EVROPSKÁ KOMISE

V Bruselu dne 6.11.2015

COM(2015) 566 final

SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU A RADĚ

o předávání osobních údajů z EU do Spojených států amerických podle směrnice 95/46/ES po rozsudku Soudního dvora ve věci C-362/14 (Schrems)

SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU A RADĚ

o předávání osobních údajů z EU do Spojených států amerických podle směrnice 95/46/ES po rozsudku Soudního dvora ve věci C-362/14 (Schrems)

1. Úvod: Zrušení rozhodnutí o bezpečném přístavu

Soudní dvůr Evropské unie (dále jen: „soudní dvůr“ nebo „soud“) v rozhodnutí ze dne 6. října 2015 ve věci C-362/14 (Schrems) 1 opětovně potvrdil důležitost základního práva na ochranu osobních údajů, jak je zakotveno v Listině základních práv EU, a to rovněž i v případech, kdy jsou takové údaje předávány mimo EU.

Předávání osobních údajů představuje základní prvek transatlantického vztahu. EU a Spojené státy jsou pro sebe navzájem nejdůležitější obchodní partneři a předávání údajů tvoří v narůstající míře nedílnou součást jejich obchodní výměny.

Za účelem usnadnění toku těchto údajů, při současném zajištění vysoké úrovně ochrany osobních údajů, přijala Komise rozhodnutí 2000/520/ES ze dne 20. července 2000 (dále jen: „rozhodnutí o bezpečném přístavu“), kterým uznala, že rámec bezpečného přístavu poskytuje odpovídající ochranu údajů. V tomto rozhodnutí založeném na čl. 25 odst. 6 směrnice 95/46/ES 2 Komise uznala, že zásady bezpečného přístavu a doprovodné často kladené otázky (Frequently Asked Questions / FAQs) vydané ministerstvem obchodu Spojených států poskytují odpovídající ochranu pro účely předávání osobních údajů z EU 3 . V důsledku toho bylo možné volně předávat osobní údaje z členských států EU společnostem ve Spojených státech, které přistoupily k zásadám, navzdory tomu, že ve Spojených státech chybí obecné právo o ochraně osobních údajů. Fungování ujednání o bezpečném přístavu se spoléhalo na závazky a autocertifikaci společností, jež k němu přistoupily. Zatímco přistoupení k zásadám ochrany soukromí bezpečného přístavu a FAQs je dobrovolné, pro ty subjekty, které k nim přistoupily, jsou tato pravidla podle práva Spojených států závazná a vynutitelná Federální obchodní komisí USA 4 .

Soud rozsudkem ze dne 6. října 2015 prohlásil rozhodnutí o bezpečném přístavu za neplatné. V tomto kontextu je cílem předkládaného sdělení poskytnout přehled alternativních nástrojů pro transatlantické předávání údajů podle směrnice 95/46/ES při absenci rozhodnutí o odpovídající úrovni ochrany. Sdělení rovněž stručně popisuje důsledky rozsudku pro další rozhodnutí Komise o odpovídající úrovni ochrany. Soud v rozsudku objasnil, že rozhodnutí o odpovídající úrovni ochrany podle čl. 25 odst. 6 směrnice 95/46/ES je podmíněno zjištěním Komise, že v dotčené třetí zemi existuje úroveň ochrany osobních údajů, která přestože není nezbytně nutně stejná, je „v zásadě rovnocenná“ té, která je zaručena v EU na základě směrnice vykládané ve světle Listiny základních práv. Co se týče konkrétně rozhodnutí o bezpečném přístavu, soud rozhodl, že neobsahuje dostatečná zjištění ze strany Komise ohledně omezení, pokud jde o přístup veřejných orgánů USA k předávaným údajům podle daného rozhodnutí, a ohledně existence účinné právní ochrany proti takovým zásahům. Soud konkrétně objasnil, že právní předpisy umožňující, aby veřejné orgány měly přístup na obecném základě k obsahu elektronické komunikace, je nutné považovat za narušující podstatu základního práva na respektování soukromého života. Soud navíc potvrdil, že i když existuje rozhodnutí o odpovídající úrovni ochrany podle čl. 25 odst. 6 směrnice 95/46/ES, mají orgány pro ochranu údajů členských států i nadále pravomoc a povinnost zcela nezávisle přezkoumávat, zda je předávání údajů do třetí země v souladu s požadavky stanovenými směrnicí 95/46/ES vykládanými ve světle článků 7, 8 a 47 Listiny základních práv. Soud však rovněž potvrdil, že pouze Soudní dvůr může prohlásit akt EU, jako je rozhodnutí Komise o odpovídající úrovni ochrany, za neplatný.

Rozsudek soudu čerpá ze sdělení Komise Evropskému Parlamentu a Radě o fungování „bezpečného přístavu“ z pohledu občanů EU a společností usazených v EU z roku 2013 5 , ve kterém Komise identifikovala řadu nedostatků a předložila 13 doporučení. Na základě těchto doporučení vedla Komise s orgány USA od ledna 2014 rozhovory s cílem vytvořit nové a důkladnější ujednání pro transatlantické předávání údajů.

Komise je po rozsudku i nadále odhodlána dostát svému cíli, kterým je vytvoření nového a řádného rámce pro transatlantické předávání osobních údajů. Komise v tomto ohledu ihned obnovila a zintenzivnila rozhovory s vládou Spojených států za účelem zajištění, že jakékoliv nové ujednání pro transatlantické předávání osobních údajů plně vyhovuje normám stanoveným soudem. Každý takový rámec musí proto obsahovat dostatečná omezení, ochranná opatření a mechanismus soudní kontroly, aby byla zajištěna trvalá ochrana osobních údajů občanů EU, včetně vůči možnému přístupu veřejných orgánů za účelem prosazování práva a národní bezpečnosti. V mezidobí podniky vyjádřily obavy ohledně možností, jak pokračovat v předávání údajů 6 . Je tudíž nutné vyjasnit, za jakých podmínek může toto předávání údajů pokračovat. To přimělo pracovní skupinu zřízenou podle článku 29 – nezávislý poradní subjekt, který sdružuje zástupce všech orgánů pro ochranu údajů členských států a evropského inspektora ochrany údajů – k tomu, aby dne 16. října 2015 vydala prohlášení 7 o prvních závěrech vyvozených z rozsudku. Toto prohlášení obsahovalo kromě jiného následující pokyny k předávání údajů:

předávání údajů již nelze zakládat na neplatném rozhodnutí Komise o bezpečném přístavu;

standardní smluvní doložky (dále také: („SSD“) a závazná podniková pravidla (dále také: („ZPP“) lze v mezidobí používat jako základ pro předávání údajů, i když pracovní skupina zřízená podle článku 29 rovněž uvedla, že bude dále analyzovat dopad rozhodnutí na tyto alternativní nástroje.

Prohlášení dále vyzvalo členské státy a orgány EU, aby zahájily diskusi s orgány USA s cílem nalézt právní a technická řešení pro předávání údajů; podle pracovní skupiny zřízené podle článku 29 mohou být součástí tohoto řešení jednání o novém bezpečném přístavu.

