Evropská komise přijala rozhodnutí o přiměřenosti předávání osobních údajů mezi EU a USA

Podle tiskové zprávy zveřejněné dne 10.6.2023 dospěla Evropská komise po posouzení nového rámce, kterým se provádějí nová ochranná opatření pro přístup k osobním údajům předávaným z EU do USA, k závěru, že USA poskytují odpovídající úroveň ochrany osobních údajů.

Ve srovnání s předchozím režimem předávání osobních údajů (tzv. štítem na ochranu soukromí) nový rámec např:

• upravuje nové záruky přístupu k osobním údajům, které budou muset americké společnosti dodržovat,
• v případě porušení nového rámce může příslušný soud nařídit výmaz předaných osobních údajů.

Předmětné rozhodnutí o přiměřenosti bylo vydáno téměř tři roky po rozsudku Soudního dvora C-311/18 ve věci Schrems II, který mimo jiné zrušil přiměřenost ochrany poskytované štítem na ochranu soukromí v souvislosti s předáváním osobních údajů mezi EU a USA.

Předávání osobních údajů – základní zásady nového rámce

• rozhodnutí o odpovídající ochraně zajistí volný a bezpečný přenos osobních údajů mezi společnostmi v EU a USA,
• budou přijata pravidla a záruky, které omezí přístup zpravodajských služeb USA k osobním údajům v souladu se zásadami nezbytnosti a přiměřenosti. Zpravodajské služby USA jsou povinny přijmout účinné postupy dohledu v souladu s novými standardy ochrany osobních údajů a soukromí subjektů údajů,
• nový rámec zavádí dvoustupňový rámec pro vyšetřování stížností subjektů údajů z EU týkajících se přístupu zpravodajských služeb USA k jejich osobním údajům, včetně možnosti soudního přezkumu,
  nový rámec stanoví povinnosti pro americké společnosti, včetně požadavku na certifikaci ministerstvem obchodu USA,
• je rovněž upraven zvláštní mechanismus sledování a přezkumu dodržování předpisů.

Další informace o předmětném rozhodnutí o přiměřenosti jsou k dispozici zde. EDPB přijal k tomuto tématu podkladový dokument, jehož cílem je poskytnout další informace o předmětném rozhodnutí o přiměřenosti.

Podle čl. 45 odst. 3 obecného nařízení o ochraně osobních údajů může Evropská komise po posouzení přiměřenosti úrovně ochrany prostřednictvím prováděcího aktu rozhodnout, že třetí země, území nebo jedno či více určených odvětví ve třetí zemi nebo mezinárodní organizace zaručují přiměřenou úroveň ochrany.

Prováděcí akt stanoví mechanismus pravidelného přezkumu, který se provádí nejméně jednou za čtyři roky s přihlédnutím k jakýmkoli významným změnám ve třetí zemi nebo mezinárodní organizaci.

Prováděcí akt stanoví rozsah své územní a odvětvové působnosti a případně dozorový úřad nebo dozorové úřady uvedené v čl. 45 odst. 2 písm. b) obecného nařízení o ochraně osobních údajů. Prováděcí akt se přijímá přezkumným postupem podle čl. 93 odst. 2 nařízení GDPR.

Potřebujete poradit s předáváním osobních údajů? Neváhejte nás kontaktovat.