SCHREMS II, un final attendu et redouté

SCHREMS II, očakávané a obávané finále

SCHREMS II, očakávané a obávané fináleDňa 16. júla 2020 Súdny dvor Európskej únie zrušil štít na ochranu osobných údajov, kľúčovú dohodu, ktorá tvorila právny základ pre prenos osobných údajov medzi Európou a Spojenými štátmi.

Viac ako 5 300 amerických spoločností využilo Štít na spracovanie svojich údajov a teraz musia zmeniť právny základ pre svoje prenosy.

Rozhodnutie bolo vyvolané sťažnosťou Maxa Schremsa, rakúskeho občana, ktorý už inicioval zrušenie dohody, ktorá predchádzala Štítu, tzv. „zásad bezpečného prístavu“.

Sťažovateľ spochybnil podmienky, za ktorých boli jeho údaje spracované spoločnosťou Facebook prenesené do Spojených štátov.

Na základe tohto sporu Súdny dvor vo svojom rozsudku, často označovanom ako „Schrems II“, práve analyzoval platnosť dvoch právnych nástrojov umožňujúcich prenosy mimo Európskej únie:

  • Štandardné zmluvné doložky, ktoré možno v zásade použiť s akoukoľvek treťou krajinou, a
  • Rozhodnutie Európskej komisie 2016/1250 týkajúce sa štítu na ochranu osobných údajov, dohody prispôsobenej prenosom do Spojených štátov.

Súd nezrušil štandardné zmluvné doložky – scenár, ktorý mnohým spoločnostiam a právnikom spôsobil studený pot.

Ich použitie však naďalej podlieha konkrétnemu posúdeniu spôsobu, akým sa tieto doložky skutočne uplatňujú v tretej krajine, zo strany vývozcu údajov, pričom sa zohľadnia najmä možnosti prístupu verejných orgánov, ako sú spravodajské služby, k údajom.

V prípade prístupu k údajom, ktoré sú nezlučiteľné so zásadami doložiek, je zodpovednosťou vývozcu, a ak tak neurobí, dozorného orgánu (ekvivalentu CNIL), pozastaviť prenos.

 

V prípade štítu na ochranu osobných údajovSúdny dvor rozhodol, že aj keď zásady dohody v zásade poskytovali úroveň ochrany v podstate rovnocennú úrovni Európskej únie, konkrétne požiadavky týkajúce sa národnej bezpečnosti, verejného záujmu a dodržiavania amerických právnych predpisov robia tieto zásady neúčinnými.

Zistilo sa, že rozsah právomocí amerických orgánov v oblasti dohľadu bol podľa európskeho práva nadmerný a že práva občanov iných ako USA odvolať sa na nezávislé súdy neboli zaručené.

Tieto zistenia ho viedli k tomu, aby rozhodnutie považoval za neplatné.

A teraz?

Prevody do Spojených štátov už nemôžu byť založené na Štíte.

Zatiaľ čo niektorí sa obracajú na štandardné zmluvné doložky, toto riešenie vyvoláva pochybnosti: tieto doložky v zásade zostávajú platné, ale pri použití na prenos do Spojených štátov čelia rovnakému problému ako Štít: rozsah sledovacích opatrení na americkej pôde a nedostatočné prostriedky nápravy pre dotknuté osoby.

Niektorí ľudia hovoria o možnosti šifrovania údajov pred prenosom, aby sa zabránilo ich použitiu americkými úradmi, ale to nezohľadňuje možnosť, aby úrady legálne požadovali ich dešifrovanie.

Európsky výbor pre ochranu údajov (EDPB) zverejnil 17. júla tlačovú správu, v ktorej zhŕňa svoje počiatočné zistenia a oznamuje ďalšie usmernenia.

Možno zaznamenať nasledujúce pozorovania:

– Rozhodnutie súdu priamo ovplyvňuje prevody do Spojených štátov, ale ovplyvnené sú aj všetky medzinárodné prevody;

– Použitie štandardných zmluvných doložiek na prevod do akejkoľvek tretej krajiny je naďalej možné, ale vývozca musí podliehať osobitným overeniam týkajúcim sa obsahu doložiek, kontextu prevodu a právneho režimu platného v tretej krajine (najmä pokiaľ ide o národnú bezpečnosť);

– Ak situácia predstavuje osobitné riziká, bude potrebné prijať dodatočné opatrenia: EDPB v súčasnosti pracuje na špecifikácii týchto opatrení.