Pracovní skupina zřízená podle článku 29 oznámila, že pokud do konce ledna 2016 nebude s orgány Spojených států nalezeno odpovídající řešení, a v závislosti na výsledku posouzení alternativních nástrojů pro předávání údajů, podniknou orgány pro ochranu údajů veškeré nezbytné kroky a přijmou vhodná opatření, včetně koordinovaného donucovacího opatření.

Nakonec pracovní skupina zřízená podle článku 29 zdůraznila, že nalezení udržitelných řešení, jak provést rozsudek soudu, je sdílenou odpovědností orgánů pro ochranu údajů, orgánů EU, členských států a podniků. Pracovní skupina zejména naléhavě vyzvala podniky, aby zvážily zavedení všech právních a technických řešení na snížení možných rizik, jimiž při předávání údajů čelí.

Předkládaným sdělením nejsou dotčeny pravomoci a povinnosti orgánů pro ochranu údajů zcela nezávisle přezkoumávat zákonnost takových předávání údajů 8 . Sdělení nestanoví žádná závazná pravidla a zcela respektuje pravomoc národních soudů vykládat platné právo a v případně nutnosti požádat Soudní dvůr o rozhodnutí o předběžné otázce. Toto sdělení není ani žádným základem pro jakýkoliv individuální nebo kolektivní nárok či žalobu.

2. Alternativní základy pro předávání osobních údajů do USA

Pravidla pro mezinárodní předávání údajů stanovená ve směrnici 95/46/ES vycházejí z jasného rozlišování mezi předáváním do třetích zemí zajišťujících odpovídající úroveň ochrany na straně jedné (článek 25 směrnice) a předáváním do třetích zemí, u kterých bylo zjištěno, že nezajišťují odpovídající úroveň ochrany na straně druhé (článek 26 směrnice).

Rozsudek Schrems řeší podmínky, za kterých může Komise určit, že třetí země zajišťuje odpovídající úroveň ochrany podle čl. 25 odst. 6 směrnice 95/46/ES.

V případě, že třetí země, do které se mají vyvážet osobní údaje z EU, nezajišťuje odpovídající úroveň ochrany údajů, stanoví článek 26 směrnice 95/45/ES řadu alternativních základů, na kterých lze nicméně údaje předávat. Předávat údaje lze zejména, jestliže subjekt odpovědný za určení důvodů a prostředků zpracovávání osobních údajů („správce“):

poskytne dostatečná ochranná opatření ve smyslu čl. 26. odst. 2 směrnice 95/46/ES pro ochranu soukromí a základních práv a svobod osob, jakož i pro výkon odpovídajících práv. Tato ochranná opatření mohou zejména vyplývat z vhodných smluvních doložek zavazujících vývozce a dovozce údajů (viz oddíly 2.1 a 2.2 níže). Zahrnují SSD vydaná Komisí a s ohledem na předávání mezi různými subjekty nadnárodní podnikové skupiny ZPP schválená orgánem pro ochranu údajů, nebo

využívá jednu z výjimek výslovně uvedených pod písmeny a) až f) v čl. 26 odst. 1 směrnice 95/46/ES (viz oddíl 2.3 níže).

Ve srovnání s rozhodnutími o odpovídající úrovni ochrany, která jsou výsledkem celkového posouzení systému dané třetí země a mohou se v zásadě vztahovat na všechna předávání do daného systému, tyto alternativní základy pro předávání mají jak omezenější rozsah působnosti (neboť se vztahují pouze na zvláštní toky údajů), tak i širší pokrytí (neboť se nutně neomezují na konkrétní zemi). Vztahují se na toky údajů prováděné konkrétními subjekty, které se rozhodly využívat jedné z možností nabízených článkem 26 směrnice 95/46/ES. Navíc jestliže vývozci a dovozci údajů zakládají svá předávání údajů na těchto základech, nesou odpovědnost za to zajistit, že předávání probíhá v souladu s požadavky směrnice, neboť se nemohou spolehnout na odpovídající úroveň ochrany ve třetí zemi zjištěnou rozhodnutím Komise.

2.1. Smluvní řešení

Jak zdůraznila pracovní skupina zřízená podle článku 29, za účelem nabídnutí dostatečných ochranných opatření pro účely čl. 26 odst. 2 směrnice 95/46/ES „musí smluvní doložky dostatečně kompenzovat neexistující obecnou úroveň odpovídající ochrany tím, že zahrnou základní prvky ochrany, které chybí v každé dané konkrétní situaci“ 9 . S cílem usnadnit používání takových nástrojů pro mezinárodní předávání údajů Komise schválila v souladu s čl. 26 odst. 4 směrnice čtyři soubory SSD považované za splňující požadavky článku 26 odst. 2 směrnice. Dva soubory vzorových doložek se týkají předávání mezi správci 10 , přičemž další dva soubory vzorových doložek se týkají předávání mezi správci a zpracovateli jednajícími podle jejich pokynů 11 . Každý z těchto souborů vzorových doložek stanoví příslušné povinnosti pro vývozce a dovozce údajů. Patří mezi ně povinnosti týkající se mimo jiné bezpečnostních opatření, informací pro subjekt údajů v případě předávání citlivých údajů, oznámení vývozci údajů o žádostech donucovacích orgánů třetích zemí o přístup nebo veškeré případy získání náhodného nebo neoprávněného přístupu a práva subjektu údajů na přístup ke svým osobním údajům, jejich opravu a vymazání, jakož pravidla pro odškodnění subjektu údajů v případě škody vzniklé porušením SSD některou stranou. Vzorové doložky rovněž vyžadují, aby subjekt údajů z EU měl možnost domáhat se u orgánu pro ochranu údajů anebo soudu členského státu, ve kterém je vývozce údajů usazen, práv pro něj vyplývajících ze smluvních doložek jakožto oprávněné třetí strany 12 . Tato práva a povinnosti jsou ve smluvních doložkách nezbytná, protože na rozdíl od situace, kde Komise zjistila odpovídající úroveň ochrany, nelze předpokládat, že dovozce údajů v třetí zemi podléhá odpovídajícímu systému dohledu a prosazování pravidel ochrany údajů.

