Schrems II: zásadná zmena v podmienkach prenosu osobných údajov mimo EÚ
Používateľ Facebooku Maximillian Schrems podal v roku 2013 írskemu dozornému orgánu sťažnosť, ktorou sa domáhal, aby v dôsledku zistení vyplývajúcich najmä z kauzy Wikileaks, zakázal prenosy osobných údajov z európskych serverov spoločnosti Facebook na jej americké servery. Dôvod bol ten, že vzhľadom na verejne známe skutočnosti americká legislatíva a prax nezaručuje primeranú úroveň ochrany osobných údajov občanov štátov EÚ, a nezabezpečuje dostatočnú ochranu údajov pred sledovaním zo strany orgánov verejnej moci USA.
Írsky dozorný orgán inicioval predloženie prejudiciálnych otázok Súdnemu dvoru EU („Súdny dvor“) ohľadne výkladu niektorých ustanovení upravujúcich ochranu osobných údajov. Dňa 16. júla 2020 Súdny dvor vydal v tejto veci C-311/18[1] rozsudok („Rozsudok“).
Výrok o neplatnosti rozhodnutia o Privacy Shield
Súdny dvor sa v tomto konaní zaoberal okrem iného skúmaním platnosti rozhodnutia Európskej komisie č. 2016/1250 o tzv. Privacy Shield[2], ktoré predstavovalo právny nástroj umožňujúci prenos osobných údajov medzi krajinami EÚ a USA. Spoločnosti sídliace v USA, ktoré splnili podmienky stanovené v rozhodnutí o Privacy Shield, mali otvorenú cestu na prenos osobných údajov, ktoré spracúvajú ich európske pobočky. Táto možnosť bola častokrát preferovanou pred inými spôsobmi zabezpečenia primeranej úrovne ochrany osobných údajov prostredníctvom štandardných zmluvných doložiek alebo záväzných vnútropodnikových pravidiel.
Súdny dvor v Rozhodnutí vyslovil, že požiadavky vnútroštátnych právnych predpisov USA vedú k obmedzeniam ochrany osobných údajov, a sú takej závažnej povahy, že ochrana osobných údajov v USA nie je „v podstate rovnocenná“ s úrovňou ochrany v EÚ, a že dotknutým osobám, ktoré sú občanmi krajín EÚ, sa nezaručujú práva uplatniteľné pred súdmi voči americkým orgánom. Z toho dôvodu vyhlásil nástroj prenosu Privacy Shield za neplatný s okamžitou platnosťou, v dôsledku čoho sú akékoľvek prenosy, ak sa realizujú na jeho základe, nezákonné a je ich potrebné ukončiť.
Prečo má spozornieť každý, kto prenáša údaje kamkoľvek mimo EÚ/EHP, nie len do USA?
Okrem toho, že Súdny dvor skúmal platnosť rozhodnutia Privacy Shield, skúmal aj ďalší právny nástroj na prenos osobných údajov do tretích krajín, a to rozhodnutie Európskej komisie 2010/87/ES o štandardných zmluvných doložkách[3] („Doložky“). Doložky, ak sú inkorporované do zmluvy o prenose osobných údajov medzi vývozcom údajov sídliacim v EÚ a dovozcom údajov sídliacim v tretej krajine, predstavujú spôsob, akým vývozca údajov môže preukázať poskytnutie primeraných záruk podľa čl. 46 ods. 1 GDPR.
Pre všetkých vývozcov osobných údajov mimo EU/EHP je podstatné najmä vyjadrenie Súdneho dvora, že považuje Doložky za platné, avšak nie bezpodmienečne. Ich platnosť totiž závisí na tom, či obsahujú mechanizmy, ktoré v praxi umožňujú zabezpečenie dodržiavania úrovne ochrany, ktorá je v podstate rovnocenná úrovni zaručenej v rámci EÚ podľa GDPR, a aby sa prenosy osobných údajov založené na Doložkách v prípade ich porušenia alebo nemožnosti ich dodržať pozastavili alebo zakázali.
