Dňa 15. júla 2020 vydal Súdny dvor EÚ rozhodnutie vo veci C-311/18 známej ako Schrems II (dostupné v anglickom jazyku tu), na základe ktorého sa zrušuje tzv. Privacy Shield medzi EÚ a USA, vďaka ktorému nebolo potrebné prijímať ďalšie opatrenia pri prenose osobných údajov z EÚ do USA.
Preto v prípade, ak vo Vašej organizácii dochádza k prenosu osobných údajov do USA, musíte opätovne zhodnotiť a prijať iné vhodné opatrenia na zabezpečenie ochrany prenášaných dát v zmysle článku 44 a nasl. GDPR.
Toto rozhodnutie nielenže narušilo režim prenosu údajov, na ktorý sa odvolávali tisíce spoločností z USA, ale spochybňuje aj schopnosť nadnárodných spoločností prenášať údaje do USA v rámci akéhokoľvek mechanizmu. Už len existencia cloudu v USA, kde sa ukladajú osobné údaje dotknutých osôb, je prenosom osobných údajov do tretej krajiny, bez ohľadu na to, kto ich prenáša (prevádzkovateľ/sprostredkovateľ).
Čo predstavuje Privacy Shield?
Privacy Shield je podľa čl. 45 GDPR rozhodnutie vydané Európskou komisiou o tom, že tretia krajina zaručuje primeranú úroveň ochrany a táto úroveň ochrany je v podstate rovnocenná úrovni ochrany osobných údajov prijatej v rámci EÚ. Až doteraz sa americké spoločnosti voľne registrovali, aby sa zaviazali dodržiavať zásady Privacy Shield, ktoré sú veľmi podobné zásadám GDPR a mohli sa na takéto záruky odvolávať pred svojimi obchodnými partnermi z EÚ. V tomto prípade nebolo nutné žiadne osobitné povolenie na prenos osobných údajov do tretej krajiny.
Zrušením Privacy Shield sa takýto prenos údajov do USA môže značne skomplikovať, pretože organizácia, či už v pozícií prevádzkovateľa alebo sprostredkovateľa, bude musieť poskytnúť primerané záruky, že sa neohrozí úroveň ochrany osobných údajov zaručená GDPR. Súdny dvor EÚ v rozhodnutí Schrems II konštatoval, že ochrana osôb, ktorých údaje sa prenášajú do USA, nie je zabezpečená na rovnocennej úrovni, a preto Súdny dvor EÚ zrušil rozhodnutie Európskej komisie o Privacy Shield medzi EÚ a USA.
Aké kroky musíte podniknúť vo Vašej spoločnosti, aby ste osobné údaje prenášali do USA v súlade s GDPR?
Nespoliehajte sa na doteraz nastavenú ochranu osobných údajov pri ich prenose do USA. V samotnom Rozhodnutí Súdny dvor EÚ hovorí, že pokiaľ neexistuje rozhodnutie Európskej Komisie o primeranosti, teda aj tzv. Privacy Shield pre USA, príslušný dozorný orgán je oprávnený takýto prenos údajov do USA zakázať. Dozorný orgán môže uložiť aj peňažné pokuty za prenosy osobných údajov v rozpore s GDPR.
JUDr. Lucia Semančínová
SEMANČÍN & PARTNERS