Jelikož jsou rozhodnutí Komise v členských státech závazná v celém svém rozsahu, začleňování SSD do smluv znamená, že vnitrostátní orgány mají v zásadě povinnost přijmout tyto doložky. V důsledku toho nesmí odmítnout předávání údajů do třetí země pouze na základě toho, že tyto SSD nenabízejí dostatečná ochranná opatření. Tím není dotčena jejich pravomoc přezkoumávat tyto doložky s ohledem na požadavky stanovené soudem v rozsudku Schrems. V případě pochybností by se měly obrátit na vnitrostátní soud, který následně může podat žádost o rozhodnutí o předběžné otázce k Soudnímu dvoru. Přestože ve většině právních předpisů členských států, kterým se provádí směrnice 95/45/ES, neexistuje povinnost předchozí vnitrostátní autorizace k realizaci předávání údajů při použití SSD, ponechaly si některé členské státy systém oznamování anebo předběžné autorizace. Je-li tomu tak, musí vnitrostátní orgán pro ochranu údajů porovnat doložky skutečně obsažené v dané smlouvě se SSD a ověřit, že nebyla provedena žádná změna 13 . Pokud byly doložky použity beze změny 14 , je v zásadě autorizace 15 automaticky udělena 16 . Jak je dále vysvětleno níže (viz oddíl 2.4), nejsou tím dotčena další opatření, jež bude možná muset vývozce údaje přijmout, zejména ohledně dalších informací získaných od dovozce údajů o změnách v právním systému třetí země, které mohou zabránit dovozci údajů splnit povinnosti podle smlouvy. Při používání SSD se jak vývozci údajů, tak i dovozci údajů tím, že se smluvně zaváží, podřizují dozoru orgánu pro ochranu údajů.

Přijetí SSD společnostem nebrání v tom, aby využívaly jiné nástroje, např. smluvní ujednání ad hoc k prokázání, že při jejich předávání údajů existují dostatečná ochranná opatření ve smyslu čl. 26 odst. 2 směrnice 95/46/ES. Podle čl. 26 odst. 2 směrnice musí tato ujednání schvalovat národní orgány případ od případu. Některé orgány pro ochranu údajů vytvořily v této oblasti pokyny, včetně standardních smluv nebo podrobných pravidel, jež se mají používat při tvorbě doložek o předávání údajů. Většina smluv, které v současnosti společnosti používají k mezinárodnímu předávání údajů, však vychází ze SSD schválených Komisí 17 .

2.2. Předávání údajů uvnitř skupiny

Pro předávání osobních údajů z EU přidruženým společnostem usídleným mimo EU, které vyhovuje požadavkům stanoveným v čl. 26 odst. 2 směrnice 95/46/ES, může nadnárodní společnost přijmout ZPP. Tento druh kodexu zásad poskytuje základ pouze pro předávání v rámci podnikové skupiny.

Používání ZPP tudíž umožňuje, aby se osobní údaje pohybovaly volně po celém světě mezi různými subjekty podnikové skupiny – aniž by bylo nutné mít smluvní vztahy mezi každým jednotlivým subjektem podnikové skupiny – při současném zajištění, že stejná vysoká úroveň ochrany osobních údajů je dodržována v rámci celé podnikové skupiny prostřednictvím jediného souboru závazných a vynutitelných pravidel. Existence jednoho souboru pravidel vytváří jednodušší a efektivnější systém, který je snazší pro zaměstnance uplatňovat a pro subjekty údajů pochopit. S cílem pomoci společnostem se zněním ZPP vyslovila pracovní skupina zřízená podle článku 29 věcné (např. účelové omezení, bezpečnost zpracovávání, transparentní informace pro subjekty údajů, omezení dalšího předávání mimo skupinu, práva jednotlivců na přístup, opravu a napadnutí) a procesní (např. audity, monitorování souladu, projednávání stížností, spolupráce s orgány pro ochranu údajů, odpovědnost a příslušnost) požadavky na ZPP na základě norem EU v oblasti ochrany údajů 18 . Tato pravidla nezavazují pouze členy podnikové skupiny, ale jsou podobně jako SSD vynutitelná v EU: jednotlivci, jejichž údaje jsou zpracovávány subjektem skupiny, mají nárok jakožto oprávněné třetí strany se pomocí stížnosti k orgánu pro ochranu údajů a žaloby k soudu členského státu domáhat dodržování ZPP. ZPP navíc musí určit subjekt v EU, který přijímá odpovědnost za porušení pravidel jakýmkoliv členem skupiny mimo EU, jenž je vázán těmito pravidly.

Ve většině právních předpisů členských států, kterými se provádí směrnice, musí být předávání údajů na základě ZPP autorizováno orgánem pro ochranu údajů v každém členském státě, z něhož nadnárodní společnost hodlá údaje předávat. Za účelem usnadnění a urychlení procesu, jakož i snížení zátěže žadatelů vytvořila pracovní skupina zřízená podle článku 29 standardizovaný formulář žádosti 19 a specifický postup spolupráce mezi dotčenými orgány pro ochranu údajů 20 zahrnující určení jednoho „vedoucího orgánu“ odpovědného za schvalovací řízení.

2.3. Výjimky

Při neexistenci rozhodnutí o odpovídající úrovni ochrany podle čl. 25 odst. 6 směrnice 95/46/ES a bez ohledu na používání SSD anebo ZPP lze stále předávat osobní údaje subjektům se sídlem v třetí zemi, pokud platí jedna z alternativních výjimek uvedených v čl. 26 odst. 1 směrnice 95/46/ES 21 :

subjekt údajů nepochybně udělil svůj souhlas s předpokládaným předáním;

předání je nezbytné pro splnění smlouvy mezi subjektem údajů a správcem nebo pro splnění opatření přijatých před uzavřením smlouvy na žádost subjektu údajů;

předání je nezbytné pro uzavření nebo plnění smlouvy, která byla uzavřena nebo která má být uzavřena v zájmu subjektu údajů mezi správcem a třetí osobou;

předání je nezbytné nebo se stává právně závazným z důvodů důležitého veřejného zájmu 22 nebo pro zjištění, výkon nebo obranu právních nároků před soudem;

předání je nezbytné pro ochranu životně důležitých zájmů subjektu údajů;

k předání dochází z veřejného rejstříku, který je na základě právních předpisů určen pro informování veřejnosti a je přístupný veřejnosti nebo jakékoli osobě, která osvědčí svůj právní zájem, pokud jsou v daném případě splněny právní podmínky tohoto přístupu.

Tyto důvody stanoví výjimky z obecného zákazu předávání osobních údajů subjektům usazeným v třetí zemi bez odpovídající úrovně ochrany. Vývozce údajů ve skutečnosti nemusí zajistit, že dovozce údajů bude poskytovat odpovídající úroveň ochrany a obyčejně nebude muset získat předchozí autorizace pro předávání údajů od příslušných vnitrostátních orgánům. Vzhledem k jejich výjimečnému charakteru však má pracovní skupina zřízená podle článku 29 za to, že tyto výjimky je třeba vykládat striktně 23 .

Pracovní skupina zřízená podle článku 29 vydala několik nezávazných dokumentů s pokyny k uplatňování čl. 26 odst. 1 směrnice 95/46/ES 24 . Patří mezi ně „osvědčené postupy“, které mají být pro orgány pro ochranu údajů vodítkem při vymáhání práva 25 . Pracovní skupina konkrétně doporučuje, aby předávání osobních údajů, které lze charakterizovat jako opakované, hromadné nebo strukturované, bylo prováděno s dostatečnými ochrannými opatřeními a případně ve zvláštním právním rámci, jako je SSD nebo ZPP 26 .