Inými slovami, Súdny dvor zdôraznil, že v Doložkách sa ukladá vývozcovi údajov povinnosť vopred a pri zohľadnení okolností konkrétneho prenosu overiť, či sa v tretej krajine daná úroveň ochrany skutočne dodržiava. To, či sa konkrétny prenos osobných údajov môže realizovať na základe Doložiek, teda bude závisieť od výsledku posúdenia právnych predpisov platných v mieste dovozu údajov. Vývozca by mal okrem analýzy právnych predpisov tiež prijať dodatočné opatrenia na zabezpečenie toho, aby právne predpisy danej tretej krajiny nezasahovali do primeranej úrovne ochrany, ktorú tieto opatrenia zaručujú.
Ide teda o celkom jasný signál Súdneho dvora, smerujúci k tomu, že prenos osobných údajov mimo EÚ/EHP na základe Doložiek nie je možné automaticky a bez ďalšieho považovať za zákonný. Ak subjekt na základe analýzy právneho poriadku a praxe orgánov verejnej moci zistí, že tieto neposkytujú primeranú úroveň ochrany, je povinný taký prenos ukončiť, v opačnom prípade je povinný ďalší prenos oznámiť príslušnému dozornému orgánu.
Súdny dvor teda zodpovednosť za náležité posúdenie legislatívy a výkonu práva v tretej krajine necháva na vývozcovi údajov, ktorý sa môže za tým účelom obrátiť na dovozcu údajov so žiadosťou o informácie.
Odporúčania k prenosom mimo EÚ / EHP
Z Rozsudku je možné abstrahovať nasledovný algoritmus odporúčaných krokov pre účely zabezpečenia zákonnosti prenosu osobných údajov do tretej krajiny:
- ak je treťou krajinou USA a prenos sa realizoval na základe Privacy Shield, odporúča sa taký prenos bezodkladne pozastaviť;
- následne vo vzťahu k prenosom do akejkoľvek tretej krajiny, ohľadne ktorej neexistuje rozhodnutie Európskej komisie o primeranosti podľa čl. 45 ods. 3 GDPR, ak sa prenos má realizovať na základe Doložiek, je potrebné pred začatím prenosu a pri zohľadnení okolností konkrétneho prenosu overiť, či legislatíva o ochrane osobných údajov v mieste sídla dovozcu údajov zaručuje primeranú úroveň ochrany, a či prax orgánov verejnej moci nezasahuje do primeranej ochrany;
- ak sa zistí, že na zabezpečenie primeranosti úrovne ochrany sú potrebné dodatočné opatrenia, je potrebné také opatrenia, určené podľa okolností prenosu, prijať;
- ak vývozca v rámci daného posúdenia zistí, že ani dodatočné opatrenia by nezabezpečili primeranosť ochrany osobných údajov, je povinný prenos nezačať, resp. ho ukončiť;
- ak tak neurobí, ale sa rozhodne prenos ďalej realizovať, je povinný o tejto skutočnosti upovedomiť príslušný dozorný orgán.
V súlade so zásadou zodpovednosti podľa čl. 5 ods. 2 GDPR je nevyhnutné všetky vyššie uvedené kroky zafixovať relevantnou dokumentáciou, aby v prípade kontroly bolo možné splnenie daných povinností preukázať dozornému úradu. V prípade nesplnenia uvedeného postupu sa subjekty participujúce na vývoze a dovoze osobných údajov vystavujú hrozbám sankcií, i keď je treba dodať, že v prípade tretích krajín zatiaľ nie je jasná ich vykonateľnosť.
advokátka
Eversheds Sutherland, advokátska kancelária, s.r.o.
Cintorínska 3/a
811 08 Bratislava
Tel: +421 232 786 411
e-mail: bratislava@eversheds-sutherland.sk
© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk