GDPR: osobní údaje můžou opět volně proudit z EU do USA
V červenci přijala Evropská komise klíčové rozhodnutí, kterým zavedla tzv. rámec ochrany soukromí mezi EU a USA. Hlavním záměrem je zajistit takovou ochranu osobních údajů proudících do USA, která je srovnatelná s ochranou zaručenou státy EU. Díky novému rámci mohou mít organizace předávající osobní údaje do amerických společností život zase o trochu snazší.
Rámec ochrany soukromí mezi EU a USA je už třetím pokusem Evropské komise o nastavení pravidel pro předávání osobních údajů z EU do USA. Předchozí pokusy známé jako Privacy Shield a Safe Harbour byly zrušeny Soudním dvorem Evropské unie (SDEU) na popud aktivisty Maximiliana Schremse a jeho organizace NOYB. Důvodem byla primárně nedostatečná záruka ochrany osobních údajů na straně USA.
Nový rámec přináší záruky zohledňující obavy a podněty vyjádřené SDEU, které se týkaly především přístupu amerických zpravodajských služeb k osobním údajům evropských občanů. Americké úřady mají nově přístup k osobním údajům omezen pouze na to, co je pro účely ochrany národní bezpečnosti nezbytné a přiměřené. V případě porušení pravidel pro nakládání s osobními údaji mají občané EU nyní k dispozici několik nezávislých a nestranných mechanismů nápravy. Jedním z nich je například možnost obrátit se na nově zřízený Soud pro přezkum ochrany údajů.
Po vzoru Privacy Shield umožňuje i toto nastavení volný tok osobních údajů k americkým společnostem certifikovaným podle pravidel nového rámce. Aby mohla být společnost na seznam certifikovaných společností zapsána, musí prokázat, že splňuje požadavky na ochranu osobních údajů a zavázat se, že bude dodržovat zásady nového rámce. Před zahájením procesu předání osobních údajů do USA proto doporučujeme zkontrolovat, zda společnost, které osobní údaje předáváte, je uvedena na seznamu certifikovaných společností. Seznam samotný naleznete zde.