Rozhodnutí SDEU Schrems II: je možné dále využívat služby z USA?

8. 9. 2020
8 minut čtení

Úvod

Dne 16. července 2020 Soudní dvůr Evropské unie vydal rozsudek ve věci C-311/18 o předběžné otázce Vrchního soudu Irska v řízení mezi Data Protection Commissioner proti Facebook Ireland Ltd a Maxmilianu Schremsovi. Rozsudek nese populární název Schrems II.

Rozsudkem Soudní dvůr mimo jiné:

  1. zrušil rozhodnutí Evropské komise o Štítu EU-USA na ochranu soukromí a
  2. zdůraznil práva a povinnosti správce či zpracovatele z Evropské unie při předávání osobních údajů do třetích zemí na základě standardních smluvních doložek, které jsou přílohou rozhodnutí Evropské komise o standardních smluvních doložkách.

V aktuálních on-line diskusích se často řeší zejména bod 1 výše, tedy zrušení štítu na ochranu soukromí. Neméně závažné jsou však pro správce a zpracovatele z Unie důsledky bodu 2 výše. 

Stručné shrnutí

Podle našeho právního názoru nyní není vůbec možné využívat zpracovatele osobních údajů z USA aniž by předtím došlo k přijetí dalších, konkrétních a zejména technických opatření k zabezpečení údajů, a to ani v případě předání založeného na standardních smluvních doložkách.

Co byl štít EU-USA na ochranu soukromí a co znamená jeho zrušení?

V případě, že správce nebo zpracovatel osobních údajů předává tyto údaje další entitě (tzv. příjemci) do třetí země nebo mezinárodní organizace, tj. mimo Evropský hospodářský prostor, je povinen dodržet speciální pravidla stanovená pro předávání osobních údajů do třetích zemí nebo mezinárodních organizací podle čl. 44 a násl. nařízení (EU) 2016/679 (dále jako GDPR). Takovým příjemcem je například zpracovatel nebo další zpracovatel ze třetí země—typicky poskytovatel cloud computingových služeb, datových úložišť apod.

Spojené státy americké patří mezi třetí země a ve vztahu k nim neexistuje všeobecné rozhodnutí Evropské komise o odpovídající ochraně. Předávání osobních údajů do USA je tedy možné pouze za předpokladu, že (1) správce nebo zpracovatel poskytl vhodné záruky a za podmínky, že (2) jsou k dispozici vymahatelná práva subjektu údajů a účinná právní ochrana subjektů údajů.

Dne 12. července 2016 vydala Evropská komise prováděcí rozhodnutí podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající úrovni ochrany poskytované štítem EU–USA na ochranu soukromí. Toto rozhodnutí dalo vzniknout tzv. Štítu EU-USA na ochranu soukromí. Štít umožňoval správcům a zpracovatelům osobních údajů předávat osobní údaje příjemcům z USA k dalšímu zpracování, pokud byli uvedeni v databázi vedené Ministerstvem obchodu Spojených států amerických.

Rozsudek Schrems II s okamžitou účinností zrušil rozhodnutí Evropské komise o Štítu EU-USA na ochranu soukromí a tím celý program. Nadále tedy není možné předávat osobní údaje příjemcům z USA pokud takové předání bylo založeno pouze na Štítu. Správci, zpracovatelé a příjemci osobních údajů z USA musejí nyní nalézt jiné vhodné záruky a zajistit jiným způsobem aby byla k dispozici vymahatelná práva subjektu údajů a účinná právní ochrana subjektů údajů, jinak bude další předávání osobních údajů příjemcům z USA nezákonné.

