Autoři: Robert Nešpůrek, Richard Otevřel
Téměř až do konce loňského roku nikdo z nás neměl tušení, jak bude vypadat dohoda mezi Spojeným královstvím a EU ohledně vystoupení z EU a zda k takové dohodě vůbec dojde. Od 1. 1. 2021 je účinná sada dohod mezi EU a Spojeným královstvím, která obsahuje i úpravu osobních údajů. Zda a jak lze dále předávat osobní údaje do Spojeného království, jestli je k tomu nutná další dokumentace a co se může v této oblasti změnit od června 2021, se dozvíte v našem novém vydání Privacy Flashe.
Již od roku 2016, kdy se ve Spojeném království konalo referendum o vystoupení z Evropské unie (tzv. brexit), se otázky vzájemné spolupráce se Spojeným královstvím staly jedním z ústředních témat evropského podnikatelského prostředí.
Změna pravidel pro obchod se Spojeným královstvím s sebou kromě složitějších toků zboží, služeb a osob ze Spojeného království přinesla i otázku předávání osobních údajů a jejich ochrany.
Od 1. 1. 2021 se Spojené království stalo třetí zemí, avšak s dočasným speciálním režimem. Tento speciální režim zajistilo přijetí tří dohod v prosinci 2020, které upravují vztahy mezi EU a Spojeným království v postbrexitovém období. Jednalo se o:
Z uvedených dohod právě Obchodní dohoda určila směřování a pravidla vzájemného obchodního styku, jakož i předávání osobních údajů po brexitu. Tedy je alespoň nastínila.
Obchodní dohoda na základě ustanovení článku DIGIT 6, 7 a LAW. GEN. 4 umožnila nepřetržitý tok osobních údajů do Spojeného království z EU s tím, že Spojené království z hlediska předávání osobních údajů není dočasně fakticky považováno za třetí zemi.
Tento stav předávání údajů však může podle Obchodní dohody trvat maximálně do konce června 2021. Přesněji řečeno, toto období trvá čtyři měsíce (od 1. 1. 2021) a prodlouží se o další dva měsíce, pokud proti tomu Spojené království nebo Evropská komise nevznese žádné námitky.
Kromě námitek může toto přechodné období zkrátit i rozhodnutí Evropské komise o přiměřenosti. Pod uvedeným rozhodnutím si lze představit posouzení legislativy týkající se zpracování a ochrany osobních údajů ve Spojeném království Evropskou komisí, na jehož základě může současný režim „volného“ předávání osobních údajů pokračovat podle podmínek stanovených v tomto rozhodnutí. Rozhodnutí o přiměřenosti je v současnosti základem předávání údajů například do Japonska, ale nejznámější bylo donedávna platné rozhodnutí o odpovídající úrovni pro předávání údajů do USA s názvem Privacy Shield.
Sečteno podtrženo, do června 2021 se z hlediska předávání osobních údajů do Spojeného království z pohledu českého nebo slovenského podnikatele velmi pravděpodobně nic nezmění.
Na místě je otázka, za jakých okolností budou po tomto termínu moci zpracovávat osobní údaje například obchodní společnosti se sídlem nebo s umístěním serverů ve Spojeném království. Stejně tak je pro dotčené osoby otázkou, jak bude zajištěno, že po předání jejich údajů do Spojeného království budou tyto údaje dostatečně chráněny podle unijních standardů ochrany.
V úvahu na základě současně platné legislativy a předpokládaného vývoje přicházejí zejména dvě varianty: s vydáním rozhodnutí o přiměřenosti Evropskou komisí, nebo bez něj.
Spojené království plně sdílí regulaci ochrany osobních údajů platnou v Evropské unii, jaká členskému státu náleží. Z tohoto hlediska by britská verze nařízení GDPR, známá jako UK GDPR, společně s dalšími přijatými předpisy měla jako odpovídající regulatorní základ ochrany osobních údajů stačit. V rámci vzájemných obchodních vztahů lze předpokládat, že přijetí rozhodnutí o přiměřenosti Evropskou komisí je také cílem současného britského politického vedení.
