Úřad pro ochranu osobních údajů

Rozsudek Soudního dvora konstatoval, že ve světle Listiny základních práv Evropské unie musí vhodné záruky podle čl. 46 obecného nařízení o ochraně osobních údajů zajistit předaným osobním údajům ve třetí zemi ochranu v zásadě rovnocennou ochraně poskytované obecným nařízením.  

Vycházeje z tohoto konstatování dospěl Evropský soudní dvůr k závěru, že Rozhodnutí Komise 2010/87 ze dne 5. února 2010 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle směrnice Evropského parlamentu a Rady 95/46/ES je platné. Zároveň však Evropský soudní dvůr zdůraznil, že pokud konkrétní smlouva obsahující dané standardní smluvní doložky nezajišťuje předaným osobním údajům ve třetí zemi ochranu v zásadě rovnocennou ochraně poskytované obecným nařízením, pak je na odpovědnosti vývozce a dovozce osobních údajů, aby poskytli dodatečné záruky, které požadovanou ochranu osobních údajů ve třetí zemi zajistí. 

Evropský soudní dvůr zároveň vyžaduje, aby dozorové orgány jednotlivých členských zemí Evropské unie postupovaly při čl. 46 obecného nařízení koordinovaně ve spolupráci s Evropským sborem pro ochranu osobních údajů. Další informace lze nalézt v prohlášení Evropského sboru pro ochranu osobních údajů ze dne 17. července 2020 a v dokumentu Často kladené otázky k rozhodnutí Rozsudek Soudního dvora Evropské unie ve věci C-311/18 Data Protection Commissioner v. Facebook Ireland Limited a Maximillian Schrems.   

Podrobně se Evropský sbor pro ochranu osobních údajů důsledkům uvedeného rozsudku věnuje v Doporučení Sboru 1/2020 k opatřením doplňujícím stávající nástroje předávání osobních údajů pro zajištění EU úrovně ochrany osobních údajů.   

V uvedeném doporučení Sbor popisuje v několika krocích, jak má postupovat správce (příp. zpracovatel), který hodlá předávat osobní údaje do třetí země s nedostatečnou úrovní ochrany osobních údajů, aby zajistil předaným údajům ve třetí zemi úroveň ochrany „v zásadě rovnocennou“ s unijní úrovní ochrany osobních údajů, jak ji vyžaduje ustanovení čl. 46 obecného nařízení vyložené uvedeným rozhodnutím SDEU:   

1. Správce musí předně skutečně znát okolnosti svého předání a uplatnit na předání jako na samostatnou operaci zpracování všechny zásady definované čl. 5 obecného nařízení, tzn. správce musí především vědět komu a do kterých zemí hodlá data předat, musí určit účel předání osobních údajů a vymezit relevantní údaje, které je nezbytné pro naplnění stanoveného účelu předat do třetí země.   

2. Správce musí zvolit jeden z nástrojů pro předání vyjmenovaných v čl. 46 obecného nařízení, přičemž, pokud správce není členem skupiny disponující schválenými závaznými podnikovými pravidly, je v současné době stále jedinou schůdnou cestou použití standardních smluvních doložek podle rozhodnutí Evropské komise.   

3. Správce musí v kontextu daného předání, nejlépe ve spolupráci s potenciálním dovozcem osobních údajů, zhodnotit, zda legislativa třetí země nenaruší úroveň ochrany předaných osobních údajů takovým způsobem, že ani použití zvoleného nástroje podle čl. 46 samo o sobě nezajistí vhodné záruky ochrany předaných osobních údajů. Především se správce musí soustředit na zhodnocení otázky, zda právní řád třetí země umožňuje jejím orgánům veřejné moci přístup k předaným osobním údajům v rozsahu, který jde nad rámec toho, co je obvyklé v demokratické společnosti, v čemž mu mohou pomoci Doporučení Sboru 2/2020 k zásadním zárukám přiměřeného přístupu k osobním údajům.   

4. V případě, že správce dojde k závěru, že pro dané předání do třetí země neposkytuje zvolený nástroj podle čl. 46 dostatečné záruky pro zajištění „v zásadě rovnocenné“ ochrany předaných osobních údajů, musí správce, zpravidla ve spolupráci s dovozcem, přijmout doplňková opatření, která navýší záruky na požadovanou úroveň. V přílohách uvedeného Doporučení Sboru 1/2020 jsou uvedeny příklady možných technických, smluvních a organizačních opatření. Pokud správce nepřijme nebo nenalezne taková doplňková opatření, nezbude mu nic jiného než předání nerealizovat, resp. v případech již probíhajících předávání toto zastavit nebo oznámit danou skutečnost příslušnému dozorovému úřadu, který rozhodne o zastavení předávání.   

5. Správce musí posléze ve vhodných intervalech znovu zhodnotit, zda v právním řádu dané třetí země nedošlo k nepříznivému vývoji vzhledem k úrovni ochrany předávaných údajů, a zda tedy není nutné nalézt a přijmout ještě jiná doplňková opatření.