Privacy Shield? Teď už ne!

J.Taylor
22. 7. 2020

Data Protection Commissioner proti Facebook Ireland Ltd, Maximillianu Schremsovi,

za účasti:

The United States of America, Electronic Privacy Information Centre, BSA Business Software Alliance Inc., Digitaleurope.

Rozhodnutí Soudního dvora Evropské unie ze dne 16. července 2020 ve věci C-311/18, Data Protection Commissioner v. Facebook Ireland a Schrems, mělo dva zásadní důsledky:

  • prováděcí rozhodnutí Komise (EU) 2016/1250 ze dne 12. července 2016 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající úrovni ochrany poskytované štítem EU–USA na ochranu soukromí (tzv. rozhodnutí o štítu na ochranu soukromí, Privacy Shield) (dále jen „Privacy Shield“), je neplatné;
  • rozhodnutí Komise 2010/87 ze dne 5. února 2010 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle směrnice Evropského parlamentu a Rady 95/46/ES (dále jen „rozhodnutí SSD“) zůstává v platnosti.

Východiskem pro výše uvedené závěry SDEU byly mimo jiné články 7 a 8 Listiny základních práv Evropské unie[1] (respektování soukromého a rodinného života a ochrana osobních údajů).

Úkolem SDEU bylo porovnat úroveň a účinné prostředky ochrany osobních údajů, které jsou předávány do třetích zemí ve smyslu čl. 45 a 46 obecného nařízení o ochraně osobních údajů GDPR[2], kdy k osobním údajům předaným do USA mají přístup i zpravodajské orgány USA.[3]

Soud konstatoval, že v rámci předávání osobních údajů do třetích zemí je zvlášť důležité, aby v takové třetí zemi existovaly možnosti dovolat se účinné ochrany ze strany subjektů údajů – tj. aby správní orgány a soudy třetí země měly dostatečné pravomoci k zajištění nezávislého dozoru nad ochranou osobních údajů. Taková funkce byla dle Privacy Shield realizována prostřednictvím mechanismu ombudsmana. K témuž SDEU však konstatuje, že:

Mechanismus ombudsmana zmíněný v rozhodnutí o štítu na ochranu soukromí ... neposkytuje prostředek nápravy u orgánu, který by osobám, jejichž údaje jsou předávány do Spojených států, nabízel záruky, které jsou v zásadě rovnocenné zárukám vyžadovaným v článku 47 Listiny.[4]

Co se týče přezkumu rozhodnutí SSD, tak zde SDEU zastává názor, že „neodhalil žádnou skutečnost, která by mohla mít dopad na platnost tohoto rozhodnutí.“[5] Platnost rozhodnutí SSD a smluvních doložek SDEU spojuje především se splněním požadavku na existenci účinných mechanismů, „které v praxi umožní zajistit dodržování úrovně ochrany vyžadované unijním právem a v případě, že by došlo k porušení takových doložek nebo k nemožnosti je dodržet, dočasně nebo trvale zakázat předávání osobních údajů na jejich základě.“[6] Takové požadavky jsou založeny na smluvním základě a vhodných zárukách bez nutnosti vázat předmětnými povinnostmi orgány veřejné moci.

Předávání osobních údajů do USA tak bude jistě vyžadovat revizi interních politik smluvních partnerů, a to včetně již uzavřených smluv, které se ve svých základních parametrech opírají o záruky Privacy Shieldu. Domnívám se však, že s ohledem na obchodní politiku EU a USA lze v brzké době očekávat nahrazení Privacy Shieldu jiným vhodnějším prostředkem pro transatlantické předávání osobních údajů.


[1] Rozhodnutí Soudního dvora Evropské unie ze dne 16. července 2020 ve věci C-311/18, Data Protection Commissioner v. Facebook Ireland a Schrems, dostupné on-line na (URL): https://eur-lex.europa.eu/legal-content/CS/ALL/?uri=celex%3A12012P%2FTXT.

[2] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), dostupné on-line na (URL): https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX:32016R0679.

[3] Srov. program UPSREAM, činnosti prováděné na základě Executive Order 123333 – United States intelligence activities, ze dne 4.12.1981, a the Foreign Intelligence Surveillance Act of 1978.

[4] Bod 197, op. cit. sub 1.

[5] Bod 149, op. cit. sub 1.

[6] Bod 137, op. cit. sub 1.

crossmenu

Soubory cookie nám pomáhají poskytovat, chránit a zlepšovat služby na webu Mediální právo.cz. Užíváním webu souhlasíte s jeho Podmínkami.

Nastavení cookie na tomto webu je nastaveno pro "povoleno cookies", aby vám poskytlo nejlepší možné prohlížení stránek. Pokud budete nadále používat tento web bez změny nastavení cookie nebo klepnete na tlačítko "Souhlasím" souhlasíte s podmínkami použití cookie.

Zavřít