Dopad rozhodnutí Schrems II na mezinárodní transfer dat
Rozhodnutí Soudního dvora EU ve věci Schrems II z roku 2020 zásadně otřáslo způsobem, jakým evropské firmy předávají osobní údaje do třetích zemí, zejména do Spojených států amerických. Zrušením rámce Privacy Shield vznikla právní nejistota, kterou se mnoho organizací snaží vyřešit dodnes.
Aktuální právní nástroje pro transfer dat
V současnosti mají firmy k dispozici několik mechanismů pro legální předávání osobních údajů mimo EU:
- Standardní smluvní doložky (SCC) — Evropská komise přijala v červnu 2021 nové standardní smluvní doložky, které zohledňují požadavky rozhodnutí Schrems II. Firmy musí používat výhradně tyto aktualizované verze.
- Závazná podniková pravidla (BCR) — Vhodná pro nadnárodní korporace, které potřebují pravidelně přenášet data mezi svými pobočkami v různých zemích.
- Rozhodnutí o přiměřenosti — Evropská komise uznává některé země za poskytující dostatečnou úroveň ochrany dat. Patří mezi ně například Japonsko, Velká Británie nebo Jižní Korea.
- EU-US Data Privacy Framework — Nový rámec přijatý v červenci 2023 nahrazuje zrušený Privacy Shield a umožňuje transfer dat do certifikovaných amerických organizací.
Povinnost provést posouzení dopadu transferu (TIA)
Klíčovým požadavkem rozhodnutí Schrems II je povinnost provést Transfer Impact Assessment (TIA) před každým předáním údajů do třetí země. Toto posouzení musí zahrnovat analýzu právního prostředí cílové země, zejména přístup státních orgánů k datům a dostupnost účinných opravných prostředků pro dotčené osoby.
V praxi to znamená, že nestačí pouze podepsat standardní smluvní doložky. Firma musí aktivně vyhodnotit, zda právní řád třetí země nezasahuje do ochrany poskytované GDPR, a případně přijmout doplňková technická, organizační nebo smluvní opatření.
Praktická doporučení pro české firmy
Pro české společnosti, které pravidelně přenášejí data mimo EU — ať už prostřednictvím cloudových služeb, externích dodavatelů nebo v rámci koncernu — doporučujeme následující kroky:
- Zmapujte všechny datové toky směřující mimo Evropský hospodářský prostor.
- Aktualizujte standardní smluvní doložky na novou verzi z roku 2021.
- Pro každý transfer proveďte posouzení dopadu transferu (TIA).
- Zvažte implementaci doplňkových opatření, jako je šifrování dat s klíči pod vaší kontrolou.
- U amerických dodavatelů ověřte jejich certifikaci v rámci EU-US Data Privacy Framework.
Rizika při nedodržení pravidel
Dozorové úřady v celé Evropě začaly aktivně vymáhat pravidla pro mezinárodní transfer dat. Příkladem jsou pokuty udělené za používání služby Google Analytics bez odpovídajících záruk. České firmy by proto neměly tuto oblast podceňovat a měly by pravidelně revidovat své mechanismy pro přeshraniční přenos údajů.
Předávání osobních údajů mimo EU zůstává jednou z nejsložitějších oblastí GDPR. Investice do správného nastavení procesů se však vyplatí — chrání nejen před vysokými pokutami, ale především buduje důvěru zákazníků a obchodních partnerů.
GDPR24 tým
Specialisté na ochranu osobních údajů