V současném sdělení se Komise bude zabývat pouze těmi výjimkami, které se pro předávání údajů v obchodním kontextu jeví po zrušení platnosti rozhodnutí o bezpečném přístavu za zvláště relevantní.

2.3.1. Předání nezbytná pro splnění smlouvy mezi subjektem údajů a správcem nebo pro splnění opatření přijatých před uzavřením smlouvy na žádost subjektu údajů (čl. 26 odst. 1 písm. b))

Tato výjimka může být použitelná například v kontextu hotelové rezervace nebo když je do třetí země předávána platební informace k provedení platebního převodu. V každém z těchto případů však pracovní skupina zřízená podle článku 29 má za to, že musí existovat „těsné a silné propojení“, „přímá a objektivní vazba“ mezi subjektem údajů a účelem smlouvy nebo opatření přijatého před uzavřením smlouvy (test nezbytnosti) 27 . Výjimku rovněž nelze použít na předávání dalších informací, které nejsou nezbytné pro účely předávání, nebo předávání pro účely jiné než plnění smlouvy (například následný marketing) 28 . Pokud jde o opatření přijatá před uzavřením smlouvy, pracovní skupina zřízená podle článku 29 zastávala stanovisko, že se vztahuje pouze na kontakty iniciované subjektem údajů (například žádost o informace o konkrétní službě), avšak nikoliv na ty vyplývající z marketingových přístupů učiněných správcem údajů 29 .

2.3.2. Předání nezbytná pro uzavření nebo plnění smlouvy, která byla uzavřena nebo která má být uzavřena v zájmu subjektu údajů mezi správcem nebo třetí osobou (čl. 26 odst. 1 písm. c))

Tato výjimka může být použitelná například v případě, když je subjekt údajů příjemce u mezinárodního bankovního převodu, nebo když cestovní agentura zasílá podrobné informace pro rezervaci letu leteckému dopravci. Znovu platí test nezbytnosti a v tomto případě je nutná těsná a silná vazba mezi zájmem subjektu údajů a účelem sledovaným smlouvou.

2.3.3. Předání nezbytná nebo právně závazná pro zjištění, výkon nebo obranu právních nároků (čl. 26 odst. 1 písm. d))

Tato výjimka může být použitelná například v případě, že společnost potřebuje předávat údaje, aby se bránila proti právnímu nároku, nebo aby uplatnila takový nárok u soudu nebo veřejného orgánu. Shodně jako u předchozích dvou výjimek platí pro ni test nezbytnosti 30 : měla by existovat těsná spojitost se soudním sporem nebo soudním (případně správním) řízením.

Podle pracovní skupiny zřízené podle článku 29 lze výjimku použít, pouze pokud je předávání v souladu s mezinárodními pravidly spolupráce v trestních nebo občanských řízeních upravujících daný druh předávání, zejména pakliže vycházejí z ustanovení Haagské úmluvy ze dne 18. března 1970 (Úmluva „o provádění důkazů“) 31 .

2.3.4. Nepochybné předchozí udělení souhlasu s předpokládaným předáním subjektem údajů (čl. 26 odst. 1 písm. a))

I když lze souhlas použít jako základ pro předávání údajů, je třeba zohlednit řadu věcí. Jelikož souhlas musí být udělen „navrhovanému“ předání údajů, vyžaduje to předchozí souhlas ke konkrétnímu předání (nebo konkrétní kategorii předávání). V případě, že souhlas je žádán online, doporučila pracovní skupina zřízená podle článku 29 používat spíše políčka, jež se mají zaškrtnout (nežli již předem zaškrtnutá políčka) 32 . Protože souhlas musí být jednoznačný, jakékoliv pochyby o jeho udělení by zneplatnily použití výjimky. To bude pravděpodobně znamenat, že v mnoha situacích, kdy souhlas je v nejlepším případě implikovaný (například protože jednotlivec si byl předávání údajů vědom a nenapadl ho), se nekvalifikuje. Obráceně výjimku lze použít, když předávající subjekt je v přímém kontaktu se subjektem údajů, nezbytné informace lze snadno poskytnout a jednoznačný souhlas získat 33 .

Podle čl. 2 písm. h) směrnice 95/46/ES navíc musí být souhlas svobodný, výslovný a vědomý. Podle pracovní skupiny zřízené podle článku 29 znamená první požadavek, že jakýkoliv „tlak“ činí souhlas neplatným. Toto zejména platí v oblasti zaměstnávání, kde vztahy podřízenosti a inherentní závislosti zaměstnanců obvykle zpochybní platnost souhlasu 34 . Obecněji souhlas udělený subjektem údajů, který neměl možnost učinit skutečnou volbu nebo byl postaven před hotovou věc, nelze považovat za platný 35 .

Velice důležité je, aby byl subjekt údajů řádně informován předem, že údaje mohou být předávány mimo EU, do které třetí země a za jakých podmínek (účel, totožnost a podrobné informace o příjemci (příjemcích) atd.). Tyto informace by se měly zabývat zvláštním rizikem, že údaje subjektu údajů budou předávány třetí zemi, která nemá odpovídající úroveň ochrany 36 . Navíc jak zdůraznila pracovní skupina zřízená podle článku 29, zpětvzetí souhlasu subjektem údajů, by mělo v zásadě zabránit dalšímu zpracování osobních údajů, nikoliv avšak retroaktivně 37 . S ohledem na tato omezení zastává pracovní skupina zřízená podle článku 29 názor, že není pravděpodobné, že by souhlas poskytoval správcům údajů odpovídající dlouhodobý rámec pro strukturální předávání 38 .

2.4. Shrnutí ohledně alternativních základů pro předávání osobních údajů

Z výše uvedeného vyplývá, že společnosti mohou používat řadu různých alternativních nástrojů pro mezinárodní předávání údajů do třetích zemí, které se nepovažují za země s dostatečnou úrovní ochrany ve smyslu čl. 25 odst. 2 směrnice 95/46/ES. Po rozsudku Schrems pracovní skupina zřízená podle článku 29 zejména objasnila, že pro předávání údajů do Spojených států lze používat SSD a ZPP v mezidobí, kdy jej podrobuje svému posouzení, aniž by tím byly dotčeny pravomoci orgánů pro ochranu údajů vyšetřovat jednotlivé případy 39 . Podniky reagovaly na rozsudek různě, například i využíváním těchto alternativních nástrojů pro svá předávání údajů 40 .

