Soudní dvůr EU klíčové rozhodnutí Schrems II, které zásadně mění poměry v oblasti ochrany osobních údajů unijních občanů. S komplikacemi se budou teď potýkat především velké americké korporace, nová pravidla ale ovlivní i jiné zahraniční společnosti. Jaké konkrétní změny můžeme očekávat, a jak jim firmy ze zemí mimo EU mohou úspěšně čelit? Ptali jsme se Mgr. Michala Nulíčka, LL.M., partnera z advokátní kanceláře Rowan Legal. Ta se na problematiku ochrany osobních údajů dlouhodobě specializuje.
Co můžeme považovat za hlavní gró nového rozhodnutí Soudního dvora EU?
Jednoznačně zrušení programu Privacy Shield. Zjednodušeně to znamená konec volného předávání osobních údajů z evropských poboček na americké centrály, ale komplikace to způsobuje i jakýmkoliv jiným tokům osobních údajů mezi společnostmi na obou březích Atlantiku. Do budoucna budou všichni muset ctít stejná pravidla a před samotným předáním dat ověřit, že v USA je zajištěna dostatečná úroveň jejich ochrany. Ta by měla v zásadě odpovídat ochraně, která je zakotvená v evropském nařízení GDPR a prováděcích zákonech na úrovni jednotlivých členských států EU. Doplňkovou ochranu poskytuje i evropská Listina základních práv. Tyto předpisy dohromady vytvářejí určitý standard ochrany. V jakékoliv třetí zemi, která se jeho naplňování nepřiblíží, nebude možné soustředit a zpracovávat osobní údaje evropských občanů.
V čem soud spatřoval největší nebezpečí pro osobní údaje Evropanů?
Soudní dvůr EU v rozhodnutí výslovně označil za problematické rozsáhlé pravomoci federálních zpravodajských služeb. Upozornil, že vnitrostátní předpisy USA jim v podstatě dávají bezbřehou volnost, co se týče sledovacích programů. Přestože právní řád Spojených států dopadá především na tamní občany, soudci si prozíravě povšimli, že neposkytuje žádné pevné záruky, které by umožňovaly evropským občanům bránit se proti využívání osobních údajů při sledování. Takové opomenutí oproti GDPR nikdy nemůže obstát.