– Pripomína sa, že dovozca má povinnosť informovať vývozcu o akejkoľvek zmene v legislatíve, ktorá by mala vplyv na uplatňovanie doložiek a ktorá by mohla viesť k ich pozastaveniu.

Európska komisia oznámila, že začala dialóg so svojimi americkými partnermi s cieľom dosiahnuť dohodu, ktorá by zabezpečila vyššiu úroveň ochrany údajov.

 

Medzitým združenie Maxa Schremsa s názvom NOYB („None Of Your Business“) podalo 101 žalôb proti spoločnostiam pôsobiacim v celej Európskej únii vrátane spoločností Google, Facebook a Microsoft alebo používajúcim Google Analytics a Facebook Connect bez toho, aby v reakcii na rozhodnutie súdu podnikli akékoľvek kroky.

Existujú možnosti prenosu údajov, ktoré nie sú súčasťou štandardných zmluvných doložiek.

Boli vysvetlené v marcovom úvodníku tohto spravodajcu.

Alternatívou je spravovať údaje na európskej pôde, a nie ich prenášať.

Dúfam, že toto rozhodnutie podporí rozvoj takýchto miestnych služieb.

A tiež

Francúzsko:

  • CNIL (francúzsky úrad na ochranu údajov) začína vyšetrovanie aplikácie TikTok: okrem sporu medzi čínskou spoločnosťou a Spojenými štátmi prebiehajú v Európe vyšetrovania týkajúce sa súladu aplikácie s GDPR. CNIL koordinuje svoju prácu s ďalšími dozornými orgánmi v rámci EDPB.
  • CNIL, stále v spolupráci so svojimi európskymi partnermi, 5. augusta uložila spoločnosti Spartoo, ktorá sa zaoberá online predajom, pokutu vo výške 250 000 eur za nedodržanie zásad minimalizácie údajov, uchovávania, informácií a bezpečnosti stanovených v GDPR.

Európa:

  • Britský dozorný orgán ICO bol poslancami kritizovaný za nedostatočné konanie v súvislosti s porušovaním GDPR, najmä v kontexte pandémie COVID-19.
  • Aj v Spojenom kráľovstve odvolací súd 11. augusta rozhodol, že používanie technológie rozpoznávania tváre políciou Južného Walesu porušuje základné práva vrátane práva na ochranu údajov.
  • Európska komisia v súčasnosti pracuje na nariadení o digitálnych službách s cieľom posilniť tieto služby v rámci vnútorného trhu a objasniť právny rámec pre malé podniky. Európsky parlament v tejto súvislosti pripravuje odporúčanie, ktoré by malo riešiť celý rad otázok týkajúcich sa ochrany údajov vrátane šifrovania informácií, auditovateľnosti algoritmov a ochrany biometrických údajov.
  • Európska komisia 4. augusta oznámila, že začína vyšetrovanie navrhovanej akvizície spoločnosti Fitbit spoločnosťou Google. Jej obavy sa týkajú predovšetkým koncentrácie údajov v rukách dominantného hráča, najmä údajov o zdraví.

Medzinárodné:

  • Spojené štáty: Ministerstvo vnútornej bezpečnosti v analýze dopadov z 30. júla podrobne popisuje postupy pozorované roky na vonkajších hraniciach krajiny, ktoré umožňujú agentom kopírovať obsah telefónov a počítačov osôb vstupujúcich do Spojených štátov a uchovávať ich po dobu 75 rokov.
  • Twitter začiatkom augusta potvrdil, že je predmetom vyšetrovania zo strany Federálnej obchodnej komisie USA v súvislosti s používaním údajov o zákazníkoch na reklamné účely.
  • Brazília: Zákon o ochrane osobných údajov nadobudne účinnosť 27. augusta. Nedávno bol zriadený aj dozorný orgán.
  • Aj v Latinskej Amerike Čile modernizuje svoje zákony o ochrane údajov a regulačné projekty prebiehajú v Paraguaji a Ekvádore.
  • Egypt prijal 17. júna zákon o ochrane osobných údajov.

 

sk_SKSK