EURÓPSKA KOMISIA

V Bruseli6. 11. 2015

COM(2015) 566 final

OZNÁMENIE KOMISIE EURÓPSKEMU PARLAMENTU A RADE

o prenose osobných údajov z EÚ do Spojených štátov amerických podľa smernice 95/46/ES v nadväznosti na rozsudok Súdneho dvora vo veci C-362/14 (Schrems)

OZNÁMENIE KOMISIE EURÓPSKEMU PARLAMENTU A RADE

o prenose osobných údajov z EÚ do Spojených štátov amerických podľa smernice 95/46/ES v nadväznosti na rozsudok Súdneho dvora vo veci C-362/14 (Schrems)

1. Úvod: Zrušenie rozhodnutia o bezpečnom prístave

Súdny dvor Európskej únie (ďalej len „Súdny dvor“ alebo „Súd“) vo svojom rozhodnutí zo 6. októbra 2015 vo veci C-362/14 (Schrems) 1 potvrdzuje význam základného práva na ochranu osobných údajov, ako je zakotvené v Charte základných práv Európskej únie, vrátane prípadov, keď sa takéto údaje prenášajú mimo EÚ.

Prenosy osobných údajov sú základným prvkom transatlantických vzťahov. EÚ a Spojené štáty sú vzájomne najdôležitejšími obchodnými partnermi a prenosy údajov sa čoraz častejšie stávajú neoddeliteľnou súčasťou ich obchodných výmen.

S cieľom uľahčiť tieto toky údajov a zároveň zabezpečiť vysokú úroveň ochrany osobných údajov Komisia uznala primeranosť systému bezpečného prístavu prijatím rozhodnutia Komisie 2000/520/ES z 20. júla 2000 (ďalej len „rozhodnutie o bezpečnom prístave“). Komisia v tomto rozhodnutí na základe článku 25 ods. 6 smernice 95/46/ES 2 uznala, že zásady bezpečného prístavu a sprievodné často kladené otázky, ktoré vydalo Ministerstvo obchodu Spojených štátov, poskytujú primeranú ochranu na účely prenosov osobných údajov z EÚ 3 . Osobné údaje sa preto mohli neobmedzene prenášať z členských štátov EÚ do spoločností v Spojených štátoch, ktoré sa zaviazali tieto zásady dodržiavať, a to aj napriek tomu, že v Spojených štátoch neexistuje všeobecný zákon o ochrane osobných údajov. Fungovanie režimu bezpečného prístavu vychádzalo zo záväzkov a samocertifikácie spoločností, ktoré sa ním riadili. Hoci je dodržiavanie zásad bezpečného prístavu a často kladených otázok dobrovoľné, tieto pravidlá sú podľa práva USA záväzné pre tie subjekty, ktoré sa ich zaviazali dodržiavať, a sú vymožiteľné Federálnou obchodnou komisiou 4 .

Súd vo svojom rozsudku zo 6. októbra 2015 vyhlásil rozhodnutie o bezpečnom prístave za neplatné. Práve preto je cieľom tohto oznámenia poskytnúť prehľad alternatívnych nástrojov na transatlantické prenosy údajov podľa smernice 95/46/ES v situácii, keď neexistuje rozhodnutie o primeranosti. V tomto oznámení sa tiež stručne opisujú dôsledky rozsudku pre ďalšie rozhodnutia Komisie o primeranosti. Súd vo svojom rozsudku objasnil, že rozhodnutie o primeranosti podľa článku 25 ods. 6 smernice 95/46/ES je podmienené zistením Komisie, že v príslušnej tretej krajine existuje úroveň ochrany osobných údajov, aj keď nie nevyhnutne rovnaká, je „v podstate rovnocenná“ úrovni ochrany zaručenej v rámci EÚ podľa smernice 95/46 v spojení s Chartou základných práv EÚ. Pokiaľ ide konkrétne rozhodnutie o bezpečnom prístave, Súd rozhodol, že rozhodnutie neobsahovalo dostatočné zistenia Komisie týkajúce sa obmedzení, pokiaľ ide o prístup verejných orgánov USA k údajom prenášanými podľa tohto rozhodnutia, a existencie účinnej právnej ochrany pred zásahmi tohto druhu. Súd konkrétne spresnil, že právnu úpravu umožňujúcu orgánom verejnej moci všeobecný prístup k obsahu elektronických komunikácií treba považovať za právnu úpravu, ktorá zasahuje do podstaty obsahu základného práva na rešpektovanie súkromného života. Navyše Súdny dvor potvrdil, že aj keď existuje rozhodnutie o primeranosti podľa článku 25 ods. 6 smernice 95/46/ES, orgány členských štátov pre ochranu osobných údajov (DPA) sú naďalej oprávnené a povinné úplne nezávisle skúmať, či sú prenosy údajov do tretej krajiny v súlade s požiadavkami stanovenými v smernici 95/46/ES v spojení s článkami 7, 8 a 47 Charty základných práv Európskej únie. Súd dvor však zároveň potvrdil, že iba on môže vyhlásiť akt EÚ, akým je rozhodnutie Komisie o primeranosti, za neplatný.

Rozsudok Súdneho dvora vychádza z oznámenia Komisie z roku 2013 o fungovaní systému bezpečného prístavu z pohľadu občanov EÚ a spoločností usadených v EÚ 5 , v ktorom Komisia určila viacero nedostatkov a stanovila 13 odporúčaní. Na základe týchto odporúčaní Komisia od januára 2014 rokovala s orgánmi USA s cieľom zaviesť obnovený a posilnený systém transatlantickej výmeny údajov.

Po vydaní rozsudku Komisia naďalej podporuje cieľ obnoveného a stabilného rámca pre transatlantické prenosy osobných údajov. V tejto súvislosti okamžite obnovila a zintenzívnila svoje rokovania s vládou USA s cieľom zabezpečiť, aby bol akýkoľvek nový režim transatlantických prenosov osobných údajov v súlade s normami, ktoré stanovil Súdny dvor. Každý takýto systém preto musí mať dostatočné obmedzenia, záruky a mechanizmy súdneho preskúmania, aby sa zabezpečila nepretržitá ochrana osobných údajov občanov EÚ, a to aj pokiaľ ide o možný prístup orgánov verejnej moci na účely presadzovania práva a národnej bezpečnosti. Zástupcovia priemyslu medzičasom vyjadrili obavy, pokiaľ ide o možnosti pokračovania v prenosoch údajov 6 . Je preto potrebné objasniť, za akých podmienok môžu takéto prenosy pokračovať. To podnietilo pracovnú skupinu zriadenú podľa článku 29 – nezávislý poradný orgán, ktorého členmi sú zástupcovia všetkých orgánov členských štátov pre ochranu osobných údajov, ako aj európsky dozorný úradník pre ochranu údajov, – k tomu, aby 16. októbra vydala vyhlásenie 7 týkajúce sa prvých záverov, ktoré treba vyvodiť z uvedeného rozsudku. Toto vyhlásenie obsahovalo okrem iných bodov tieto usmernenia k prenosom údajov:

prenosy údajov sa už nemôžu zakladať na rozhodnutí Komisie o bezpečnom prístave, ktoré bolo vyhlásené za neplatné;

štandardné zmluvné doložky a záväzné firemné pravidlá sa medzitým môžu používať ako základ pre prenosy údajov, hoci pracovná skupina zriadená podľa článku 29 zároveň uviedla, že bude naďalej analyzovať vplyv rozsudku na tieto alternatívne nástroje.

Vo vyhlásení skupina vyzvala členské štáty a inštitúcie EÚ, aby začali diskusie s orgánmi USA s cieľom nájsť právne a technické riešenia prenosov údajov, pričom rokovania o novom systéme bezpečného prístavu by podľa pracovnej skupiny zriadenej podľa článku 29 mohli byť súčasťou tohto riešenia.

Pracovná skupina zriadená podľa článku 29 oznámila, že ak sa do konca januára 2016 nepodarí nájsť primerané riešenie s orgánmi USA, a v závislosti od posúdenia alternatívnych nástrojov na prenos údajov, orgány pre ochranu osobných údajov prijmú všetky potrebné a náležité opatrenia vrátane koordinovaných opatrení na presadzovanie práva.

