Předávání osobních údajů do USA nově a snad lépe

10. 11. 2023

Sdílet

 Autor: @ tanaonte - Fotolia.com
Potřeba předávání dat mezi státy Evropské unie a USA je v dnešním světě zcela běžná a samozřejmá. S předáváním osobních údajů to ovšem není až tak snadné.

Evropská unie má poměrně přísné standardy ochrany osobních údajů, které jsou stanoveny především nařízením GDPR. Jejich dodržování při nakládání s údaji občanů členských států se vyžaduje po všech subjektech, které osobní údaje spravují nebo zpracovávají, a to i mimo území EU. Úprava USA na druhé straně není jednotná, jelikož si každý stát pravidla ochrany osobních údajů nastavuje podle vlastního uvážení. Některé úpravou nedisponují vůbec, jiné (zejm. Kalifornie) mají úpravu, kterou se snaží vyrovnat úpravě evropské.

Připadají vám výše pokut za porušení GDPR vysoké?

Aby bylo umožněno předávání osobních údajů mimo EU, je podle čl. 45 GDPR třeba vydání rozhodnutí Evropské komise, které by určilo, že mimoevropský stát zajišťuje odpovídající úroveň ochrany srovnatelnou s tou, která je poskytována v rámci Evropské unie. 

Takové rozhodnutí vydala Evropská komise ve vztahu k USA již dne 6. 7. 2000. Tímto rozhodnutím stanovila zásahy Safe Harbor, které měly odpovídající úroveň ochrany zajistit. Na základě tohoto rozhodnutí probíhalo volné předávání osobních údajů až do roku 2015, kdy Soudní dvůr Evropské unie rozhodl o neplatnosti daného rozhodnutí.

Druhým pokusem, který měl zajistit předávání osobních údajů do USA, bylo rozhodnutí Evropské komise ze dne 12. 7. 2016, kterým byl zaveden Privacy Shield. Na jeho základě bylo možné, aby společnost v USA uskutečnila samocertifikaci, a přihlásila se tak k dodržování zásad, pravidel a povinností stanovených rámcem Privacy Shield. Ačkoli Privacy Shield vznikl až po nabytí účinnosti nařízení GDPR, nařízení příliš nerespektoval a spokojil se s nižšími standardy ochrany.

ICTS24

Již od počátku bylo jasné, že Privacy Shield trpí řadou nedostatků, počínaje chybějícími definicemi zásadních pojmů, přes absenci zákazu plošného uchovávání údajů po nedostatečnou ochranu subjektů údajů před automatizovaným rozhodováním. 

Nakonec v roce 2020 Soudní dvůr Evropské unie zrušil i toto rozhodnutí Evropské komise, a to s odůvodněním, že Privacy Shield umožňuje tajným službám i dalším vládním agenturám USA vyžádat si od soukromých amerických společností osobní údaje, přičemž v takovém případě jsou evropské standardy ochrany osobních údajů odsunuty do pozadí a společnosti v USA musejí součinnost poskytnout.