Súdny dvor EÚ zásadne obmedzil prenos osobných údajov do USA

Novinky z oblasti štátneho IT
apríl 22, 2020

Súdny dvor EÚ zásadne obmedzil prenos osobných údajov do USA

Prenos osobných údajov z EÚ do USA prejde zásadnou zmenou. Súdny dvor EÚ totiž 16. júla rozhodol o prípade Schrems II a zrušil tzv. EU-U.S. Privacy Shield.

EU-U.S. Privacy Shield, celým názvom Vykonávacie rozhodnutie Komisie (EÚ) 2016/1250 o primeranosti ochrany poskytovanej štítom na ochranu osobných údajov medzi EÚ a USA, umožňovalo podnikateľom spracúvajúcim osobné údaje európskych občanov ich prenos do USA bez potreby splnenia ďalších podmienok.

Zrušenie EU-U.S. Privacy Shield je výsledkom 5-ročného sporu rakúskeho občana Maxa Schremsa so spoločnosťou Facebook, ktorej írska dcéra prenáša údaje do USA. Súdny dvor EÚ na základe sťažnosti pána Schremsa už v októbri 2015 zrušil skôr platné Rozhodnutie o primeranosti ochrany poskytovanej zásadami „bezpečného prístavu“. O päť rokov neskôr bolo opäť na základe sťažnosti pána Schremsa zrušený aj EU-U.S. Privacy Shield, ktorý nahradil zrušené zásady „bezpečného prístavu“.

Dôvodom pre zrušenie EU-U.S. Privacy Shield bola najmä obava, že po prenose údajov do USA by sa k ním mohli dostať americké bezpečnostné zložky, čím by došlo k porušeniu základných práv garantovaných Chartou základných práv EÚ.

Tlačová správ k rozhodnutiu je k dispozícii tu. Celé rozhodnutie Súdneho dvora EÚ si môžete prečítať tu.

 

Čo sú rozhodnutia o primeranosti?

Rozhodnutie Komisie EÚ o primeranosti ochrany osobných údajov v tretej krajine predstavujú jeden z nástrojov, na základe ktorého sa umožňuje prenos osobných údajov z EÚ do tretej krajiny.

Krajiny, pre ktoré sú takéto rozhodnutia vydané spĺňajú najvyšší štandard ochrany osobných údajov, ktorý je porovnateľný s ochranou poskytovanou v EÚ. Rozhodnutia sú momentálne v platnosti napríklad pre Japonsko, Kanadu, Izrael, Švajčiarsko, či Nový Zéland.

Pokiaľ pre niektorú tretiu krajinu existuje platné rozhodnutie o primeranosti, môže k prenosu osobných údajov dochádzať v podstate automaticky bez potreby splnenia ďalších podmienok.

Takýto automatický prenos dát naďalej nebude možný do USA.

 

Ako ďalej?

Prevádzkovateľom, ktorý potrebujú prenášať dáta do USA, sa rozhodnutím Súdneho dvora EÚ činnosť úplne nezakazuje.

Prenos bude naďalej možný napríklad ak príjemca osobných údajov individuálne poskytne primerané záruky ochrany, napríklad formou zmluvného zaviazania sa k štandardným zmluvným doložkám spracovaným Komisiou EÚ.

Spoločnosti, ktoré doteraz prenášali osobné údaje do USA na základe EU-U.S. Privacy Shield musia urgentne posúdiť, či sú schopné zabezpečiť prenos na základe iného právneho mechanizmu. V opačnom prípade sa vystavujú riziku uloženia pokuty až do výšky 20 000 000 EUR alebo do výšky zodpovedajúcej 4 % svojho celosvetového obratu, pričom sa uplatní vyššia z týchto súm.

 

Spracúvate osobné údaje a neviete ako sa Vás rozhodnutie dotkne? Potrebujete upraviť mechanizmus prenosu údajov aby ste sa vyhli obrovskej pokute? Tím advokátskej kancelárie Nechala & Co. je pripravený Vám poskytnúť plnú podporu.

Potrebujem poradiť.