Pracovná skupina zriadená podľa článku 29 zdôraznila, že orgány pre ochranu osobných údajov, inštitúcie EÚ, členské štáty a podniky nesú spoločnú zodpovednosť za nájdenie udržateľných riešení na vykonanie rozsudku Súdneho dvora. Pracovná skupina konkrétne vyzvala podniky, aby zvážili zavedenie akýchkoľvek právnych a technických riešení na zmiernenie všetkých možných rizík, ktorým čelia pri prenose údajov.

Cieľom tohto oznámenia je úplne nezávisle preskúmať zákonnosť takýchto prenosov bez toho, aby boli dotknuté právomoci a povinnosti orgánov pre ochranu osobných údajov 8 . Nestanovujú sa v ňom žiadne záväzné pravidlá a plne sa ním rešpektujú právomoci vnútroštátnych súdov vykladať platné právo a v prípade potreby podať na Súdnom dvore návrh na začatie prejudiciálneho konania. Toto oznámenie tiež nemôže byť základom pre žiadne individuálne ani kolektívne právne oprávnenia alebo nároky.

2. Alternatívne základy pre prenosy osobných údajov do USA

Pravidlá medzinárodných prenosov údajov stanovené v smernici 95/46/ES sa zakladajú na jasnom rozlišovaní medzi prenosmi do tretích krajín zabezpečujúcich primeranú úroveň ochrany (článok 25 smernice) na jednej strane a prenosmi do tretích krajín, pri ktorých nebola zistená schopnosť zabezpečiť primeranú úroveň ochrany (článok 26 smernice), na druhej strane.

V rozhodnutí vo veci Schrems sa skúmajú podmienky, za akých môže Komisia podľa článku 25 ods. 6 smernice 95/46/ES určiť, že tretia krajina poskytuje primeranú úroveň ochrany.

Ak sa zistí, že tretia krajina, do ktorej sa majú vyviezť osobné údaje z EÚ, nie je schopná zabezpečiť túto primeranú úroveň ochrany, v článku 26 smernice 95/46/ES sa stanovuje niekoľko alternatívnych dôvodov, na základe ktorých sa prenosy aj tak môžu uskutočniť. Prenosy sa konkrétne môžu uskutočniť vtedy, ak subjekt zodpovedný za stanovenie účelov a prostriedkov spracovania osobných údajov (tzv. prevádzkovateľ):

predložia primerané záruky v zmysle článku 26 ods. 2 smernice 95/46/ES, pokiaľ ide o ochranu súkromia a základných práv a slobôd jednotlivcov, ako aj pokiaľ ide o rešpektovanie výkonu týchto práv. Takéto záruky možno poskytnúť najmä prostredníctvom zmluvných doložiek, ktoré sú pre vývozcu a dovozcu údajov záväzné (pozri oddiely 2.1 a 2.2). Patria medzi ne štandardné zmluvné doložky, ktoré vydala Komisia, a, pokiaľ ide o prenosy medzi rôznymi subjektmi zo skupiny nadnárodných podnikov, záväzné firemné pravidlá, ktoré schválili orgány pre ochranu osobných údajov, alebo

uplatňuje jednu z výnimiek, ktoré sa výslovne uvádzajú v písmenách a) až f) článku 26 ods. 1 smernice 95/46/ES (pozri oddiel 2.3).

V porovnaní s rozhodnutiami o primeranosti, ktoré vyplývajú z celkového posúdenia systému danej tretej krajiny a môžu sa v zásade vzťahovať na všetky prenosy do tohto systému, tieto alternatívne základy pre prenosy majú užší rozsah pôsobnosti (keďže sa uplatňujú len na špecifické toky údajov) a širšie pokrytie (keďže sa nevyhnutne neobmedzujú na konkrétnu krajinu). Vzťahujú sa na toky údajov realizované konkrétnymi subjektmi, ktoré sa rozhodli využiť jednu z možností ponúkaných v článku 26 smernice 95/46/ES. Navyše, keď vývozcovia a dovozcovia údajov realizujú svoje prenosy na základe takýchto dôvodov, zodpovedajú za zabezpečenie toho, aby boli prenosy v súlade s požiadavkami stanovenými v smernici, keďže sa nemôžu spoliehať na zistenie primeranosti systému danej tretej krajiny, ktoré sa uvádza v rozhodnutí Komisie.

2.1. Zmluvné riešenia

Ako zdôraznila pracovná skupina zriadená podľa článku 29, s cieľom ponúknuť dostatočné záruky na účely článku 26 ods. 2 smernice 95/46/ES zmluvné doložky „musia dostatočne vyvažovať absenciu všeobecnej úrovne primeranej ochrany, a to zahrnutím základných prvkov ochrany, ktoré v danej konkrétnej situácii chýbajú“ 9 . S cieľom uľahčiť používanie týchto nástrojov pri medzinárodných prenosoch Komisia v súlade s článkom 26 ods. 4 smernice schválila štyri súbory štandardných zmluvných doložiek, ktoré sa považujú za doložky spĺňajúce požiadavky stanovené v článku 26 ods. 2 smernice. Dva súbory vzorových doložiek sa týkajú prenosov medzi prevádzkovateľmi 10 , zatiaľ čo zvyšné dva súbory vzorových doložiek sa týkajú prenosov medzi prevádzkovateľom a spracovateľom, ktorý koná podľa jeho pokynov 11 . V každom z týchto súborov vzorových doložiek sa stanovujú príslušné povinnosti vývozcov a dovozcov údajov. Patria medzi ne povinnosti týkajúce sa okrem iného bezpečnostných opatrení, informovania dotknutej osoby v prípade prenosu citlivých údajov, informovania vývozcu údajov o žiadostiach o prístup zo strany orgánov presadzovania práva tretích krajín alebo o akomkoľvek náhodnom alebo neoprávnenom prístupe, práv dotknutých osôb na prístup k ich osobným údajom a opravu a výmaz týchto údajov, ako aj pravidiel týkajúcich sa náhrad pre dotknuté osoby v prípade škody vyplývajúcej z porušenia štandardných zmluvných doložiek ktoroukoľvek stranou. Podľa vzorových doložiek sa takisto vyžaduje, aby mali dotknuté osoby z EÚ možnosť uplatňovať si pred orgánom pre ochranu osobných údajov a/alebo súdom členského štátu, v ktorom je vývozca údajov usadený, práva, ktoré im vyplývajú zo zmluvných doložiek ako oprávnenej tretej strane 12 . Tieto práva a povinnosti sú v rámci zmluvných doložiek nevyhnutné, pretože na rozdiel od situácie, keď Komisia dospela k záveru o primeranosti ochrany, nemožno predpokladať, že dovozca údajov v tretej krajine podlieha primeranému systému dohľadu a presadzovania pravidiel ochrany údajov.

Keďže rozhodnutia Komisie sú v členských štátoch záväzné v celom svojom rozsahu, zahrnutie štandardných zmluvných doložiek do zmluvy znamená, že vnútroštátne orgány sú v zásade povinné prijať tieto doložky. Z toho vyplýva, že nemôžu odmietnuť prenos údajov do tretej krajiny len na základe toho, že tieto štandardné zmluvné doložky neposkytujú dostatočné záruky. Nie je však dotknutá ich právomoc preskúmať tieto doložky s ohľadom na požiadavky, ktoré stanovil Súd vo svojom rozhodnutí vo veci Schrems. V prípade pochybností by mali vec predložiť vnútroštátnemu súdu, ktorý následne môže podať návrh na začatie prejudiciálneho konania na Súdnom dvore. Hoci v právnych predpisoch väčšiny členských štátov, ktorými sa transponuje smernica 95/45/ES, neexistuje požiadavka týkajúca sa predchádzajúceho vnútroštátneho povolenia pred vykonaním prenosu, niektoré členské štáty majú systém oznamovania a/alebo udeľovania predbežného povolenia na použitie štandardných zmluvných doložiek. Keď to urobia, vnútroštátny orgán pre ochranu osobných údajov musí porovnať doložky, ktoré sú skutočne uvedené v príslušnej zmluve, so štandardnými zmluvnými doložkami a overiť, že nedošlo ku žiadnej zmene 13 . Ak boli doložky použité bez zmeny 14 , povolenie sa v zásade 15 udeľuje automaticky 16 . Ako je vysvetlené ďalej v texte (pozri oddiel 2.4), týmto nie sú dotknuté dodatočné opatrenia, ktoré možno vývozca údajov bude musieť prijať, najmä v nadväznosti na informácie prijaté od dovozcu údajov o zmenách právneho systému tretej krajiny, ktoré môžu dovozcovi údajov zabrániť v plnení jeho povinností vyplývajúcich zo zmluvy. Pri uplatňovaní štandardných zmluvných doložiek vývozcovia aj zmluvou viazaní dovozcovia údajov podliehajú dohľadu orgánov pre ochranu osobných údajov.