Jestliže Evropská komise přijme rozhodnutí o přiměřenosti, potvrdí se tím, že osobní údaje mohou volně plynout z EU do Spojeného království i nadále, a tudíž bude do značné míry zachován současný režim.
Tato varianta se nyní jeví jako pravděpodobnější, jelikož 19. 2. 2021 Evropská komise zveřejnila návrh dvou rozhodnutí o přiměřenosti. Návrhy však před sebou mají ještě dlouhou cestu. Nejdříve se k nim vyjádří Evropský sbor pro ochranu osobních údajů, pak je nezbytné jejich schválení zástupci jednotlivých členských států a až následně mohou být návrhy řádně přijaty Evropskou komisí jako rozhodnutí o přiměřenosti.
Pokud výše uvedený proces nedojde ke zdárnému konci, druhým východiskem situace bude, že Evropská komise rozhodnutí o přiměřenosti do konce června 2021 nepřijme. V takovém případě by se od 1. 7. 2021 Spojené království dostalo do režimu běžných třetích zemí ve smyslu GDPR.
Převedeno do praxe, i nadále bude možné předávat údaje z EU do Spojeného království, avšak takovému předávání bude muset předcházet posouzení bezpečnosti předávání a ochrany osobních údajů ve Spojeném království ze strany obchodní společnosti, která osobní údaje plánuje předávat. V takovém případě jsou nejčastějším základem předávání údajů tzv. standardní smluvní doložky.
Standardní smluvní doložky musí být součástí smluv, na jejichž základě jsou osobní údaje předávány do třetích zemí a tam zpracovávány dalším subjektem. Právě uvedená ustanovení smluv mají představovat záruky, že osobní údaje budou ve třetích zemích zpracovávány v souladu s principy evropské regulace ochrany osobních údajů.
Stručně řečeno, pokud Evropská komise rozhodnutí o přiměřenosti v souvislosti s ochranou osobních údajů ve Spojeném království nepřijme, bude pro další předávání údajů nutné mít uzavřené smlouvy obsahující standardní smluvní doložky. Samotné začlenění zmíněných ustanovení do již existujících smluv však samo o sobě stačit nebude. Je nutné je doplnit dalšími nástroji, které přineslo rozhodnutí Soudního dvora EU ve věci Schrems II, a samozřejmě vynaložit alespoň přiměřené úsilí o vymáhání povinností stanovených těmito ustanoveními.
Podmínky předávání osobních údajů do Spojeného království budou záviset na rozhodnutí Evropské komise.
Do té doby je nutné připravit se na obě varianty, protože podobně jako v případě obchodní dohody může finální řešení přijít (nebo nepřijít) až na poslední chvíli.
Každý vývozce osobních údajů do Spojeného království by měl zvážit svůj přístup k řešení takto nastavené situace, a to i navzdory nebo právě kvůli nejistotě, která je s ní spojena. Jedním z řešení je spolehnout se na to, že Evropská komise přijme již existující návrhy rozhodnutí o přiměřenosti a Spojené království se třetí zemí nestane. V takovém případě není nutné udělat nic.
Pokud však chce mít vývozce jistotu, že jeho obchodní činnost nebude negativně ovlivněna nepředvídatelností politických procesů a rozhodnutí, je nutné zvážit přijetí odpovídajících opatření, aby mohl ve své činnosti bezpečně pokračovat i v případě, že Evropská komise rozhodnutí o přiměřenosti nepřijme. Nejvhodnějším řešením bude uzavření standardních smluvních doložek nebo jejich začlenění do již existujících smluv.
S tím, jakož i s problematikou ochrany osobních údajů jsme Vám samozřejmě připraveni pomoci a poskytnout Vám naše služby, na něž se můžete spolehnout.
Radka Rainová