Je však nutné vyzdvihnout dvě důležité podmínky. Za prvé je třeba připomenout, že bez ohledu na použitý právní základ lze zákonně předávat údaje do třetí země, pouze pokud údaje byly původně shromážděny a dále zpracovávány správcem údajů usazeným v EU v souladu s platnými vnitrostátními právními předpisy provádějícími směrnici 95/46/ES. Směrnice výslovně uvádí, že zpracovávání prováděné před předáním, jakož i samotné předání musí být zcela v souladu s pravidly přijatými členskými státy podle ostatních ustanovení směrnice 41 . Za druhé, jestliže Komise neshledala, že existuje odpovídající úroveň ochrany, mají správci odpovědnost zajistit, že k předávání údajů dochází s dostatečnými ochrannými opatřeními v souladu s čl. 26 odst. 2 směrnice. Toto posouzení musí být provedeno ve světle všech okolností daného předávání údajů. Jak SSD, tak i ZPP zejména stanoví, že pokud má dovozce údajů důvody domnívat se, že právní předpisy platné v zemi příjemce mohou zabránit ve splnění jeho povinností, musí urychleně informovat vývozce údajů v EU. V takové situaci je na vývozci údajů, aby zvážil přijetí odpovídajících nutných opatření pro zajištění ochrany osobních údajů 42 . Tato opatření mohou jít od technických, organizačních, obchodních nebo právních nebo jiných opatření 43 až k možnosti pozastavit předávání či ukončit smlouvu. Při zohlednění všech okolností konkrétního předávání údajů budou muset vývozci údajů pro účely splnění požadavků čl. 26 odst. 2 směrnice tedy možná zavést další ochranná opatření doplňující opatření vyplývající z platných právních základů pro předávání údajů.

Dodržování těchto požadavků posuzuje v konkrétním případě v konečném důsledku orgán pro ochranu údajů v rámci jeho dozorčích a donucovacích funkcí, včetně v souvislosti se schvalováním smluvních ujednání a ZPP nebo na základě individuálních stížností. Jelikož některé orgány pro ochranu údajů vyjádřily obavy ohledně možnosti používat pro transatlantický tok údajů nástroje pro předávání, jako je SSD a ZPP 44 , v prohlášení vydaném po rozsudku Schrems pracovní skupina zřízená podle článku 29 oznámila, že bude pokračovat v analýze dopadu rozsudku Schrems na další nástroje pro předávání 45 . Nejsou tím dotčeny pravomoci orgánů pro ochranu údajů vyšetřovat konkrétní případy a vykonávat své pravomoci za účelem ochrany jednotlivců.

3. Důsledky rozsudku Schrems pro rozhodnutí o odpovídající úrovni ochrany

Ve svém rozsudku Soudní dvůr nezpochybnil pravomoci Komise podle čl. 25 odst. 6 směrnice 95/46/ES zjistit, zda třetí země zajišťuje odpovídající úroveň ochrany, pokud jsou dodrženy požadavky stanovené soudem. V souladu s těmito požadavky návrh obecného nařízení o ochraně údajů z roku 2012 46 , kterým má být nahrazena směrnice 95/46/ES, dále objasňuje a rozvádí podmínky, za nichž lze přijmout rozhodnutí o odpovídající úrovni ochrany. V rozhodnutí Schrems soud rovněž objasnil, že v případě, kdy Komise přijme rozhodnutí o odpovídající úrovni ochrany, je toto závazné pro všechny členské státy a jejich orgány, včetně orgánů pro ochranu údajů, do doby, než je toto rozhodnutí vzato zpět, zrušeno nebo prohlášeno za neplatné Soudním dvorem, kterým má v dané souvislosti výlučnou příslušnost. Orgány pro ochranu údajů zůstávají příslušné přezkoumávat žádosti ve smyslu čl. 28 odst. 4 směrnice 95/46/ES, zda předávání údajů vyhovuje podmínkám stanoveným směrnicí (jak je vykládá Soudní dvůr), avšak nemohou učinit konečné zjištění. Členské státy však musí mít možnost obrátit se s věcí na vnitrostátní soud, který se následně může obrátit na Soudní dvůr s žádostí o rozhodnutí o předběžné otázce podle článku 27 Smlouvy o fungování Evropské unie (SFEU).

Soudní dvůr navíc výslovně potvrdil, že používání systému autocertifikace třetí zemí (jak je tomu v případě zásad o bezpečném přístavu) nevylučuje zjištění o dostatečné úrovni ochrany podle čl. 25 odst. 6 směrnice 95/46/ES, pokud existují účinné mechanismy dozoru a kontroly umožňující v praxi odhalovat a postihovat jakákoliv porušení pravidel ochrany údajů.

Vzhledem k tomu, že rozhodnutí o bezpečném přístavu v tomto ohledu neobsahuje dostatečná zjištění, prohlásil jej Soudní dvůr za neplatné. Je proto jasné, že údaje mezi EU a Spojenými státy již nemohou být předávány na tomto základě, tj. výlučně na základě přistoupení k zásadám bezpečného přístavu. Jelikož je v zásadě zakázáno předávat údaje do třetí země, která neposkytuje dostatečnou úroveň ochrany (nebo to přinejmenším nebylo zjištěno rozhodnutím Komise podle čl. 25 odst. 6 směrnice 95/46/ES) 47 , bude takové předávání údajů zákonné, pouze pokud se vývozce údajů může spolehnout na jeden z alternativních nástrojů popsaných v části 2 výše. Při neexistenci rozhodnutí o odpovídající úrovni ochrany je odpovědností vývozce údajů – pod kontrolou orgánu pro ochranu údajů – , aby byly splněny podmínky pro uplatnění (jednoho) z těchto nástrojů, pokud jde o konkrétní předávání údajů.

Působnost tohoto rozsudku se omezuje na rozhodnutí Komise o bezpečném přístavu. Každé z dalších rozhodnutí o odpovídající úrovni ochrany 48 však obsahuje omezení pravomocí orgánů pro ochranu údajů, které je totožné s článkem 3 rozhodnutí o bezpečném přístavu, jejž Soudní dvůr shledal neplatným 49 . Komise nyní vyvodí z rozsudku nezbytné závěry a v brzké době připraví rozhodnutí, které bude přijato v souladu s platným postupem projednání ve výborech a které nahradí toto ustanovení ve všech existujících rozhodnutích o odpovídající úrovni ochrany. Komise se rovněž zapojí do pravidelného posuzování existujících a budoucích rozhodnutí o odpovídající úrovni ochrany, včetně pravidelných společných přezkumů jejich fungování spolu s příslušnými orgány daných třetích zemí.

4. Závěr

Jak potvrdila pracovní skupina zřízená podle článku 29, společnosti mohou stále používat alternativní nástroje pro zákonné předávání údajů do třetích zemí, jako jsou Spojené státy. Komise však má za to, že je klíčovou prioritou obnovený a řádný rámec pro předávání osobních údajů do Spojených států. Takový rámec je nejkomplexnějším řešením pro zajištění účinné kontinuity ochrany osobních údajů evropských občanů, jsou-li tyto údaje předávány do Spojených států. Přináší rovněž nejlepší řešení pro transatlantický obchod, neboť nabízí jednodušší, méně zatěžující a tudíž i levnější mechanismus předávání, zejména pro malé a střední podniky.