Prijatie štandardných zmluvných doložiek nebráni spoločnostiam v tom, aby uplatňovali aj iné nástroje, ako napríklad zmluvné dojednania ad hoc, s cieľom preukázať, že ich prenosy sa uskutočňujú s dostatočnými zárukami v zmysle článku 26 ods. 2 smernice 95/46/ES. Podľa článku 26 ods. 2 smernice tieto prenosy musia byť schválené vnútroštátnymi orgánmi na individuálnom základe. Niektoré orgány pre ochranu osobných údajov vypracovali v tejto oblasti usmernenie, a to aj vo forme štandardizovaných zmlúv alebo podrobných pravidiel, ktoré sa majú dodržiavať pri navrhovaní doložiek o prenose údajov. Väčšina zmlúv, ktoré v súčasnosti spoločnosti používajú na uskutočňovanie svojich medzinárodných prenosov údajov, však vychádza zo štandardných zmluvných doložiek, ktoré schválila Komisia 17 .

2.2. Prenosy v rámci skupiny

Na prenos osobných údajov z EÚ do pobočiek so sídlom mimo EÚ v súlade s požiadavkami stanovenými v článku 26 ods. 2 smernice 95/46/ES môže nadnárodná spoločnosť prijať záväzné firemné pravidlá. Tento typ kódexu postupov poskytuje základ len pre presuny, ktoré sa uskutočňujú v rámci jednej skupiny podnikov.

Používanie záväzných firemných pravidiel tak umožňuje voľný pohyb osobných údajov medzi rôznymi subjektmi skupiny podnikov po celom svete bez potreby zmluvných dojednaní medzi jednotlivými podnikovými subjektmi, pričom na základe jednotného súboru záväzných a vynútiteľných pravidiel sa zabezpečí, aby sa v celej skupine dodržiavala rovnako vysoká úroveň ochrany osobných údajov. Vďaka jednotnému súboru pravidiel vzniká jednoduchší a účinnejší systém, ktorý sa zamestnancom ľahšie uplatňuje a ktorý je zrozumiteľnejší pre dotknuté osoby. S cieľom pomôcť spoločnostiam pri vypracúvaní záväzných firemných pravidiel pracovná skupina zriadená podľa článku 29 stanovila základné (napr. obmedzenie účelu, bezpečnosť spracúvania, poskytovanie transparentných informácií dotknutým osobám, obmedzenie ďalších prenosov mimo skupiny, individuálne práva na prístup, opravy a námietky) a procesné (napr. audity, monitorovanie súladu, vybavovanie sťažností, spolupráca s orgánmi pre ochranu osobných údajov, právna zodpovednosť a jurisdikcia) požiadavky na záväzné firemné pravidlá podľa noriem EÚ v oblasti ochrany údajov 18 . Tieto pravidlá nie sú záväzné len pre členov skupiny podnikov, ale, podobne ako v prípade štandardných zmluvných doložiek, sú vynútiteľné aj v EÚ: jednotlivci, ktorých údaje spracúva subjekt z takejto skupiny, majú ako oprávnená tretia strana právo presadzovať súlad so záväznými firemnými pravidlami podaním sťažnosti orgánu pre ochranu osobných údajov a podaním žaloby na súde členského štátu. Okrem toho sa v rámci záväzných firemných pravidiel musí určiť subjekt v EÚ, ktorý prijíma zodpovednosť za porušovanie pravidiel ktorýmkoľvek členom skupiny mimo EÚ, ktorý je viazaný týmito pravidlami.

Podľa právnych predpisov väčšiny členských štátov, ktorými sa transponuje smernica, musia byť prenosy údajov na základe záväzných firemných pravidiel schválené orgánom pre ochranu osobných údajov v každom členskom štáte, z ktorého má nadnárodná spoločnosť v úmysle preniesť údaje. S cieľom uľahčiť a urýchliť tento proces, ako aj znížiť záťaž pre žiadateľov, pracovná skupina zriadená podľa článku 29 vytvorila štandardizovaný formulár žiadosti 19 a osobitný postup spolupráce medzi dotknutými orgánmi pre ochranu osobných údajov 20 , ktorý zahŕňa určenie jedného „vedúceho orgánu“ zodpovedného za vybavenie postupu schválenia.

2.3. Výnimky

Osobné údaje možno prenášať subjektom so sídlom v tretej krajine aj v prípade absencie rozhodnutia o primeranosti podľa článku 25 ods. 6 smernice 95/46/ES a bez ohľadu na použitie štandardných zmluvných doložiek a/alebo záväzných firemných pravidiel, pokiaľ sa uplatňuje jedna z alternatívnych výnimiek stanovených v článku 26 ods. 1 smernice 95/46/ES: 21

dotknutá osoba dala jednoznačne súhlas s navrhnutým prenosom,

prenos je nevyhnutný pre plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom alebo pre vykonanie predbežných zmluvných (predzmluvných) opatrení prijatých v reakcii na žiadosť dotknutej osoby,

prenos je nevyhnutný pre uzatvorenie alebo plnenie zmluvy uzatvorenej v záujme dotknutej osoby medzi prevádzkovateľom a treťou stranou,

prenos je nevyhnutný alebo právne požadovaný z dôvodu dôležitého verejného záujmu 22 , alebo na stanovenie, výkon a obranu právnych nárokov,

prenos je nevyhnutný, aby sa ochránili dôležité záujmy dotknutej osoby,

prenos sa robí z registra, ktorý je podľa zákona alebo predpisov určený na poskytovanie informácií verejnosti a ktorý je otvorený na nahliadnutie verejnosti alebo každej osobe, ktorá môže preukázať legitímny záujem, pokiaľ sa v konkrétnom prípade splnia podmienky stanovené príslušným zákonom.

Tieto dôvody predstavujú výnimku zo všeobecného zákazu prenosu osobných údajov subjektom so sídlom v tretej krajine bez primeranej úrovne ochrany. Vývozca údajov v skutočnosti nemusí zabezpečiť, aby dovozca údajov poskytol primeranú ochranu, a zvyčajne nebude musieť získať predchádzajúce povolenie na prenos od príslušných vnútroštátnych orgánov. Pracovná skupina zriadená podľa článku 29 sa však vzhľadom na výnimočný charakter týchto výnimiek domnieva, že sa musia vykladať úzko 23 .

Pracovná skupina zriadená podľa článku 29 vydala viacero nezáväzných usmerňovacích dokumentov týkajúcich sa uplatňovania článku 26 ods. 1 smernice 95/46/ES 24 . Patrí medzi ne niekoľko pravidiel týkajúcich sa „najlepších postupov“, ktoré boli navrhnuté s cieľom usmerniť presadzovanie týchto ustanovení zo strany orgánov pre ochranu osobných údajov 25 . Pracovná skupina predovšetkým odporúča, aby sa prenosy osobných údajov, ktoré by sa mohli kvalifikovať ako opakované, hromadné alebo štrukturálne, vykonávali s dostatočnými zárukami a podľa možnosti v osobitnom právnom rámci, aký poskytujú napríklad štandardné zmluvné doložky alebo záväzné firemné pravidlá 26 .

