Z časového hľadiska tomu nie je tak dávno, čo sa museli štátne orgány a súkromný sektor vysporiadať s dopadmi Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len “Nariadenie GDPR“).
Nariadenie GDPR nadobudlo účinnosť dňa 25.05.2018 a v podmienkach právnej úpravy Slovenskej republiky prinieslo niektoré nové povinnosti na úseku spracúvania osobných údajov, nad rámec našej pôvodnej vnútroštátnej úpravy.
Nariadenie GDPR ale upravuje aj podmienky prenosu osobných údajov do tretích krajín, teda do krajín, stojacich mimo priestoru Európskej únie, pričom v praxi sa u našich klientov pomerne často stretávame s transatlantickým prenosom osobných údajov z EÚ do USA.
Takýto prenos osobných údajov bolo možné od r. 2016 až doposiaľ vykonávať na základe tzv. Privacy Shield, t. j. Vykonávacieho rozhodnutia Komisie (EÚ) 2016/1250 zo dňa 12.07.2016 o primeranosti ochrany poskytovanej štítom na ochranu osobných údajov medzi EÚ a USA.
Privacy Shield nahradil pôvodnú dohodu Safe Harbour z r. 2000, na základe ktorej boli prenášané osobné údaje z EÚ do USA pod podmienkou registrácie spoločností, spracúvajúcich osobné údaje na americkom území, na tamojšom Ministerstve Obchodu.
Safe Harbour bol v r. 2015 vyhlásený Európskym súdnym dvorom za neplatný a to na základe Rozsudku Súdneho dvora EÚ zo dňa 06.10.2015 vo veci C-362/14, Schrems I a aktuálne postretol rovnaký osud aj ,,dátový pakt“ Privacy Shield.
Súdny dvor Európskej únie totiž Rozsudkom zo dňa 16.07.2020 vo veci C-311/18, známej aj ako Schrems II, vyhlásil za neplatný aj Privacy Shield.
Z odôvodnenia vyššie uvedeného rozhodnutia vyplýva, že Súdny dvor EÚ pristúpil k tomuto kroku po tom, ako preskúmal platnosť Privacy Shield s ohľadom na požiadavky, vyplývajúce z Nariadenia GDPR v spojení s ustanoveniami Charty základných práv, ktoré garantujú rešpektovanie súkromného a rodinného života, ochranu osobných údajov a právo na účinnú súdnu ochranu.
V nadväznosti na tento súdny prieskum napokon prijal Súdny dvor EÚ záver, že preskúmavané rozhodnutie stanovuje prednosť požiadaviek, týkajúcich sa národnej bezpečnosti, verejného záujmu a dodržiavania právnych predpisov USA, čím sa umožňuje zasahovanie do základných práv osôb, údaje ktorých sa do tejto tretej krajiny prenášajú.
Súdny dvor EÚ ďalej v tejto súvislosti bližšie uvádza, že požiadavky vnútroštátnych právnych predpisov USA a najmä určitých programov, umožňujúcich prístup orgánov verejnej moci USA k osobným údajom prenášaným z EÚ do USA na účely národnej bezpečnosti, vedú k obmedzeniam ochrany osobných údajov, ktoré nie sú vymedzené spôsobom, zodpovedajúcim požiadavkám, ktoré sú rovnocenné požiadavkám, vyžadovaným v práve EÚ a že týmito právnymi predpismi sa dotknutým osobám neposkytujú práva, uplatniteľné pred súdmi voči americkým orgánom.
Nakoľko Súdny dvor EÚ vyhlásil Privacy Shield za neplatný bez toho, aby sa zachovali jeho účinky, sú prenosy osobných údajov z EÚ do USA v režime Privacy Shield nezákonné a prevádzkovatelia, ktorých sa táto skutočnosť dotýka, sú povinní vykonávať transfer v inom právnom režime. Z uvedeného vyplýva, že Súdny dvor EÚ v tejto súvislosti nepripúšťa žiadne prechodné obdobie, počas ktorého by ešte bolo možné vykonávať transfer osobných údajov v režime Privacy Shield.
Pozitívum ale je, že prenos osobných údajov z EÚ do USA je možný aj po Rozhodnutí Súdneho dvora EÚ vo veci Schrems II, akurát je nevyhnutné dôsledne a citlivo analyzovať zákonnosť takéhoto prenosu americkému dovozcovi údajov a to práve v kontexte aktuálnej rozhodovacej činnosti súdu.
Súdny dvor EÚ sa v Rozhodnutí zaoberal aj platnosťou Rozhodnutia Komisie z 05.02.2010 o štandardných zmluvných doložkách pre prenos osobných údajov spracovateľom, usadeným v tretích krajinách podľa Smernice Európskeho parlamentu a Rady 95/46/ES, ktoré je možné zahrnúť do zmluvy pre účely prenosu osobných údajov do tretej krajiny.
Aj keď toto rozhodnutie neoznačil Súdny dvor EÚ za nezákonné na rozdiel od režimu Privacy Shield, uviedol, že pre zákonný prenos osobných údajov na základe štandardných zmluvných doložiek je nevyhnutné skúmať nie len obsah takejto zmluvy, ale aj podmienky ochrany osobných údajov v cieľovej tretej krajine, resp. krajinách.
Za predpokladu, že právny systém cieľovej krajiny zabraňuje tomu, aby boli osobné údaje adekvátnym spôsobom chránené, nie je možné osobné údaje do takejto tretej krajiny prenášať ani v právnom režime štandardných zmluvných doložiek.
S ohľadom na premietnutie záverov uvedeného Rozsudku Súdneho dvora EÚ do praxe možno záverom konštatovať, že prevádzkovatelia, ktorí doposiaľ realizovali transatlantický transfer osobných údajov do USA v režime Privacy Shield, by mali bezodkladne zabezpečiť ich prenos na základe iného právneho režimu, pokiaľ sa nechcú vystavovať riziku sankcií.
Prevádzkovatelia, ktorí prenášajú osobné údaje do tretích krajín, by mali vykonať právny audit spracúvania osobných údajov s prihliadnutím na skutočnosť, do ktorej tretej krajiny osobné údaje prenášajú a v akých právnych režimoch. Takéto posúdenie môže byť pritom pomerne zložité, obzvlášť vo vzťahu ku cloudovým službám, kde dotknuté osoby častokrát ani nedisponujú informáciami, v ktorých krajinách sú osobné údaje spracúvané a zhromažďované.
Až následne bude možné vyhodnotiť, či sú osobné údaje prenášané do krajiny, ktorá v kontexte aktuálnej rozhodovacej činnosti Súdneho dvora EÚ poskytuje adekvátnu ochranu osobných údajov.