Blog

EDPB a jeho „návod“ pro datové přenosy po rozhodnutí Schrems II

V listopadu 2020 vydal Evropský sbor pro ochranu osobních údajů (European Data Protection Board – EDPB) dlouho očekávaná doporučení ohledně přenosu osobních údajů mimo EU. Navazují na přelomové rozhodnutí Soudního dvora EU známé jako „Schrems II (C-311/18)“.    

O Schremsově druhém vítězství si můžete přečíst zde

Doporučení EDPB obsahuje dva dokumenty. Ty dávají jistý přehled o tom, jak v případě předávání osobních údajů do zahraničí (mimo EU) mají společnosti vyhodnocovat adekvátnost zahraniční ochrany ve světle právní ochrany EU. Zároveň nastiňují, jaká opatření přijmout v případech, kdy je zahraniční ochrana ve srovnání s právními standardy EU považována za nedostatečnou.

EDPB se v rámci doporučení snaží zacílit přímo na společnosti ovlivněné zmiňovaným rozsudkem. Doporučení nabízejí společnostem šestikrokový plán, který by jim měl pomoci v hodnocení dosažení evropského standardu ochrany globálních toků osobních údajů.

  • Prvním krokem na cestě k úspěšné ochraně osobních údajů je zmapovat proces předávání osobních údajů. Jinými slovy vědět, jaké osobní údaje, za jakým účelem, kam a komu se předávají.
  • V dalším kroku je dle EDPB nezbytné ověřit konkrétní „nástroj“, na základě kterého jsou osobní údaje předávány. Konkrétně je třeba hledat v kapitole V. Obecného nařízení o ochraně osobních údajů (GDPR), která upravuje předávání osobních údajů do třetích zemí nebo mezinárodním organizacím.
  • Třetí krok se týká zhodnocení právní ochrany osobních údajů třetích zemí. EDPB doporučuje posoudit, jestli v právním řádu či v aplikační praxi třetích zemí existuje něco, co by mohlo mít dopad na účinnost záruk (nástrojů), na které se při předávání společnost spoléhá. V tomto kontextu hraje důležitou roli doporučení ohledně základních záruk, které by měly společnosti vzít v úvahu při hodnocení cizí právní úpravy. Jde např. o záruky, že zpracování osobních údajů by se mělo zakládat na jasných, určitých a přístupných pravidlech; nezbytnost a proporcionalita s ohledem na legitimitu účelů zpracování by měly být náležitě demonstrovány; měl by existovat nezávislý mechanismus dohledu nad zpracováním a účinné prostředky nápravy pro subjekty osobních údajů. EDPB zdůrazňuje, že při hodnocení v praxi by společnosti měly přikládat větší váhu objektivnímu hodnocení právních úprav a praxi orgánů veřejné moci namísto svým subjektivním pocitům ve smyslu, jaká existuje pravděpodobnost, že právě ty které osobní údaje budou „předmětem zájmu“.
  • V pořadí čtvrtý krok navazuje na kladnou odpověď v rámci třetího kroku. Společnost v těchto případech musí identifikovat a přijmout dodatečná opatření, jejichž zavedením se opět dosáhne adekvátní úrovně ochrany osobních údajů. EDPB uvádí orientační výčet takových opatření (zejména technického, smluvního či organizačního charakteru) a lze očekávat, že právě tato opatření budou předmětem dalších diskuzí. Pokud žádná opatření nepřinesou kýžený efekt, měla by společnost dle EDPB zastavit předávání osobních údajů.
  • Po provedení těchto extenzivních hodnocení se společnostem v rámci pátého kroku doporučuje řádně zdokumentovat jejich postup a usilovat o získání případné autorizace u příslušného orgánu (v závislosti na využití konkrétního nástroje pro předávání dle GDPR).
  • V šestém, finálním kroku EDPB doporučuje společnostem pravidelně vyhodnocovat a v případě nutnosti i změnit své zavedené přístupy.

Tato doporučení jistě vyvolají rozporuplné reakce dotčených společností. EDPB totiž doporučuje komplexní a náročná hodnocení, ale nenabízí ucelené a zaručené řešení. To se nepochybně promítne ve zvýšených nákladech. Je ale třeba ocenit snahu EDPB pružně reagovat na nejistotu, které mnoho společností v rámci svých každodenních operací čelí (zejména při zvýšené online aktivitě během pandemie). Bez pochyby bude zajímavé monitorovat vývoj těchto doporučení v závislosti na zpětné vazbě dotčených subjektů i odborné veřejnosti po celém světě.