všechny povinnosti pro zpracování osobních údajů, jak vyplývají z GDPR.
Stejně jako pro každé jiné zpracování je třeba nalézt právní důvod, jak je chápe článek 6 GDPR. Pokud je tímto důvodem oprávněný zájem, je třeba udělat tzv. balanční test.
V případě, že relevantním důvodem bude plnění smlouvy se subjekty údajů, je třeba, aby smlouva obsahovala ustanovení, která budou konkrétně upravovat ochranu osobních údajů, účel, pro který mohou být předány apod.
Pokud příjemce dat v USA zpracovává osobní údaje pro správce (např. poskytovatel cloudu, online nástrojů pro marketing, CRM, kyberbezpečnostních řešení atd.), musí být uzavřena zpracovatelská smlouva podle čl. 28 GDPR. Tato smlouva musí obsahovat všechny požadované náležitosti, které musí být konkrétně rozepsány. Nepostačuje deklarace, že zpracovatel zavede dostatečná technicko-organizační opatření. Tato opatření musí být ve smlouvě konkrétně specifikována.
Zapomenout také nelze na informační povinnost podle článku 12 a dále GDPR. Bez informací o zpracování osobních údajů, včetně toho, komu a kam jsou údaje předávány, nemůže subjekt údajů v dostatečné míře realizovat svá práva.
Subjekty údajů v EU mohou, bez ohledu na nástroj použitý pro předání jejich osobních údajů do USA, pro ochranu svých práv uplatnit nový mechanismus. Jedná se o možnost nápravy v oblasti národní bezpečnosti podáním a to konkrétně podáním stížnosti ke svému národnímu úřadu pro ochranu osobních údajů. Národní úřad, např. ÚOOÚ pro Českou republiku stížnost postoupí Evropskému sboru pro ochranu osobních údajů, který ji odešle příslušným úřadům v USA. Národní úřad pro ochranu osobních údajů dále zajistí, aby subjekt údajů obdržel informaci ohledně postupu vyřizování stížnosti, včetně výsledku vyřízení. A tento mechanismus nebude moci subjekt údajů využít, pokud nebude mít informace o zpracování jeho osobních údajů.
Správce osobních údajů, který předává osobní údaje dalšímu správci nebo zpracovateli do USA, musí být ale být připraven realizovat i všechna ostatní práva subjektu údajů, jako jsou právo na výmaz, právo na přístup, na opravu údajů apod.
Jednou z nejdůležitějších povinností je osobní údaje zabezpečit. To, že v rámci Data Privacy Frameworku je předávání osobních údajů považováno za bezpečné, neznamená, že správce může rezignovat na další aspekty zabezpečení osobních údajů. Pozornost musí věnovat zabezpečení dat při přenosu i při jejich uložení u příjemce v USA a to vždy s ohledem na rizikovost celého zpracování, kategorie předávaných údajů, počet dotčených osob atd.
Konec? Ale kdepak
Přijetím rozhodnutí o odpovídající ochraně osobních údajů poskytované Rámcem ochrany soukromí povinnosti správce postupovat GDPR zdaleka nekončí. I když nový nástroj usnadní přenos dat do USA a využití amerických nástrojů a služeb pro zpracování a uchování dat, každý správce musí i nadále věnovat zajistit a doložit plnění dalších povinností dle GDPR.