Komise již v roce 2013 zahájila jednání s vládou Spojených států o nové úpravě transatlantického předávání údajů založené na svých 13 doporučeních 50 . Došlo ke značnému pokroku ve slaďování stanovisek obou stran, například ohledně: důkladnějšího monitorování a prosazování zásad bezpečného přístavu ze strany ministerstva obchodu USA a Federální obchodní komise USA, větší transparentnosti pro spotřebitele, pokud jde o jejich práva na ochranu údajů, snazších a levnějších prostředků právní ochrany v případě stížností a jasnějších pravidel pro další předávání od společností bezpečného přístavu společnostem mimo bezpečný přístav (např. pro účely zpracování nebo dílčího zpracování). Nyní po prohlášení rozhodnutí o bezpečném přístavu za neplatné Komise zintenzívnila rozhovory s vládou USA, aby zajistila, že je vyhověno právním požadavkům formulovaným soudem. Cílem Komise je uzavřít tyto diskuse a dosáhnout tohoto cíle do tří měsíců.

Do doby, než bude zaveden nový transatlantický rámec, musí společnosti spoléhat na alternativní nástroje, které jsou k dispozici. Tato varianta však zahrnuje odpovědnosti pro vývozce údajů pod dohledem orgánů pro ochranu údajů.

Na rozdíl od situace, kdy Komise shledala, že třetí země zajišťuje odpovídající úroveň ochrany údajů, na kterou se mohou vývozci údajů spolehnout pro účely předávání údajů z EU, zůstávají vývozci údajů odpovědní za ověření, že jsou osobní údaje účinně chráněny při používání alternativních nástrojů. To může v případě nutnosti zahrnovat přijetí odpovídajících opatření.

Orgány pro ochranu údajů hrají v tomto ohledu hlavní roli. Jakožto hlavní prosazovatelé základních práv subjektů údajů jsou orgány pro ochranu údajů při plné nezávislosti odpovědné za dozor nad předáváním údajů z EU do třetích zemí, k čemuž jsou vybaveny příslušnými pravomocemi. Komise vyzývá správce údajů ke spolupráci s orgány pro ochranu údajů, a tím jim pomoci k účinnému plnění jejich úlohy dozoru. Komise bude i nadále úzce spolupracovat s pracovní skupinou zřízenou podle článku 29 na zajištění jednotného uplatňování práva EU na ochranu údajů.

(1)

     Rozsudek ze dne 6. října 2015 ve věci C-362/14 Maximilian Schrems v. komisař pro ochranu údajů, EU:C:2015:650 (dále rovněž: „rozsudek“ nebo „rozhodnutí Schrems“).

(2)

     Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, Úř. věst. L 281, 23.11.1995, s. 31 (dále jen: „směrnice 95/46/ES“ nebo „směrnice“).

(3)

     Pro účely tohoto sdělení pokrývá pojem „EU“ rovněž „EHP“. Proto odkazy na „členské státy“ je třeba chápat tak, že pokrývají rovněž „členské státy EHP“.

(4)

     Pro podrobnější přehled ujednání o bezpečném přístavu viz sdělení Komise Evropskému Parlamentu a Radě o fungování „bezpečného přístavu“ z pohledu občanů EU a společností usazených v EU, COM/2013/0847/final.

(5)

     Sdělení Komise Evropskému Parlamentu a Radě o fungování „bezpečného přístavu“ z pohledu občanů EU a společností usazených v EU, COM(2013) 0847 final, 27.11.2013. Viz rovněž sdělení Komise Evropskému parlamentu a Radě „Obnovení důvěry v toky údajů mezi EU a USA“, COM(2013) 846 final, 27.11.2013 a související memorandum „Obnovení důvěry v toky údajů mezi EU a USA – často kladené otázky“, MEMO/13/1059, 27.11.2013.

(6)

     Zástupci odvětvových sdružení zmínili tyto obavy mimo jiné na schůzce zorganizované krátce po rozsudku Schrems dne 14. října místopředsedou Ansipem a komisařkou Jourovou a komisařem Oettingerem. Viz denní novinky 14.10.2015 (MEX/15/5840). Viz rovněž: „Otevřený dopis o provádění rozsudku SDEU ve věci C-362/14 Maximillian Schrems v. komisař pro ochranu údajů“ ze dne 13. října 2015 adresovaný předsedovi Komise Jean-Claudu Junckerovi a podepsaný řadou odvětvových sdružení a společností z EU a USA: http://www.digitaleurope.org/DesktopModules/Bring2mind/DMX/Download.aspx?Command=Core_Download&EntryId=1045&PortalId=0&TabId=353

(7)

     Prohlášení pracovní skupiny zřízené podle článku 29 k dispozici na internetu: http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151016_wp29_statement_on_schrems_judgement.pdf

(8)

     Viz článek 8 Listiny základních práv EU a s čl. 16 odst. 2 SFEU. Tuto nezávislost soud rovněž zdůraznil v rozsudku Schrems.

(9)

     Viz pracovní skupina zřízená podle článku 29, „Předávání osobních údajů do třetích zemí: uplatňování článků 25 a 26 směrnice EU o ochraně údajů“ (WP 12), 24. července 1998, s. 16.

(10)

     Rozhodnutí Komise 2001/497/ES ze dne 15. června 2001 o standardních smluvních doložkách pro předávání osobních údajů do třetích zemí podle směrnice 95/46/ES, Úř. věst. L 181, 4.7.2001, s. 19 a rozhodnutí Komise 2004/915/ES ze dne 27. prosince 2004, kterým se mění rozhodnutí 2001/497/ES, pokud jde o zavedení alternativního souboru standardních smluvních doložek pro předávání osobních údajů do třetích zemí, Úř. věst. L 385, 29.12.2004, s. 74.

(11)

     Rozhodnutí Komise 2002/16/ES ze dne 27. prosince 2001 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle směrnice Evropského parlamentu a Rady 95/46/ES, Úř. věst. L 6, 10.1.2002, s. 52 a rozhodnutí Komise 2010/87/EU ze dne 5. února 2010 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle směrnice Evropského parlamentu a Rady 95/46/ES, Úř. věst. L 39, 12.2.2010, s. 5 Předchozí rozhodnutí, které bylo nahrazeno pozdějším, se použije pouze pro smlouvy uzavřené před 15. květnem 2010.

(12)

     Viz například šestý bod odůvodnění rozhodnutí Komise 2004/915/ES a doložka V jeho přílohy; doložka 7 přílohy rozhodnutí Komise 2010/87/EU.

(13)

     Je třeba připomenout, že návrh obecného nařízení o ochraně údajů (COM(2012) 11 final) předpokládá, že předávání údajů založené na SSD nebo ZPP, pokud byly přijaty Komisí, nebo v souladu s plánovaným mechanismem jednotnosti, nevyžaduje žádnou další autorizaci.

(14)

     Použití SSD však nebrání stranám, aby se dohodly na přidání dalších doložek, pokud tyto doložky přímo či nepřímo neodporují doložkám schváleným Komisí nebo základním právům a svobodám subjektů údajů. Viz Evropská komise „Často kladené otázky v souvislosti s předáváním osobních údajů z EU/EHP do třetích zemí“, (FAQ B.1.9), s. 28 (k dispozici na internetu na: http://ec.europa.eu/justice/policies/privacy/docs/international_transfers_faq/international_transfers_faq.pdf).

