EDPB a jeho „návod“ pro datové přenosy po rozhodnutí Schrems II | Marwick.cz
Marwick.cz

EDPB a jeho „návod“ pro datové přenosy po rozhodnutí Schrems II

Právo 15.12.2020 Martin Čapek, David Hron
EDPB a jeho „návod“ pro datové přenosy po rozhodnutí Schrems II
V listopadu 2020 vydal Evropský sbor pro ochranu osobních údajů (European Data Protection Board – EDPB) dlouho očekávaná doporučení ohledně přenosu osobních údajů mimo EU. Navazují na přelomové rozhodnutí Soudního dvora EU známé jako „Schrems II (C-311/18)“.

O Schremsově druhém vítězství si můžete přečíst zde. 

Doporučení EDPB obsahuje dva dokumenty. Ty dávají jistý přehled o tom, jak v případě předávání osobních údajů do zahraničí (mimo EU) mají společnosti vyhodnocovat adekvátnost zahraniční ochrany ve světle právní ochrany EU. Zároveň nastiňují, jaká opatření přijmout v případech, kdy je zahraniční ochrana ve srovnání s právními standardy EU považována za nedostatečnou.

EDPB se v rámci doporučení snaží zacílit přímo na společnosti ovlivněné zmiňovaným rozsudkem. Doporučení nabízejí společnostem šestikrokový plán, který by jim měl pomoci v hodnocení dosažení evropského standardu ochrany globálních toků osobních údajů.
 

  1. Prvním krokem na cestě k úspěšné ochraně osobních údajů je zmapovat proces předávání osobních údajů. Jinými slovy vědět, jaké osobní údaje, za jakým účelem, kam a komu se předávají.
     
  2. V dalším kroku je dle EDPB nezbytné ověřit konkrétní „nástroj“, na základě kterého jsou osobní údaje předávány. Konkrétně je třeba hledat v kapitole V. Obecného nařízení o ochraně osobních údajů (GDPR), která upravuje předávání osobních údajů do třetích zemí nebo mezinárodním organizacím.
     
  3. Třetí krok se týká zhodnocení právní ochrany osobních údajů třetích zemí. EDPB doporučuje posoudit, jestli v právním řádu či v aplikační praxi třetích zemí existuje něco, co by mohlo mít dopad na účinnost záruk (nástrojů), na které se při předávání společnost spoléhá. V tomto kontextu hraje důležitou roli doporučení ohledně základních záruk, které by měly společnosti vzít v úvahu při hodnocení cizí právní úpravy. Jde např. o záruky, že zpracování osobních údajů by se mělo zakládat na jasných, určitých a přístupných pravidlech; nezbytnost a proporcionalita s ohledem na legitimitu účelů zpracování by měly být náležitě demonstrovány; měl by existovat nezávislý mechanismus dohledu nad zpracováním a účinné prostředky nápravy pro subjekty osobních údajů. EDPB zdůrazňuje, že při hodnocení v praxi by společnosti měly přikládat větší váhu objektivnímu hodnocení právních úprav a praxi orgánů veřejné moci namísto svým subjektivním pocitům ve smyslu, jaká existuje pravděpodobnost, že právě ty které osobní údaje budou „předmětem zájmu“.
     
  4. V pořadí čtvrtý krok navazuje na kladnou odpověď v rámci třetího kroku. Společnost v těchto případech musí identifikovat a přijmout dodatečná opatření, jejichž zavedením se opět dosáhne adekvátní úrovně ochrany osobních údajů. EDPB uvádí orientační výčet takových opatření (zejména technického, smluvního či organizačního charakteru) a lze očekávat, že právě tato opatření budou předmětem dalších diskuzí. Pokud žádná opatření nepřinesou kýžený efekt, měla by společnost dle EDPB zastavit předávání osobních údajů.
     
  5. Po provedení těchto extenzivních hodnocení se společnostem v rámci pátého kroku doporučuje řádně zdokumentovat jejich postup a usilovat o získání případné autorizace u příslušného orgánu (v závislosti na využití konkrétního nástroje pro předávání dle GDPR).
     
  6. V šestém, finálním kroku EDPB doporučuje společnostem pravidelně vyhodnocovat a v případě nutnosti i změnit své zavedené přístupy.
     

Tato doporučení jistě vyvolají rozporuplné reakce dotčených společností. EDPB totiž doporučuje komplexní a náročná hodnocení, ale nenabízí ucelené a zaručené řešení. To se nepochybně promítne ve zvýšených nákladech. Je ale třeba ocenit snahu EDPB pružně reagovat na nejistotu, které mnoho společností v rámci svých každodenních operací čelí (zejména při zvýšené online aktivitě během pandemie). Bez pochyby bude zajímavé monitorovat vývoj těchto doporučení v závislosti na zpětné vazbě dotčených subjektů i odborné veřejnosti po celém světě.

autor
Martin Čapek, David Hron

Google utržil další ránu za 2,42 mld. eur

Google utržil další ránu za 2,42 mld. eur

Společnost Google a její mateřská společnost Alphabet prohrály další spor s Evropskou komisí. Pokutu udělenou za zneužívání dominantního postavení na trhu potvrdil Tribunál Soudního dvora Evropské unie. Snaha Googlu zvrátit rozhodnutí Komise, které nejen že ukládá rekordní pokutu, ale zároveň naznačuje směr pro budoucí rozhodovací praxi, tak vyšla naprázdno.
Ladislav Karas: Pro přivýdělek ve stejném oboru je potřeba souhlas zaměstnavatele

Ladislav Karas: Pro přivýdělek ve stejném oboru je potřeba souhlas zaměstnavatele

Jak sladit přivýdělek s pracovní dobou je jedna věc. Jak ho sladit se zákoníkem práce, radí Ladislav Karas, advokát KPMG Legal.
Komise navrhla ambiciózní reformu digitálního prostoru

Komise navrhla ambiciózní reformu digitálního prostoru

Evropská komise chystá nová pravidla pro digitální služby. Měla by přinést největší změny od roku 2000.
Amazon opět v hledáčku Komise – tentokrát kvůli využití dat obchodníků na Marketplace

Amazon opět v hledáčku Komise – tentokrát kvůli využití dat obchodníků na Marketplace

Evropská komise informovala největšího internetového prodejce Amazon o svém předběžném zjištění o porušení antimonopolních pravidel EU. Údajně měl narušit hospodářskou soutěž na maloobchodních trzích provozovaných online. 
Návrh nařízení o správě dat unikl před zveřejněním a sklidil kritiku

Návrh nařízení o správě dat unikl před zveřejněním a sklidil kritiku

Podle uniklého návrhu je cílem vytvoření dobré infrastruktury pro sdílení dat, a přinést tak EU „digitální suverenitu“. 
Evropská regulace AI na obzoru

Evropská regulace AI na obzoru

Evropský parlament hlasoval v říjnu o návrzích pravidel pro umělou inteligenci (AI). Europoslanci přijali Etický rámec, zprávu o právech k duševnímu vlastnictví a především předběžný návrh nařízení o odpovědnosti za provoz systémů AI.
Bude regulace umělé inteligence následovat GDPR?

Bude regulace umělé inteligence následovat GDPR?

Evropská unie vydala rámcový dokument týkající se etických aspektů umělé inteligence (AI), robotiky a souvisejících technologií. Přiklání se v něm k přísné regulaci.
Štít EU-USA na ochranu soukromí končí

Štít EU-USA na ochranu soukromí končí

Aktivista Max Schrems si ve sporu s Facebookem připisuje další právní vítězství.