Brusel, 20. júla – Európsky výbor pre ochranu údajov (ďalej len „EDPB“) prijal počas svojej 34. plenárnej schôdze vyhlásenie k rozsudku Súdneho dvora Európskej únie (ďalej len „SDEÚ“) vo veci Facebook Ireland/Schrems. Výbor prijal usmernenia k vzájomnému pôsobeniu medzi druhou smernicou o platobných službách (PSD2) a všeobecným nariadením o ochrane údajov a schválil znenie listu s odpoveďou poslankyni EP Ďurišom Nicholsonovej o sledovaní kontaktov, interoperabilite aplikácií a posúdení vplyvu na ochranu údajov.
EDPB prijal vyhlásenie k rozsudku Súdneho dvora Európskej únie vo veci C-311/18 – Commissioner Protection Commissioner/Facebook Ireland a Maximillian Schrems, ktorým sa ruší rozhodnutie 2016/1250 o primeranosti ochrany poskytovanej Privacy Shield medzi EÚ a USA, a ktorým sa považuje rozhodnutie Komisie 2010/87 o štandardných zmluvných doložkách pre prenos osobných údajov sprostredkovateľom usadeným v tretích krajinách za platné.
Pokiaľ ide o Privacy Shield, EDPB poukazuje na to, že EÚ a USA by mali dosiahnuť úplný a účinný rámec, ktorý zaručí, že úroveň ochrany poskytovanej osobným údajom v USA bude v podstate rovnocenná úrovni ochrany zaručenej v rámci EÚ, a to v súlade s týmto rozsudkom. EDPB má v úmysle sa aj naďalej konštruktívne podieľať na zabezpečovaní transatlantického prenosu osobných údajov, ktorý by bol prínosom pre občanov a organizácie EHP, a je pripravený poskytnúť Európskej komisii pomoc a usmernenia, aby jej pomohol v spolupráci s USA vytvoriť nový rámec, ktorý je v úplnom súlade s právnymi predpismi EÚ o ochrane údajov.
Pokiaľ ide o štandardné zmluvné doložky, EDPB berie na vedomie primárnu zodpovednosť vývozcu a dovozcu pri zvažovaní, či vstúpiť do štandardných zmluvných doložiek, s cieľom zabezpečiť, aby si tieto zachovali úroveň ochrany, ktorá je v podstate rovnocenná úrovni zaručenej vo všeobecnom nariadení o ochrane údajov so zreteľom na Chartu EÚ. V rámci takéhoto predbežného posúdenia vývozca (v prípade potreby s pomocou dovozcu) zohľadní obsah štandardných zmluvných doložiek, osobitné okolnosti prenosu, ako aj právny režim platný v krajine dovozcu. Súdny dvor zdôrazňuje, že vývozca môže zvážiť zavedenie dodatočných opatrení k tým, ktoré sú zahrnuté do štandardných zmluvných doložiek. EDPB bude ďalej skúmať, čo by mohlo byť obsahom týchto dodatočných opatrení.
EDPB berie tiež na vedomie povinnosti príslušných dozorných orgánov pozastaviť alebo zakázať prenos údajov do tretej krajiny podľa štandardných zmluvných doložiek, ak podľa názoru príslušného dozorného orgánu a vzhľadom na všetky okolnosti tohto prenosu uvedené doložky nie sú alebo nemôžu byť v tejto tretej krajine dodržané a ochrana prenášaných údajov sa nemôže zabezpečiť inými prostriedkami, najmä ak samotný prevádzkovateľ alebo sprostredkovateľ už nepozastavil alebo neukončil prenos.
EDPB pripomína, že prijal usmernenia k článku 49 všeobecného nariadenia o ochrane údajov a že takéto výnimky sa musia uplatňovať od prípadu k prípadu.
EDPB podrobnejšie posúdi rozsudok a poskytne zainteresovaným stranám ďalšie objasnenie a usmernenie týkajúce sa používania nástrojov na prenos osobných údajov do tretích krajín na základe tohto rozsudku. Ako uviedol SDEÚ, EDPB a jeho európske dozorné orgány sú tiež pripravené zabezpečiť konzistentnosť v rámci EHP.
Celé vyhlásenie je k dispozícii tu: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_en
EDPB prijal usmernenia k druhej smernici o platobných službách (PSD2). PSD2 modernizuje právny rámec trhu s platobnými službami. Dôležité je, že táto smernica zavádza právny rámec pre nové platobné iniciačné služby (PISP) a služby informovania o účte (AISP). Používatelia môžu požiadať o poskytnutie prístupu týmto novým poskytovateľom platobných služieb k ich platobným účtom. Po workshope zainteresovaných strán, ktorý sa konal vo februári 2019, vypracoval EDPB usmernenia týkajúce sa uplatňovania všeobecného nariadenia o ochrane údajov na tieto nové platobné služby.
V usmerneniach sa uvádza, že spracúvanie osobitných kategórií osobných údajov je v tejto súvislosti vo všeobecnosti zakázané (v súlade s článkom 9 ods. 1 všeobecného nariadenia o ochrane údajov) s výnimkou prípadov, keď dotknutá osoba poskytne výslovný súhlas (článok 9 ods. 2 písm. a) všeobecného nariadenia o ochrane údajov) alebo spracúvanie je nevyhnutné z dôvodov závažného verejného záujmu (článok 9 ods. 2 písm. g) všeobecného nariadenia o ochrane údajov).
V usmerneniach sa takisto riešia podmienky, za ktorých poskytovatelia platobných služieb spravujúci účet poskytujú poskytovateľom platobných iniciačných služieb a poskytovateľom služieb informovania o účte prístup k informáciám o platobných účtoch, najmä pokiaľ ide o granulárny prístup k platobným účtom.
V usmerneniach sa objasňuje, že ani článok 66 ods. 3 písm. g), ani článok 67 ods. 2 písm. f) PSD2 neumožňujú ďalšie spracúvanie, pokiaľ dotknutá osoba nedala súhlas podľa článku 6 ods. 1 písm. a) všeobecného nariadenia o ochrane údajov alebo ak je spracúvanie stanovené právom Únie alebo právom členského štátu. Usmernenia budú predložené na verejnú konzultáciu.
Napokon Výbor schválil znenie listu s odpoveďou na otázky poslankyne EP Ďuriš Nicholsonovej o ochrane údajov v súvislosti s bojom proti ochoreniu COVID-19. V liste sa riešia otázky týkajúce sa zosúladenia a interoperability žiadostí o sledovanie kontaktov, požiadavky na DPIA pre takéto spracúvanie a doba, počas ktoré sa môže uskutočniť spracúvanie.
EDPB_Press Release_2020_12