(15)

Pokud má orgán pro ochranu údajů pochyby o slučitelnosti SSD s požadavky směrnice, měl by se obrátit na vnitrostátní soud, který může následně podat žádost o rozhodnutí o předběžné otázce k Soudnímu dvoru (viz body 51, 52, 64 a 65 rozsudku Schrems).

(16)

     Pracovní skupina zřízená podle článku 29 vytvořila zvláštní postup spolupráce mezi orgány pro ochranu údajů pro schvalování smluvních doložek, které hodlá společnost používat v různých členských státech. Viz pracovní skupina zřízená podle článku 29, „Pracovní dokument, kterým se vytváří postup spolupráce při vydávání společných stanovisek k „smluvním doložkám“ považovaným za vyhovující vzorové doložce EK“ (WP 226), 26. listopadu 2014. Viz rovněž doložka VII přílohy rozhodnutí Komise 2004/915/ES a doložka 10 přílohy rozhodnutí Komise 2010/87/EU.

(17)

     Viz pracovní skupina zřízená podle článku 29, „Pracovní dokument, kterým se vytváří postup spolupráce při vydávání společných stanovisek k „smluvním doložkám“ považovaným za vyhovující vzorové doložce EK“ (WP 226), 26. listopadu 2014, s. 2.

(18)

     Viz pracovní skupina zřízená podle článku 29, „Pracovní dokument o vytvoření tabulky s prvky a zásadami, které mají být obsaženy v závazných podnikových pravidlech“ (WP 153), 24. června 2008; „Pracovní dokument o vytvoření rámce pro strukturu závazných podnikových pravidel“ (WP 154), 24. června 2008 a „Pracovní dokument o často kladených otázkách (FAQs) k závazným podnikovým pravidlům“ (WP 155), 24. června 2008.

(19)

     Pracovní skupina zřízená podle článku 29, „Standardní žádost o schválení závazných podnikových pravidel pro předávání osobních údajů“ (WP 133), 10. ledna 2007.

(20)

     Pracovní skupina zřízená podle článku 29, „Pracovní dokument o vytvoření postupu spolupráce při vydávání společných stanovisek týkajících se odpovídajících ochranných opatření vyplývajících ze „závazných podnikových pravidel““ (WP 107), 14. dubna 2005.

(21)

     Jak zdůraznila pracovní skupina zřízená podle článku 29, pokud další ustanovení směrnice 95/46/ES obsahují dodatečné požadavky relevantní pro používání těchto výjimek (například omezení v článku 8 u zpracovávání citlivých údajů), je třeba je dodržovat. Viz pracovní skupina zřízená podle článku 29, „Pracovní dokument o společném výkladu čl. 26 odst. 1 směrnice 95/46/ES ze dne 24. října 1995“ (WP 114), 25. listopadu 2005, s. 8. Viz rovněž Evropská komise „Často kladené otázky v souvislosti s předáváním osobních údajů z EU/EHP do třetích zemí“, (FAQ D.2), s. 50.

(22)

     To může zahrnovat například předávání údajů mezi daňovými a celními orgány, nebo orgány příslušnými v oblasti sociálního zabezpečení (viz 58. bod odůvodnění směrnice 95/46/ES). Tato výjimka může rovněž být využita pro předávání mezi orgány dozoru v oblasti finančních služeb. Viz pracovní skupina zřízená podle článku 29, „Pracovní dokument: Předávání osobních údajů do třetích zemí: uplatňování článků 25 a 26 směrnice EU o ochraně údajů“ (WP 12), 24. července 1998, s. 25.

(23)

     Pracovní skupina zřízená podle článku 29, „Pracovní dokument o společném výkladu čl. 26 odst. 1 směrnice 95/46/ES ze dne 24. října 1995“ (WP 114), 25. listopadu 2005, s. 7-17.

(24)

     Viz pracovní skupina zřízená podle článku 29, „Pracovní dokument: Předávání osobních údajů do třetích zemí: uplatňování článků 25 a 26 směrnice EU o ochraně údajů“ (WP 12), 24. července 1998: 25. „Pracovní dokument o společném výkladu čl. 26 odst. 1 směrnice 95/46/ES ze dne 24. října 1995“ (WP 114), 25. listopadu 2005. Viz rovněž Evropská komise „Často kladené otázky v souvislost předáváním osobních údajů z EU/EHP do třetích zemí“, (FAQ D.1 až D.9), s. 48-54.

(25)

     Pracovní skupina zřízená podle článku 29, „Pracovní dokument o společném výkladu čl. 26 odst. 1 směrnice 95/46/ES ze dne 24. října 1995“ (WP 114), 25. listopadu 2005, s. 8-10.

(26)

     Pracovní skupina zřízená podle článku 29, „Pracovní dokument o společném výkladu čl. 26 odst. 1 směrnice 95/46/ES ze dne 24. října 1995“ (WP 114), 25. listopadu 2005, s. 9. Podle pracovní skupiny hromadné nebo opakované předávání lze provádět pouze na základě výjimky, jestliže v praxi není možné použít SSD nebo ZPP a jestliže jsou rizika pro subjekt údajů malá (např. mezinárodní převody peněz). Viz rovněž Evropská komise, „Často kladené otázky v souvislosti s předáváním osobních údajů z EU/EHP do třetích zemí“, (FAQ D.1), s. 49.

(27)

     Pracovní skupina zřízená podle článku 29, „Pracovní dokument o společném výkladu čl. 26 odst. 1 směrnice 95/46/ES ze dne 24. října 1995“ (WP 114), 25. listopadu 2005, s. 13. Viz rovněž „Stanovisko 6/2002 o předávání zjevných informací o cestujících a jiných údajů od leteckých společností Spojeným státům“ (WP 66), 24. října 2002.

(28)

     Pracovní skupina zřízená podle článku 29, „Pracovní dokument: Předávání osobních údajů do třetích zemí: uplatňování článků 25 a 26 směrnice EU o ochraně údajů“ (WP 12), 24. července 1998, s. 24. „Pracovní dokument o společném výkladu čl. 26 odst. 1 směrnice 95/46/ES ze dne 24. října 1995“ (WP 114), 25. listopadu 2005, s. 13.

(29)

     Pracovní skupina zřízená podle článku 29, „Pracovní dokument: Předávání osobních údajů do třetích zemí: uplatňování článků 25 a 26 směrnice EU o ochraně údajů“ (WP 12), 24. července 1998, s. 24.

(30)

     Pracovní skupina zřízená podle článku 29, „Pracovní dokument o společném výkladu čl. 26 odst. 1 směrnice 95/46/ES ze dne 24. října 1995“ (WP 114), 25. listopadu 2005, s. 15. Například v kontextu zaměstnávání nelze výjimku použít pro předávání záznamů o všech zaměstnancích mateřské společnosti usazené ve třetí zemi z důvodů možných budoucích právních sporů.

