Komise přijala nová pravidla předávání osobních údajů do USA
Pamatujete si ještě na náš článek „Předávání osobních údajů do USA a případ Schrems vs. Velký bratr“? Rozsudkem z října 2015 ve věci C-362/14 judikoval Soudní dvůr Evropské unie (dále jen „SDEU“), že rozhodnutí Evropské komise, na základě kterého byly předávány osobní údaje občanů Evropské unie do USA (tzv. Safe Harbour), je neplatné.
Od tohoto rozsudku již uplynulo několik měsíců a před několika dny (12. 7. 2016) Evropská komise přijala tzv. EU-U.S. Privacy Shield (tisková zpráva dostupná zde). Jedná se o vytvoření nového a společnostmi dlouho očekávaného mechanizmu předávání dat občanů Evropské unie do USA pro obchodní účely. Dle tiskové zprávy Evropská komise rozhodnutí notifikovala jednotlivým členským státům.
Nové povinnosti společností předávajících osobní údaje do USA
Nově přibydou společnostem, které předávají osobní údaje občanů Evropské unie do USA, povinnosti, jejichž cílem je zejména zabezpečit transparentnost nakládání s osobními údaji a dodržování nastavených pravidel. Evropská komise dále slibuje efektivní ochranu individuálních práv. Toho chce docílit například zavedením mechanizmu vyřizování stížností občanů Evropské unie směřujících proti společnostem, které nakládají s jejich osobními údaji v rozporu s nastavenými pravidly. Občané Evropské unie by měli mít k dispozici hned několik forem vyřizování stížností, a to konkrétně:
- individuální stížnost podaná přímo společnosti, o které se občan Evropské unie domnívá, že porušuje pravidla předávání osobních údajů;
- mimosoudní řešení sporu, které by mělo být bezplatné;
- podání stížnosti k nezávislému vnitrostátnímu orgánu pro ochranu osobních údajů (v České republice by se jednalo o Úřad pro ochranu osobních údajů);
- v poslední instanci bude možné zahájit rozhodčí řízení u tzv. Privacy Shield Panel.
O konkrétním obsahu EU-U.S. Privacy Shield Vás budeme informovat v připravovaném článku.
Co když se společnosti nepřizpůsobí?
Jen šest dní před přijetím výše uvedeného rozhodnutí o tzv. EU-U.S. Privacy Shield německý regulátor pro ochranu osobních údajů udělil pokutu v celkové výši 28.000 € třem společnostem, které předávaly osobní údaje občanů Evropské unie do USA na základě původního mechanismu, tzv. Safe Harbour (zprávu zveřejnila agentura REUTERS, dostupné zde). Dle tvrzení německého regulátora pro ochranu osobních údajů sankcionované společnosti následně spolupracovaly a upravily mechanizmus předávání osobních údajů tak, aby byl v souladu s rozhodnutím SDEU. I proto jim byla udělena nižší pokuta.
Jak ukazuje výše uvedený případ, rozsudek ve věci Schrems neupadl v zapomnění a evropští regulátoři pro ochranu osobních údajů pečlivě sledují, zda společnosti dodržují nová pravidla nastavena v rámci předávání osobních dat do USA.