Komisia sa v tomto oznámení bude zaoberať len tými výnimkami, ktoré sa po zrušení rozhodnutia o bezpečnom prístave javia ako zvlášť dôležité pre prenosy v obchodnom kontexte.

2.3.1. Prenosy nevyhnutné na plnenie zmluvy alebo na vykonanie predbežných zmluvných (predzmluvných) opatrení prijatých v reakcii na žiadosť dotknutej osoby(článok 26 ods. 1 písm. b))

Táto výnimka by sa mohla uplatňovať napríklad v prípade hotelovej rezervácie, alebo keď sa informácie o platbe prenášajú do tretej krajiny s cieľom zrealizovať bankový prevod. Pracovná skupina zriadená podľa článku 29 sa však domnieva, že v každom z týchto prípadov musí existovať „úzke a skutočné spojenie“, resp. „priame a objektívne prepojenie“ medzi dotknutou osobou a účelmi zmluvy alebo predbežným zmluvným (predzmluvným) opatrením (test nevyhnutnosti) 27 . Výnimka sa pritom nedá uplatniť na prenosy doplňujúcich informácií, ktoré nie sú nevyhnutné na účely prenosu, alebo na prenosy na iný účel, než je plnenie zmluvy (napríklad následný marketing) 28 . Pokiaľ ide o predbežné zmluvné (predzmluvné) opatrenia, pracovná skupina zriadená podľa článku 29 dospela k názoru, že sa budú vzťahovať len na kontakty, ktoré iniciovala dotknutá osoba (napríklad žiadosť o informácie o konkrétnej službe), ale nie na tie kontakty, ktoré vyplývajú z marketingových prístupov uplatňovaných prevádzkovateľom údajov 29 .

2.3.2. Prenosy nevyhnutné pre uzatvorenie alebo plnenie zmluvy uzatvorenej v záujme dotknutej osoby medzi prevádzkovateľom a treťou stranou (článok 26 ods. 1 písm. c))

Táto výnimka by sa mohla uplatňovať napríklad vtedy, keď je dotknutá osoba príjemcom medzinárodného bankového prevodu alebo keď cestovná kancelária postupuje údaje o rezervácii letu leteckej spoločnosti. Opäť sa uplatňuje test nevyhnutnosti, pričom v tomto prípade si vyžaduje úzke a skutočné prepojenie medzi záujmom dotknutej osoby a účelom zmluvy.

3.3.2. Prenosy nevyhnutné alebo právne požadované na stanovenie, výkon alebo obranu právnych nárokov (článok 26 ods. 1 písm. d))

Táto výnimka by sa mohla uplatňovať napríklad vtedy, keď spoločnosť potrebuje preniesť údaje na to, aby sa bránila proti právnemu nároku, alebo aby si takýto nárok uplatnila na súde alebo pred verejným orgánom. Tak ako predchádzajúce dve výnimky aj táto podlieha testu nevyhnutnosti: 30 malo by existovať úzke prepojenie so sporom alebo súdnym konaním (vrátane správneho konania).

Podľa pracovnej skupiny zriadenej podľa článku 29 výnimku možno uplatniť len vtedy, ak sú dodržané všetky medzinárodné pravidlá o spolupráci v trestných alebo občianskoprávnych konaniach, ktorými sa riadi príslušný druh prenosu, a to najmä ako vyplývajú z ustanovení Haagskeho dohovoru z 18. marca 1970 (dohovor o „vykonávaní dôkazov“) 31 .

4.3.2. Jednoznačný predchádzajúci súhlas dotknutej osoby s navrhnutým prenosom (článok 26 ods. 1 písm. a))

Hoci súhlas možno použiť ako základ pre prenosy údajov, malo by sa vziať do úvahy niekoľko aspektov. Keďže je nutné udeliť súhlas s „navrhnutým“ prenosom, konkrétny prenos (alebo konkrétna kategória prenosov) si vyžaduje predchádzajúci súhlas. Ak je požadovaný online, pracovná skupina zriadená podľa článku 29 odporúča použiť políčka, ktoré treba zaškrtnúť (namiesto vopred zaškrtnutých políčok) 32 . Vzhľadom na to, že súhlas musí byť jednoznačný, akékoľvek pochybnosti o jeho skutočnom udelení by spôsobili, že výnimka by nebola uplatniteľná. To by znamenalo, že uvedená výnimka by sa nemohla uplatniť v mnohých situáciách, keď je súhlas vyjadrený nanajvýš nepriamo (napríklad keď bol jednotlivec na prenos upozornený a nenamietal). Naopak, výnimka by sa mohla použiť v prípadoch, keď je prenášajúci subjekt v priamom kontakte s dotknutou osobou, a tak možno ľahko poskytnúť potrebné informácie a získať jednoznačný súhlas 33 .

Okrem toho podľa článku 2 písm. h) smernice 95/46/ES súhlas musí byť poskytnutý slobodne, musí byť konkrétny a informovaný. Podľa pracovnej skupiny zriadenej podľa článku 29 prvá požiadavka znamená, že akýkoľvek „nátlak“ môže mať za následok neplatnosť súhlasu. Je to mimoriadne dôležité v oblasti zamestnávania, keďže vzťah podriadenosti a prirodzenej závislosti zamestnancov bude za normálnych okolností spochybňovať spoliehanie sa na súhlas 34 . Všeobecnejšie povedané, súhlas udelený dotknutou osobou, ktorá nemala možnosť skutočne si vybrať alebo bola postavená pred hotovú vec, nemožno považovať za platný 35 .

Je veľmi dôležité, aby boli dotknuté osoby vopred riadne informované o tom, že tieto údaje môžu byť prenesené mimo EÚ, do ktorej tretej krajiny a za akých podmienok (účel prenosu, totožnosť príjemcu/príjemcov a podrobnosti o príjemcovi/príjemcoch atď.). Tieto informácie by sa mali zameriavať na konkrétne riziko, že ich údaje budú prenesené do tretej krajiny, v ktorej chýba primeraná ochrana 36 . Navyše, ako uviedla pracovná skupina zriadená podľa článku 29, hoci odvolanie súhlasu dotknutej osoby nemá spätnú účinnosť, malo by v zásade zabrániť akémukoľvek ďalšiemu spracúvaniu osobných údajov 37 . Vzhľadom na tieto obmedzenia sa pracovná skupina zriadená podľa článku 29 domnieva, že v prípadoch štrukturálnych prenosov je nepravdepodobné, aby súhlas poskytoval prevádzkovateľom údajov primeraný dlhodobý rámec 38 .

2.4. Zhrnutie o alternatívnych základoch pre prenosy osobných údajov

Z uvedených skutočností vyplýva, že spoločnosti môžu používať niekoľko rozličných alternatívnych nástrojov na vykonávanie svojich medzinárodných prenosov údajov do tretích krajín, ktoré sa nepovažujú za krajiny poskytujúce primeranú úroveň ochrany v zmysle článku 25 ods. 2 smernice 95/46/ES. Po vydaní rozhodnutia vo veci Schrems pracovná skupina zriadená podľa článku 29 objasnila najmä to, že štandardné zmluvné doložky a záväzné firemné pravidlá sa môžu používať na prenos údajov do USA (zatiaľ čo pracovná skupina pokračuje vo svojom posudzovaní) bez toho, aby boli dotknuté právomoci orgánov pre ochranu osobných údajov vyšetrovať konkrétne prípady 39 . Zástupcovia priemyslu reagovali na rozsudok rôzne, a to aj tak, že na svoje prenosy údajov začali používať tieto alternatívne nástroje 40 .

