Rámec ochrany soukromí mezi EU a USA

K 10. 7. 2023 přijala Evropská komise rozhodnutí o odpovídající úrovni ochrany osobních údajů, kterým potvrzuje nový Rámec ochrany soukromí (Data Privacy Framework) mezi EU a USA.

Ten nahrazuje svého předchůdce „štít na ochranu soukromí“ (Privacy Shield), který umožňoval předávání osobních údajů do USA. Pro nedostatečnou úpravu ochrany proti zásahům do předávaných osobních údajů ze strany USA, byl však v roce 2020 Soudním dvorem Evropské unie zrušený. Po několikaletém jednání o novém štítu na ochranu soukromí, vstoupil od července 2023 v platnost rámec nový.

Jak bude nyní předávání osobních údajů do USA vypadat v praxi?

Evropská komise tímto rozhodnutím ve smyslu čl. 45 odst. 3 obecného nařízení o ochraně osobních údajů (dále jen „GDPR“) potvrzuje, že USA zajišťují odpovídající úroveň ochrany pro předávání osobních údajů mezi EU a společnostmi USA, která je srovnatelná s úrovní ochrany v EU. Pro dovozce osobních údajů to znamená, že pokud se daná americká společnost účastní programu Rámce ochrany soukromí (tj. prokázala soulad s požadavky na ochranu údajů, a zapsala se na oficiální seznam certifikovaných společností dle nového programu – https://www.dataprivacyframework.gov/s/), mohou realizovat předávání osobních údajů do USA za stejných podmínek jako v rámci Evropské unie (resp. Evropského hospodářského prostoru). Tedy bez nutnosti jiných doplňujících opatření (zejména použití nástrojů pro předávání dle čl. 46 GDPR).

Zjednodušeně lze říci, že pokud se americká společnost účastní nového Rámce ochrany soukromí, je pro účely předávání osobních údajů subjektů EU považovaná za bezpečnou.

V případě, že společnosti z USA v programu Rámce ochrany soukromí zapsané nejsou, je možné jim předávat osobní údaje pouze za použití některého z nástrojů dle čl. 46 GDPR, mezi které patří např. standardní smluvní doložky o ochraně osobních údajů či závazná podniková pravidla, přičemž vývozce bude nadále povinný provést vyhodnocení, zda daný nástroj skutečně poskytuje vhodné záruky ochrany pro předané údaje (tzv. Transfer Impact Assessment).

Evropská komise dále v provedeném posouzení došla u problematické otázky přístupu amerických orgánů veřejné moci k předaným osobním údajům k závěru, že tento přístup není v takovém rozsahu, který by šel nad nezbytný a přiměřený rámec toho, co je v demokratické společnosti obecně uznávané. I přes to je subjektům osobních údajů z EU daná možnost využít několik mechanismů nápravy jako je uplatnění stížnosti u příslušné organizace v USA, případně u svého národního úřadu pro ochranu osobních údajů. Pokud jsou dále jejich údaje shromažďované a využívané zpravodajskými službami USA, mohou se subjekty údajů z EU obrátit i na nově zřízený Soud pro přezkum ochrany údajů.