Předání založené na standardních doložkách o ochraně osobních údajů

Jak bylo popsáno výše, pro další využívání služeb zpracování osobních údajů příjemců z USA je nutné nalézt jiné vhodné záruky, než které poskytoval Štít EU-USA na ochranu soukromí. Takové vhodné záruky mohou i nadále v souladu s čl. 46 odst. 2 písm. c) GDPR a prováděcím rozhodnutím Evropské komise o standardních smluvních doložkách pro předávání osobních údajů poskytovat standardní smluvní doložky, které jsou přílohou prováděcího rozhodnutí. Rozsudkem Schrems II Soudní dvůr Evropské unie mimo jiné potvrdil, že rozhodnutí Evropské komise o standardních smluvních doložkách zůstává dále v platnosti. Je však nutné vzít v potaz, což Soudní dvůr Evropské unie zdůraznil v odstavcích 126, 128, 130, 131 a 134 odůvodnění rozsudku, že samotné uzavření standardních smluvních doložek mezi vývozcem osobních údajů z Unie a dovozcem osobních údajů ze třetí země nebo mezinárodní organizace nezajišťuje legálnost takového předání osobních údajů, nezajišťuje totiž, že budou k dispozici vymahatelná práva subjektu údajů a účinná právní ochrana subjektů údajů. Primárně je odpovědností správce či zpracovatele z Unie, aby prověřil, že jsou splněny veškeré podmínky pro předání, včetně kontroly relevantních prvků právního řádu země, kam budou osobní údaje předány.

(134) Je tedy především na správci či zpracovateli aby případ od případu – a eventuálně ve spolupráci s příjemcem předávaných údajů – ověřili, zda právo třetí země, do které jsou údaje předávány, zajišťuje ochranu osobních údajů předávaných na základě standardních doložek o ochraně osobních údajů, která je z hlediska unijního práva odpovídající, a v případě potřeby poskytl k zárukám poskytovaným těmito doložkami další záruky.

Vzhledem k tomu, že rozhodnutí Evropské komise o štítu EU–USA na ochranu soukromí bylo zrušeno právě proto, že právní řád USA neposkytuje srovnatelnou úroveň ochrany zaručenou v Unii, a to ani když příjemce osobních údajů byl součástí štítu, lze si těžko představit, že další předávání osobních údajů do USA bude možné „legalizovat“ pouhým uzavřením standardních smluvních doložek mezi vývozcem osobních údajů z EU a dovozcem osobních údajů z USA. Takový právní závěr koneckonců nepřímo potvrzuje Úřad pro ochranu osobních údajů ve zprávě ze dne 7. 8. 2020, když uvádí:

Vzhledem k výše uvedenému by měl každý správce předávající osobní údaje zpracovateli do USA na základě standardních smluvních doložek nebo správce, který zatím o předání uvažuje, řešit s dovozcem údajů konkrétní dopady rozsudku ESD, hledat a navrhovat řešení v podobě dalších bezpečnostních záruk (např. uložení dat včetně metadat pouze na území EU, šifrování bez zadních vrátek apod.).

Závěr

Rozhodnutí Schrems II bylo v řadě ohledů průlomové. Hlavním důsledkem, o kterém se nejvíce diskutuje, bylo zrušení Štítu EU–USA na ochranu soukromí. Neméně důležité však je, že SDEU posoudil jemu předložené prvky právního řádu USA a rozhodl, že neposkytuje srovnatelnou úroveň ochrany osobních údajů zaručenou v Unii. Domníváme se, že nalezené problémy nelze překlenout ani uzavřením standardních smluvních doložek s příjemcem osobních údajů z USA. Rozhodnutí tak postavilo správce a zpracovatele osobních údajů z Evropské unie do pozice právní nejistoty, pokud využívají služeb z USA. Je zřejmé, že pro další využití takových služeb bude nutné přijmout další bezpečnostní záruky, které budou spočívat zejména v technických řešeních. Pro všechny správce a zpracovatele z EU by rozhodnutí Schrems II mělo být podnětem k přezkoumání svých smluvních vztahů s partnery z USA.

Autor článku:
Mgr. Jiří Císek

Mgr. Jiří Císek je zakládajícím a řídícím partnerem advokátní kanceláře. Profesně se věnuje zejména právu IT, kybernetické bezpečnosti a ochraně duševního vlastnictví.