Treba však zdôrazniť dve dôležité podmienky. Najprv je potrebné pripomenúť, že bez ohľadu na špecifický právny základ, z ktorého sa vychádza, sa prenosy do tretej krajiny môžu zákonne vykonávať len vtedy, ak boli údaje pôvodne zhromaždené a následne spracované prevádzkovateľom údajov so sídlom v EÚ v súlade s platnými vnútroštátnymi predpismi, ktorými sa transponuje smernica 95/46/ES. V smernici sa výslovne stanovuje, že spracovanie sa uskutočňuje pred prenosom, keďže samotný prenos musí v plnej miere rešpektovať pravidlá, ktoré prijali členské štáty podľa ostatných ustanovení tejto smernice 41 . Po druhé, ak nie je k dispozícii zistenie Komisie o primeranosti, prevádzkovatelia preberajú zodpovednosť za zabezpečenie toho, že sa ich prenosy údajov uskutočnia s dostatočnými zárukami v súlade s článkom 26 ods. 2 smernice. Toto posúdenie treba uskutočniť s ohľadom na všetky okolnosti spojené s predmetným prenosom. Predovšetkým sa v štandardných zmluvných doložkách aj v záväzných firemných pravidlách stanoví, že ak má dovozca údajov dôvody domnievať sa, že právne predpisy platné v prijímajúcej krajine mu môžu brániť v plnení jeho povinností, okamžite informuje vývozcu údajov v EÚ. V takejto situácii je na vývozcovi, aby zvážil prijatie vhodných opatrení potrebných na zabezpečenie ochrany osobných údajov 42 . Tie sa môžu pohybovať na škále od technických, organizačných či právnych opatrení alebo opatrení súvisiacich s podnikateľským modelom 43 až po možnosť pozastaviť prenos údajov alebo ukončiť zmluvu. Vzhľadom na všetky okolnosti prenosu teda vývozcovia údajov musia zaviesť dodatočné záruky, ktorými doplnia záruky poskytované podľa platného právneho základu pre prenos s cieľom splniť požiadavky stanovené v článku 26 ods. 2 smernice.

Dodržiavanie týchto požiadaviek musia v konečnom dôsledku posúdiť orgány pre ochranu osobných údajov, a to buď individuálne v rámci výkonu svojich funkcií dohľadu a presadzovania, aj pokiaľ ide o schvaľovanie zmluvných dojednaní a štandardných zmluvných doložiek, alebo na základe individuálnych sťažností. Hoci niektoré orgány pre ochranu osobných údajov vyjadrili pochybnosti v súvislosti s možnosťou používať na transatlantické toky údajov 44 také nástroje na prenos, ako sú štandardné zmluvné doložky a záväzné firemné pravidlá, pracovná skupina zriadená podľa článku 29 vo vyhlásení, ktoré vydala v nadväznosti na rozhodnutie vo veci Schrems, uviedla, že bude pokračovať vo svojej analýze vplyvu tohto rozsudku na iné nástroje na prenos 45 . Týmto však nie sú dotknuté právomoci orgánov pre ochranu osobných údajov vyšetrovať konkrétne prípady a vykonávať svoje právomoci s cieľom chrániť jednotlivcov.

3. Dôsledky rozhodnutia vo veci Schrems pre rozhodnutia o primeranosti

Súdny dvor vo svojom rozsudku nespochybňuje právomoci Komisie podľa článku 25 ods. 6 smernice 95/46/ES zisťovať, či tretia krajina zabezpečuje primeranú úroveň ochrany, pokiaľ sú dodržané požiadavky, ktoré stanovil Súdny dvor. V súlade s týmito požiadavkami sa v návrhu všeobecného nariadenia o ochrane údajov z roku 2012 46 , ktoré malo nahradiť smernicu 95/46/ES, ďalej objasňujú a konkretizujú podmienky, za akých možno prijímať rozhodnutia o primeranosti. V rozhodnutí vo veci Schrems Súd takisto objasnil, že ak Komisia prijme rozhodnutie o primeranosti, je záväzné pre všetky členské štáty a ich orgány vrátane orgánov pre ochranu osobných údajov, a to až dovtedy, kým nie je derogované, zrušené alebo vyhlásené za neplatné Súdnym dvorom, ktorý má ako jediný v tomto ohľade právomoc. Orgány pre ochranu osobných údajov sú naďalej oprávnené preskúmavať nároky v zmysle článku 28 ods. 4 smernice 95/46/ES, aby prenos údajov spĺňal požiadavky stanovené v smernici (ako ich vykladá Súdny dvor), ale nemôžu dospieť ku konečnému zisteniu. Členské štáty namiesto toho musia zabezpečiť možnosť predložiť vec vnútroštátnemu súdu, ktorý následne môže podnietiť uplatnenie právomoci Súdneho dvora podaním návrhu na začatie prejudiciálneho konania podľa článku 267 Zmluvy o fungovaní Európskej únie (ZFEÚ).

Navyše Súdny dvor výslovne potvrdil, že používanie systému samocertifikácie (napríklad v prípade zásad ochrany súkromia v systéme bezpečného prístavu) zo strany tretej krajiny nevylučuje zistenie o primeranosti podľa článku 25 ods. 6 smernice 95/46/ES, pokiaľ existujú účinné mechanizmy odhaľovania a dozoru, vďaka ktorým možno v praxi identifikovať a postihovať akékoľvek porušenia pravidiel ochrany údajov.

Vzhľadom na to, že v rozhodnutí o bezpečnom prístave nie sú v tejto súvislosti uvedené dostatočné zistenia, Súdny dvor ho vyhlásil za neplatné. Je teda zrejmé, že prenosy údajov medzi EÚ a Spojenými štátmi sa už nemôžu vykonávať na tomto základe, t. j. výlučne s odvolaním sa na dodržiavanie zásad bezpečného prístavu. Keďže prenosy údajov do tretích krajín, ktoré nezabezpečujú primeranú úroveň ochrany (alebo prinajmenšom tam, kde táto primeraná úroveň nebola stanovená v rozhodnutí Komisie podľa článku 25 ods. 6 smernice 95/46/ES), sú v zásade zakázané 47 , budú zákonné len v tom prípade, ak vývozca údajov môže použiť jeden z alternatívnych nástrojov opísaných v oddiele 2. Vzhľadom na absenciu rozhodnutia o primeranosti je na vývozcovi údajov, aby pod kontrolou orgánu pre ochranu osobných údajov zabezpečil splnenie podmienok pre použitie (jedného z) týchto nástrojov v súvislosti s daným prenosom údajov.

Rozsah pôsobnosti rozsudku sa obmedzuje na rozhodnutie Komisie o bezpečnom prístave. Všetky ostatné rozhodnutia o primeranosti 48 však zahŕňajú obmedzenie právomocí orgánov pre ochranu osobných údajov, ktoré je zhodné s článkom 3 rozhodnutia o bezpečnom prístave a ktoré Súdny dvor považuje za neplatné 49 . Komisia teraz vyvodí z rozsudku potrebné dôsledky a čoskoro pripraví rozhodnutie, ktoré bude prijaté na základe uplatniteľného komitologického postupu a ktorým sa nahradí uvedené ustanovenie vo všetkých existujúcich rozhodnutiach o primeranosti. Komisia sa takisto zapojí do pravidelného hodnotenia existujúcich a budúcich rozhodnutí o primeranosti, a to aj prostredníctvom pravidelného spoločného preskúmania ich fungovania spolu s príslušnými orgánmi danej tretej krajiny.

4. Záver

Ako potvrdila pracovná skupina zriadená podľa článku 29, spoločnosti stále môžu používať na zákonné prenosy údajov do tretích krajín, ako sú Spojené štáty, alternatívne nástroje povoľujúce toky údajov. Komisia sa však domnieva, že obnovený a stabilný rámec pre prenosy osobných údajov do Spojených štátov zostáva kľúčovou prioritou. Takýto rámec je najkomplexnejším riešením na zabezpečenie účinnej kontinuity ochrany osobných údajov európskych občanov pri ich prenose do Spojených štátov. Zároveň poskytuje najlepšie riešenie pre transatlantický obchod, pretože ponúka jednoduchší, menej zaťažujúci, a preto menej nákladný mechanizmus prenosu, najmä pre malé a stredné podniky.

