Evropský sbor pro ochranu osobních údajů

Evropský sbor pro ochranu osobních údajů – třicáté čtvrté plenární zasedání: Schrems II, provázanost druhé směrnice o platebních službách a obecného nařízení o ochraně osobních údajů a dopis poslankyni EP Ďuriš Nicholsonové o trasování kontaktů, interoper

Monday, 20 July, 2020

Brusel 20. července – Evropský sbor pro ochranu osobních údajů přijal na svém 34. plenárním zasedání prohlášení k rozhodnutí Soudního dvora Evropské unie (SDEU) ve věci Facebook Ireland a Schrems. Sbor přijal pokyny k provázanosti mezi druhou směrnicí o platebních službách (PSD2) a obecným nařízením o ochraně osobních údajů, jakož i dopis s odpovědí poslankyni EP Ďuriš Nicholsonové o trasování kontaktů, interoperabilitě aplikací a posouzení vlivu na ochranu osobních údajů.

EDPB přijal prohlášení k rozsudku Soudního dvora Evropské unie ve věci C-311/18 - Data Protection Commissioner v. Facebook Ireland Limited a Maximillian Schrems, který zneplatňuje rozhodnutí 2016/1250 o odpovídající úrovni ochrany poskytované Štítem EU‑USA na ochranu soukromí, a považuje rozhodnutí Komise 2010/87/EU o standardních smluvních doložkách (SSD) pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích za platné.

Pokud jde o Štít na ochranu soukromí, EDPB zdůrazňuje, že EU a USA by měly dosáhnout úplného a účinného rámce, který zaručí, že úroveň ochrany poskytovaná osobním údajům ve Spojených státech je v zásadě rovnocenná úrovni ochrany zajištěné v rámci EU, a to v souladu s uvedeným rozsudkem. EDPB má v úmyslu i nadále hrát konstruktivní roli při zabezpečování transatlantického předávání osobních údajů, které je přínosné pro občany i organizace v EHP, a je připraven poskytnout Evropské komisi pomoc a pokyny, aby jí společně s USA pomohl vybudovat nový rámec, který bude plně v souladu s právními předpisy EU o ochraně údajů.

Pokud jde o standardní smluvní doložky, EDPB bere na vědomí prvořadou odpovědnost vývozce a dovozce údajů při zvažování, zda uzavřít SSD, aby se zajistilo, že tyto doložky zachovají úroveň ochrany, která je v zásadě rovnocenná úrovni ochrany zajištěné obecným nařízením o ochraně osobních údajů s ohledem na Listinu základních práv EU. Při provádění takovéhoto předchozího posouzení vezme vývozce údajů (v případě potřeby za pomoci dovozce) v úvahu obsah SSD, zvláštní okolnosti předávání údajů, jakož i právní úpravu platnou v zemi dovozce. Soud zdůrazňuje, že vývozce bude muset pravděpodobně zvážit zavedení dodatečných opatření k opatřením obsaženým v SSD. EDPB bude i nadále zkoumat, v čem by tato dodatečná opatření mohla spočívat.

EDPB rovněž bere na vědomí povinnosti příslušných dozorových úřadů pozastavit nebo zakázat předávání údajů do třetí země v souladu s SSD, pokud podle názoru příslušného dozorového úřadu a s ohledem na všechny okolnosti tohoto předávání uvedené doložky v této třetí zemi nejsou nebo nemohou být dodrženy a ochranu předávaných údajů nelze zajistit jinými prostředky, zejména pokud správce nebo zpracovatel již sám toto předávání nepozastavil nebo neukončil.

EDPB připomíná, že přijal pokyny k článku 49 obecného nařízení o ochraně osobních údajů a že tyto odchylky musí být uplatňovány případ od případu.

EDPB posoudí rozsudek podrobněji a poskytne zúčastněným stranám další objasnění a pokyny ohledně používání nástrojů pro předávání osobních údajů do třetích zemí v souladu s rozsudkem. Jak uvedl SDEU, EDPB a jeho evropské dozorové úřady jsou také připraveny zajistit jednotnost v rámci EHP.

Celé prohlášení je k dispozici zde: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_cs.

EDPB přijal pokyny ke druhé směrnici o platebních službách (PSD2). Směrnice PSD2 modernizuje právní rámec pro trh platebních služeb. Je důležité, že směrnice PSD2 zavádí právní rámec pro nové služby iniciování platby a služby informování o účtu. Uživatelé mohou požádat, aby poskytovatelé těchto nových platebních služeb měli přístup k jejich platebním účtům. V návaznosti na workshop zúčastněných stran v únoru 2019 vypracoval EDPB pokyny k uplatňování obecného nařízení o ochraně osobních údajů na tyto nové platební služby.

Zmiňované pokyny uvádějí, že v této souvislosti je zpracování zvláštních kategorií osobních údajů obecně zakázáno (v souladu s čl. 9 odst. 1 obecného nařízení o ochraně osobních údajů), s výjimkou případů, kdy subjekt údajů udělí výslovný souhlas (čl. 9 odst. 2 písm. a) obecného nařízení o ochraně osobních údajů) nebo zpracování je nezbytné z důvodů významného veřejného zájmu (čl. 9 odst. 2 písm. g) obecného nařízení o ochraně osobních údajů).

Tyto pokyny se rovněž zabývají podmínkami, za nichž poskytovatelé platebních služeb, kteří vedou účet, poskytují přístup k informacím o platebním účtu poskytovatelům služeb iniciování platby a poskytovatelům služeb informování o účtu, zejména pokud jde o podrobný přístup k platebním účtům.

Tyto pokyny objasňují, že čl. 66 odst. 3 písm. g) ani čl. 67 odst. 2 písm. f) směrnice PSD2 neumožňují žádné další zpracování, pokud subjekt údajů neudělil souhlas podle čl. 6 odst. 1 písm. a) obecného nařízení o ochraně osobních údajů nebo pokud se zpracování řídí právem Unie nebo členského státu. Pokyny budou předloženy k veřejné konzultaci.

Sbor také přijal dopis s odpovědí na otázku poslankyně EP paní Ďuriš Nicholsonové týkající se ochrany osobních údajů v souvislosti s bojem proti onemocnění COVID-19. Tento dopis se týká otázek zabývajících se harmonizací a interoperabilitou aplikací pro trasování kontaktů, požadavku na posouzení vlivu na ochranu osobních údajů pro takové zpracování a doby, po kterou zpracování může být prováděno.

EDPB_Press Release_2020_12