(31)

     Úmluva o provádění důkazů v cizině ve věcech občanských a obchodních, otevřena k podpisu, 18. března 1970, U.S.T. 2555, 847 U.N.T.S. 241. Tato úmluva se například vztahuje na zpřístupňování důkazů před řízením nebo žádosti justičního orgánu jednoho státu k příslušnému orgánu druhého státu o provedení dokazování pro jejich použití v soudním řízení v dožádaném státu.

(32)

     Pracovní skupina zřízená podle článku 29, „Pracovní dokument o společném výkladu čl. 26 odst. 1 směrnice 95/46/ES ze dne 24. října 1995“ (WP 114), 25. listopadu 2005, s. 10 s odkazem na „Stanovisko 5/2004 o nevyžádaných sděleních přímého marketingu podle článku 13 směrnice 2002/58/ES“ (WP 90), 27. února 2004, bod 3.2.

(33)

     Pracovní skupina zřízená podle článku 29, „Pracovní dokument: Předávání osobních údajů do třetích zemí: uplatňování článků 25 a 26 směrnice EU o ochraně údajů“ (WP 12), 24. července 1998, s. 24.

(34)

     Pracovní skupina zřízená podle článku 29, „Stanovisko 8/2001 o zpracování osobních údajů v souvislosti se zaměstnáváním“ (WP 48), 13. září 2001, s. 3, 23 a 26. Podle pracovní skupiny by se mělo spoléhání na souhlas omezit na případy, kde pracovník má skutečnou svobodnou volbu a je následně schopen vzít souhlas zpět, aniž by mu to bylo na újmu. Viz rovněž pracovní skupina zřízená podle článku 29, „Pracovní dokument o společném výkladu čl. 26 odst. 1 směrnice 95/46/ES ze dne 24. října 1995“ (WP 114), 25. listopadu 2005, s. 11.

(35)

     Pracovní skupina zřízená podle článku 29, „Pracovní dokument o společném výkladu čl. 26 odst. 1 směrnice 95/46/ES ze dne 24. října 1995“ (WP 114), 25. listopadu 2005, s. 11. Viz rovněž „Stanovisko 6/2002 o předávání zjevných informací o cestujících a jiných údajů od leteckých společností Spojeným státům“ (WP 66), 24. října 2002.

(36)

     Pracovní skupina zřízená podle článku 29, „Pracovní dokument: Předávání osobních údajů do třetích zemí: uplatňování článků 25 a 26 směrnice EU o ochraně údajů“ (WP 12), 24. července 1998, s. 24.

(37)

      Pracovní skupina zřízená podle článku 29, „ Stanovisko 15/2011 o definici souhlasu“ (WP 187), 13. července 2011, s. 9.

(38)

     Pracovní skupina zřízená podle článku 29, „Pracovní dokument o jednotném výkladu čl. 26 odst. 1 směrnice 95/46/ES ze dne 24. října 1995“ (WP 114), 25. listopadu 2005, s. 11.

(39)

     Viz prohlášení pracovní skupiny zřízené podle článku 29 ze dne 16. října 2015 (poznámka pod čarou číslo 8 výše).

(40)

Řada nadnárodních společností deklarovala, že pro své předávání údajů do Spojených států používají alternativní nástroje. Viz například prohlášení společnosti Microsoft (http://blogs.microsoft.com/on-the-issues/2015/10/06/a-message-to-our-customers-about-eu-us-safe-harbor/) nebo Salesforce (http://www.salesforce.com/company/privacy/data-processing-addendum-faq.jsp). Jiné společnosti ze Spojených států, jako například Oracle, prohlásily, že umožní cloudovým zákazníkům, aby mohli ukládat své údaje v Evropě a nemuseli je zasílat pro ukládání jinam: http://www.irishtimes.com/business/technology/oracle-keeps-european-data-within-its-eu-based-data-centres-1.2408505?mode=print&ot=example.AjaxPageLayout.ot

(41)

     Viz 60. bod odůvodnění a čl. 25 odst. 1 směrnice 95/46/ES.

(42)

     Viz doložka 5 přílohy rozhodnutí Komise 2010/87/EU a pracovní skupina zřízená podle článku 29, „Pracovní dokument vytvářející rámec pro strukturu závazných korporátních pravidel“ (WP 154), 24. červen 2008, s. 8.

(43)

Viz například pokyny Agentury Evropské unie pro bezpečnost sítí a informací (ENISA).
https://resilience.enisa.europa.eu/article-13/guideline-for-minimum-security-measures/Article_13a_ENISA_Technical_Guideline_On_Security_Measures_v2_0.pdf.

(44)

     Viz například písemné stanovisko vydané německými orgány na ochranu údajů na konferenci o ochraně údajů na úrovni spolkové a zemské dne 26. října 2015:https://www.datenschutz.hessen.de/ft-europa.htm#entry4521. Stanovisko zdůrazňuje, že rozsudek Schrems obsahuje „přísné hmotněprávní požadavky“, které Komise i orgány pro ochranu údajů musí dodržovat, a indikuje, že německé orgány pro ochranu údajů budou posuzovat zákonnost předávání údajů založeného na alternativních nástrojích (SSD a ZPP) a že již nemohou udělit nové autorizace pro používání těchto nástrojů. Souběžně jednotlivé německé orgány pro ochranu údajů vydaly jasné varování, že alternativní nástroje pro předávání jsou nyní předmětem právního přezkumu. Viz například písemné stanovisko vydané orgánem pro ochranu údajů Šlesvicka-Holštýnska:https://www.datenschutzzentrum.de/artikel/981-ULD-Position-Paper-on-the-Judgment-of-the-Court-of-Justice-of-the-European-Union-of-6-October-2015,-C-36214.html a Porýní-Falce: https://www.datenschutz.rlp.de/de/aktuell/2015/images/20151026_Folgerungen_des_LfDI_RLP_zum_EuGH-Urteil_Safe_Harbor.pdf.

(45)

     Viz prohlášení pracovní skupiny zřízené podle článku 29 ze dne 16. října 2015 (poznámka pod čarou číslo 8 výše).

(46)

     Evropská komise, návrh nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně údajů). Viz rovněž Evropský parlament, legislativní usnesení ze dne 12. března 2014 k návrhu nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně údajů), COM(2012)0011 – C7-0025/2012 – 2012/0011(COD); Rada, návrh nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně údajů), příprava obecného přístupu, 9565/15, Návrh je v současnosti v závěrečné fázi legislativního procesu.

(47)

     Viz 57. bod odůvodnění směrnice 95/46/ES.

(48)

     V současnosti byla přijata rozhodnutí o odpovídající úrovni ochrany týkající se těchto zemí: Andorra, Argentina, Kanada, Faerské ostrovy, Guernsey, Ostrov Man, Izrael, Jersey, Nový Zéland, Švýcarsko a Uruguay. Viz: http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm.

(49)

     Viz body 99–104 rozsudku Schrems.

(50)

     Viz poznámka pod čarou 4.