Už v roku 2013 Komisia začala rokovať s vládou USA o novom systéme transatlantických prenosov údajov na základe jej 13 odporúčaní 50 . Podarilo sa dosiahnuť značný pokrok pri zbližovaní názorov oboch strán, napríklad na prísnejšie monitorovanie a presadzovanie zásad bezpečného prístavu zo strany Ministerstva obchodu USA a Federálnej obchodnej komisie USA, na zabezpečenie väčšej transparentnosti pre spotrebiteľov, pokiaľ ide o ich práva na ochranu údajov, jednoduchšie a lacnejšie možnosti nápravy v prípade sťažností a jasnejšie pravidlá ďalších prenosov údajov zo spoločností, ktoré sú súčasťou systému bezpečného prístavu, do spoločností, ktoré v ňom nie sú (napr. na účely spracovania alebo spracovania údajov subdodávateľmi). Keďže rozhodnutie o bezpečnom prístave bolo vyhlásené za neplatné, Komisia zintenzívnila rokovania s vládou USA s cieľom zabezpečiť splnenie právnych požiadaviek, ktoré sformuloval Súd. Cieľom Komisie je uzavrieť tieto diskusie a dosiahnuť tento cieľ do troch mesiacov.

Kým bude zavedený obnovený transatlantický rámec, spoločnosti sa musia spoliehať na dostupné alternatívne nástroje na prenos. Táto možnosť však so sebou prináša povinnosti pre vývozcov údajov, ktorí sú pod dohľadom orgánov pre ochranu osobných údajov.

Na rozdiel od situácie, keď Komisia zistila, že tretia krajina zabezpečuje primeranú úroveň ochrany údajov, na ktorú sa vývozcovia údajov môžu pri prenosoch údajov z EÚ spoľahnúť, pri používaní alternatívnych nástrojov vývozcovia naďalej zodpovedajú za overovanie toho, či sú osobné údaje účinne chránené. To môže zahŕňať povinnosť prijať v prípade potreby vhodné opatrenia.

V tejto súvislosti zohrávajú kľúčovú úlohu orgány pre ochranu osobných údajov. Tieto orgány ako hlavní presadzovatelia základných práv dotknutých osôb zodpovedajú za dohľad nad prenosmi údajov z EÚ do tretích krajín a zároveň sú oprávnené tento dohľad vykonávať, a to úplne nezávisle. Komisia vyzýva prevádzkovateľov údajov, aby spolupracovali s orgánmi pre ochranu osobných údajov, a pomáhali im tak účinne si plniť ich dozornú úlohu. Komisia bude naďalej úzko spolupracovať s pracovnou skupinou zriadenou podľa článku 29 s cieľom zabezpečiť jednotné uplatňovanie právnych predpisov EÚ o ochrane údajov.

(1)

     Rozsudok zo 6. októbra 2015 vo veci C-362/14 Maximilian Schrems/Data Protection Commissioner, EU:C:2015:650 (ďalej aj „rozsudok“ alebo „rozhodnutie vo veci Schrems“).

(2)

     Smernica Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov, Ú. v. ES L 281, 23.11.1995, s. 31 (ďalej len „smernica 95/46/ES“ alebo „smernica“).

(3)

     Na účely tohto oznámenia sa termín „EÚ“ vzťahuje aj na Európsky hospodársky priestor (EHP). Odkazy na „členské štáty“ sa preto majú chápať tak, že sa vzťahujú aj na členské štáty EHP.

(4)

     Podrobnejší prehľad týkajúci sa systému bezpečného prístavu sa nachádza v oznámení Komisie Európskemu parlamentu a Rade o fungovaní systému bezpečného prístavu z pohľadu občanov EÚ a spoločností usadených v EÚ, COM/2013/847 final.

(5)

     Oznámenie Komisie Európskemu parlamentu a Rade o fungovaní systému bezpečného prístavu z pohľadu občanov EÚ a spoločností usadených v EÚ COM(2013)847 final, 27.11.2013. Pozri aj oznámenie Komisie Európskemu parlamentu a Rade s názvom Obnovenie dôvery v toky údajov medzi EÚ a USA, COM(2013)0846 final, 27.11.2013, a súvisiace memorandum Obnovenie dôvery v toky údajov medzi EÚ a USA – Často kladené otázky, MEMO/13/1059, 27.11.2013.

(6)

     Zástupcovia priemyselných združení vyjadrili tieto obavy okrem iného na stretnutí, ktoré krátko po vynesení rozsudku vo veci Schrems zorganizoval podpredseda Ansip a komisári Jourová a Oettinger 14. októbra. Pozri Denné aktuality zo 14.10.2015 (MEX/15/5840). Pozri aj: Otvorený list o vykonávaní rozsudku Súdneho dvora Európskej únie vo veci C-362/14 Maximillian Schrems/Data Protection Commissioner z 13. októbra 2015 adresovaný predsedovi Komisie Jeanovi-Claudovi Junckerovi, ktorý podpísali rôzne priemyselné združenia a spoločnosti z EÚ a USA: http://www.digitaleurope.org/DesktopModules/Bring2mind/DMX/Download.aspx?Command=Core_Download&EntryId=1045&PortalId=0&TabId=353

(7)

     Vyhlásenie pracovnej skupiny zriadenej podľa článku 29 je k dispozícii na tejto internetovej adrese: http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151016_wp29_statement_on_schrems_judgement.pdf

(8)

     Pozri článok 8 ods. 3 Charty základných práv Európskej únie a článok 16 ods. 2 ZFEÚ. Túto nezávislosť zdôraznil aj Súd vo svojom rozhodnutí vo veci Schrems.

(9)

     Pozri dokument pracovnej skupiny zriadenej podľa článku 29 s názvom Prenosy osobných údajov do tretích krajín: uplatňovanie článkov 25 a 26 smernice EÚ o ochrane údajov (WP 12), 24. júla 1998, s. 16.

(10)

     Rozhodnutie Komisie 2001/497/ES z 15. júna 2001 o štandardných zmluvných doložkách na prenos osobných údajov do tretích krajín podľa smernice 95/46/ES, Ú. v. ES L 181, 4.7.2001, s. 19, a rozhodnutie Komisie 2004/915/ES z 27. decembra 2004, ktorým sa mení a dopĺňa rozhodnutie 2001/497/ES o zavedení alternatívneho súboru o štandardných zmluvných doložkách na prenos osobných údajov do tretích krajín, Ú. v. EÚ L 385, 29.12.2004, s. 74.

(11)

     Rozhodnutie Komisie 2002/16/ES z 27. decembra 2001 o štandardných zmluvných doložkách pre prenos osobných údajov spracovateľom z tretích krajín, podľa smernice 95/46/ES, Ú. v. ES L 6, 10.1.2002, s. 52, a rozhodnutie Komisie 2010/87/EÚ z 5. februára 2010 o štandardných zmluvných doložkách pre prenos osobných údajov spracovateľom usadeným v tretích krajinách podľa smernice Európskeho parlamentu a Rady 95/46/ES, Ú. v. EÚ L 39, 12.2.2010, s. 5. Predchádzajúce rozhodnutie, ktoré bolo zrušené následným rozhodnutím, sa vzťahuje len na zmluvy uzatvorené pred 15. májom 2010.

(12)

     Pozri napr. odôvodnenie 6 rozhodnutia Komisie 2004/915/ES a doložku č. V uvedenú v jeho prílohe a doložku č. 7 uvedenú v prílohe k rozhodnutiu Komisie 2010/87/EÚ.

(13)

     Treba poznamenať, že v návrhu všeobecného nariadenia o ochrane údajov (COM(2012)0011 final) sa stanovuje, že na prenosy na základe štandardných zmluvných doložiek alebo záväzných firemných pravidiel nie je nutné žiadne ďalšie povolenie, pokiaľ tieto doložky a pravidlá prijala Komisia alebo boli prijaté v súlade s plánovaným mechanizmom konzistentnosti.

(14)

     Používanie štandardných zmluvných doložiek však stranám nebráni dohodnúť sa na doplnení ďalších doložiek, pokiaľ nie sú priamo alebo nepriamo v rozpore s doložkami schválenými Komisiou, ani nimi nie sú dotknuté základné práva alebo slobody dotknutých osôb. Pozri dokument Európskej komisie s názvom Často kladené otázky týkajúce sa prenosov osobných údajov z EÚ/EHP do tretích krajín (FAQ B.1.9), s. 28 (dostupné na internetovej adrese: http://ec.europa.eu/justice/policies/privacy/docs/international_transfers_faq/international_transfers_faq.pdf ).

(15)

   Ak má orgán pre ochranu osobných údajov pochybnosti o zlučiteľnosti štandardných zmluvných doložiek s požiadavkami smernice, mal by sa obrátiť na vnútroštátny súd, ktorý následne môže podať návrh na začatie prejudiciálneho konania na Súdnom dvore (pozri body 51, 52, 64 a 65 rozhodnutia vo veci Schrems).

(16)

     Pracovná skupina zriadená podľa článku 29 stanovila osobitný postup spolupráce medzi orgánmi pre ochranu osobných údajov zameraný na schvaľovanie zmluvných doložiek, ktoré chce spoločnosť používať v rôznych členských štátoch. Pozri dokument pracovnej skupiny zriadenej podľa článku 29 s názvom Pracovný dokument, ktorým sa stanovuje postup spolupráce pri vydávaní spoločných stanovísk k „zmluvným doložkám“, ktoré sa považujú za zlučiteľné so vzorovou doložkou EK (WP 226), 26. novembra 2014. Pozri aj doložku č. VII uvedenú v prílohe k rozhodnutiu Komisie 2004/915/ES a doložku č. 10 uvedenú v prílohe k rozhodnutiu Komisie 2010/87/EÚ.

(17)

     Pozri dokument pracovnej skupiny zriadenej podľa článku 29 s názvom Pracovný dokument, ktorým sa stanovuje postup spolupráce pri vydávaní spoločných stanovísk k „zmluvným doložkám“, ktoré sa považujú za zlučiteľné so vzorovou doložkou EK (WP 226), 26. novembra 2014, s. 2.

(18)

     Pozri dokumenty pracovnej skupiny zriadenej podľa článku 29 s názvami Pracovný dokument, ktorým sa zostavuje tabuľka prvkov a zásad uvedených v záväzných firemných pravidlách (WP 153), 24. júna 2008, Pracovný dokument, ktorým sa zriaďuje rámec štruktúry záväzných firemných pravidiel (WP 154), 24. júna 2008, a Pracovný dokument o často kladených otázkach týkajúcich sa záväzných firemných pravidiel (WP 155), 24. júna 2008.

(19)

     Dokument pracovnej skupiny zriadenej podľa článku 29 s názvom Štandardná žiadosť o schválenie záväzných firemných pravidiel pre prenos osobných údajov (WP 133), 10. januára 2007.

(20)

     Dokument pracovnej skupiny zriadenej podľa článku 29 s názvom Pracovný dokument, ktorým sa stanovuje postup spolupráce pri vydávaní spoločných stanovísk k primeraným zárukám vyplývajúcim zo „záväzných firemných pravidiel“ (WP 107), 14. apríla 2005.

(21)

     Ako zdôraznila pracovná skupina zriadená podľa článku 29, pokiaľ sa v iných ustanoveniach smernice 95/46/ES uvádzajú dodatočné požiadavky týkajúce sa využívania týchto výnimiek (napríklad obmedzenia článku 8 na spracovanie citlivých údajov), tieto požiadavky treba rešpektovať. Pozri dokument pracovnej skupiny zriadenej podľa článku 29 s názvom Pracovný dokument o jednotnej interpretácii článku 26 ods. 1 smernice 95/46/ES z 24. októbra 1995 (WP 114), 25. novembra 2005, s. 8. Pozri aj dokument Európskej komisie s názvom Často kladené otázky týkajúce sa prenosov osobných údajov z EÚ/EHP do tretích krajín (FAQ D.2), s. 50.

(22)

     Môžu sem patriť napríklad prenosy údajov medzi daňovými alebo colnými orgánmi, alebo medzi útvarmi zodpovednými za záležitosti sociálneho zabezpečenia (pozri odôvodnenie 58 smernice 95/46/ES). Výnimka sa môže vzťahovať aj na prenosy medzi orgánmi dohľadu v sektore finančných služieb. Pozri dokument pracovnej skupiny zriadenej podľa článku 29 s názvom Pracovný dokument: prenosy osobných údajov do tretích krajín: uplatňovanie článkov 25 a 26 smernice EÚ o ochrane údajov (WP 12), 24. júla 1998, s. 25.

(23)

     Pozri dokument pracovnej skupiny zriadenej podľa článku 29 s názvom Pracovný dokument o jednotnej interpretácii článku 26 ods. 1 smernice 95/46/ES z 24. októbra 1995 (WP 114), 25. novembra 2005, s. 7, 17.

(24)

     Dokumenty pracovnej skupiny zriadenej podľa článku 29 s názvom Pracovný dokument: prenosy osobných údajov do tretích krajín: uplatňovanie článkov 25 a 26 smernice EÚ o ochrane údajov (WP 12), 24. júla 1998, a Pracovný dokument o jednotnej interpretácii článku 26 ods. 1 smernice 95/46/ES z 24. októbra 1995 (WP 114), 25. novembra 2005. Pozri aj dokument Európskej komisie s názvom Často kladené otázky týkajúce sa prenosov osobných údajov z EÚ/EHP do tretích krajín (FAQ D.1 až D.9), s. 48 – 54.

(25)

     Dokument pracovnej skupiny zriadenej podľa článku 29 s názvom Pracovný dokument o jednotnej interpretácii článku 26 ods. 1 smernice 95/46/ES z 24. októbra 1995 (WP 114), 25. novembra 2005, s. 8 – 10.

(26)

     Dokument pracovnej skupiny zriadenej podľa článku 29 s názvom Pracovný dokument o jednotnej interpretácii článku 26 ods. 1 smernice 95/46/ES z 24. októbra 1995 (WP 114), 25. novembra 2005, s. 9. Podľa pracovnej skupiny sa hromadné alebo opakované prenosy môžu uskutočniť iba na základe výnimky, keď uplatnenie štandardných zmluvných doložiek alebo záväzných firemných pravidiel nie je v praxi možné a keď sú riziká pre dotknuté osoby nízke (napr. medzinárodné prevody peňazí). Pozri aj dokument Európskej komisie s názvom Často kladené otázky týkajúce sa prenosov osobných údajov z EÚ/EHP do tretích krajín (FAQ D.2), s. 49.

(27)

     Dokument pracovnej skupiny zriadenej podľa článku 29 s názvom Pracovný dokument o jednotnej interpretácii článku 26 ods. 1 smernice 95/46/ES z 24. októbra 1995 (WP 114), 25. novembra 2005, s. 13. Pozri aj stanovisko č. 6/2002 k prenosu zoznamu informácií o cestujúcich a iných údajov od leteckých spoločností do Spojených štátov (WP 66), 24. októbra 2002.

(28)

     Dokumenty pracovnej skupiny zriadenej podľa článku 29 s názvom Pracovný dokument: prenosy osobných údajov do tretích krajín: uplatňovanie článkov 25 a 26 smernice EÚ o ochrane údajov (WP 12), 24. júla 1998, s. 24. Dokument pracovnej skupiny zriadenej podľa článku 29 s názvom Pracovný dokument o jednotnej interpretácii článku 26 ods. 1 smernice 95/46/ES z 24. októbra 1995 (WP 114), 25. novembra 2005, s. 13.

(29)

     Dokumenty pracovnej skupiny zriadenej podľa článku 29 s názvom Pracovný dokument: prenosy osobných údajov do tretích krajín: uplatňovanie článkov 25 a 26 smernice EÚ o ochrane údajov (WP 12), 24. júla 1998, s. 24.

(30)

     Dokument pracovnej skupiny zriadenej podľa článku 29 s názvom Pracovný dokument o jednotnej interpretácii článku 26 ods. 1 smernice 95/46/ES z 24. októbra 1995 (WP 114), 25. novembra 2005, s. 15. Napríklad v súvislosti so zamestnaním sa výnimka nemôže použiť na prenos všetkých spisov týkajúcich sa zamestnancov do materskej spoločnosti skupiny so sídlom v tretej krajine z dôvodu súdnych konaní, ktoré by mohli prebiehať v budúcnosti.

(31)

     Haagsky dohovor o vykonávaní dôkazov v cudzine v občianskych a obchodných veciach, ktorý bol otvorený na podpis 18. marca 1970, 23 U.S.T. 2555, 847 U.N.T.S. 241. Tento dohovor sa vzťahuje napríklad na sprístupňovanie dôkazov pred súdnym konaním (pre-trial discovery), alebo na žiadosti justičného orgánu jedného štátu adresované príslušnému orgánu iného štátu o obstaraní dôkazov, ktoré sa majú použiť v súdnom konaní v žiadajúcom štáte.

(32)

     Dokument pracovnej skupiny zriadenej podľa článku 29 s názvom Pracovný dokument o jednotnej interpretácii článku 26 ods. 1 smernice 95/46/ES z 24. októbra 1995 (WP 114), 25. novembra 2005, s. 10, s odkazom na stanovisko č. 5/2004 k nevyžiadaným správam na účely priameho marketingu podľa článku 13 smernice 2002/58/ES (WP 90), 27. februára 2004, bod 3.2.

(33)

     Dokumenty pracovnej skupiny zriadenej podľa článku 29 s názvom Pracovný dokument: prenosy osobných údajov do tretích krajín: uplatňovanie článkov 25 a 26 smernice EÚ o ochrane údajov (WP 12), 24. júla 1998, s. 24.

(34)

     Stanovisko č. 8/2001 pracovnej skupiny zriadenej podľa článku 29 k spracúvaniu osobných údajov v súvislosti s pracovným pomerom (WP 48), 13. septembra 2001, s. 3, 23 a 26. Podľa pracovnej skupiny by sa spoliehanie na súhlas malo obmedzovať na prípady, keď má pracovník skutočne slobodnú voľbu a následne je schopný svoj súhlas bez ujmy odvolať. Pozri aj dokument pracovnej skupiny zriadenej podľa článku 29 s názvom Pracovný dokument o jednotnej interpretácii článku 26 ods. 1 smernice 95/46/ES z 24. októbra 1995 (WP 114), 25. novembra 2005, s. 11.

(35)

     Dokument pracovnej skupiny zriadenej podľa článku 29 s názvom Pracovný dokument o jednotnej interpretácii článku 26 ods. 1 smernice 95/46/ES z 24. októbra 1995 (WP 114), 25. novembra 2005, s. 11. Pozri aj stanovisko č. 6/2002 k prenosu zoznamu informácií o cestujúcich a iných údajov od leteckých spoločností do Spojených štátov (WP 66), 24. októbra 2002.

(36)

     Dokumenty pracovnej skupiny zriadenej podľa článku 29 s názvom Pracovný dokument: prenosy osobných údajov do tretích krajín: uplatňovanie článkov 25 a 26 smernice EÚ o ochrane údajov (WP 12), 24. júla 1998, s. 24.

(37)

     Stanovisko č. 15/2011 pracovnej skupiny zriadenej podľa článku 29 k definícii súhlasu (WP 187), 13. júla 2011, s. 9.

(38)

     Dokument pracovnej skupiny zriadenej podľa článku 29 s názvom Pracovný dokument o jednotnej interpretácii článku 26 ods. 1 smernice 95/46/ES z 24. októbra 1995 (WP 114), 25. novembra 2005, s. 11.

(39)

     Pozri vyhlásenie pracovnej skupiny zriadenej podľa článku 29 zo 16. októbra 2015 (uvedené v poznámke pod čiarou 8).

(40)

   Mnohé nadnárodné spoločnosti vyhlásili, že na svoje prenosy údajov do Spojených štátov používajú alternatívne nástroje. Pozri napr. vyhlásenie spoločnosti Microsoft ( http://blogs.microsoft.com/on-the-issues/2015/10/06/a-message-to-our-customers-about-eu-us-safe-harbor/ ) alebo spoločnosti Salesforce ( http://www.salesforce.com/company/privacy/data-processing-addendum-faq.jsp ). Iné americké spoločnosti, ako napríklad spoločnosť Oracle, oznámili, že zákazníkom využívajúcim služby cloud computingu ponúkajú možnosť ukladať si svoje údaje v Európe, aby sa nemuseli posielať na ukladanie inam: http://www.irishtimes.com/business/technology/oracle-keeps-european-data-within-its-eu-based-data-centres-1.2408505?mode=print&ot=example.AjaxPageLayout.ot

(41)

     Pozri odôvodnenie 60 a článok 25 ods. 1 smernica 95/46/ES.

(42)

     Pozri napr. doložku č. 5 uvedenú v prílohe k rozhodnutiu Komisie 2010/87/EÚ a dokument pracovnej skupiny zriadenej podľa článku 29 s názvom Pracovný dokument, ktorým sa zriaďuje rámec štruktúry záväzných firemných pravidiel (WP 154), 24. júna 2008, s. 8.

(43)

   Pozri napr. usmernenie, ktoré vydala Agentúra Európskej únie pre sieťovú a informačnú bezpečnosť (ENISA): https://resilience.enisa.europa.eu/article-13/guideline-for-minimum-security-measures/Article_13a_ENISA_Technical_Guideline_On_Security_Measures_v2_0.pdf .

(44)

     Pozri napr. pozičný dokument, ktorý vydala konferencia nemeckých orgánov pre ochranu údajov na spolkovej a štátnej úrovni 26.10.2015: https://www.datenschutz.hessen.de/ft-europa.htm#entry4521 . V pozičnom dokumente sa zdôrazňuje, že rozhodnutie vo veci Schrems obsahuje „prísne základné požiadavky“, ktoré Komisia aj orgány pre ochranu osobných údajov musia rešpektovať, a zároveň sa v ňom uvádza, že nemecké orgány pre ochranu osobných údajov posúdia zákonnosť prenosu údajov na základe alternatívnych nástrojov (štandardných zmluvných doložiek a záväzných firemných pravidiel) a už nebudú udeľovať nové povolenia na používanie týchto nástrojov. Jednotlivé nemecké orgány pre ochranu osobných údajov súbežne s tým vydali jasné varovania, že alternatívne nástroje na prenos sú predmetom právneho preskúmania. Pozri napr. pozičné dokumenty, ktoré vydali orgány pre ochranu osobných údajov Šlezvicka-Holštajnska: https://www.datenschutzzentrum.de/artikel/981-ULD-Position-Paper-on-the-Judgment-of-the-Court-of-Justice-of-the-European-Union-of-6-October-2015,-C-36214.html a Porýnia-Falcka: https://www.datenschutz.rlp.de/de/aktuell/2015/images/20151026_Folgerungen_des_LfDI_RLP_zum_EuGH-Urteil_Safe_Harbor.pdf .

(45)

     Pozri vyhlásenie pracovnej skupiny zriadenej podľa článku 29 zo 16. októbra 2015 (uvedené v poznámke pod čiarou 8).

(46)

     Európska komisia, návrh nariadenia Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane údajov). Pozri aj Európsky parlament: legislatívne uznesenie z 12. marca 2014 o návrhu nariadenia Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane údajov), (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)); Rada: návrh nariadenia Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane údajov), príprava všeobecného smerovania, 9565/15. Návrh sa v súčasnosti nachádza v záverečnej fáze legislatívneho procesu.

(47)

     Pozri odôvodnenie 57 smernice 95/46/ES.

(48)

     V súčasnosti boli prijaté rozhodnutia o primeranosti, pokiaľ ide o tieto krajiny: Andorra, Argentína, Kanada, Faerské ostrovy, Guernsey, Ostrov Man, Izrael, Jersey, Nový Zéland, Švajčiarsko a Uruguaj. Pozri: http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm .

(49)

     Pozri body 99 – 104 rozhodnutia vo veci Schrems.

(50)

     Pozri poznámku pod čiarou 4.