Skip to main content

Schrems II

TL;DR

Schrems II je název pro případ ESD (Evropského soudního dvora), který byl založen na skutečnosti, že americké společnosti nemohou zajistit odpovídající standardy ochrany osobních údajů. V důsledku toho se přenos osobních údajů mezi EU a USA stal nezákonným a dohoda Privacy Shield mezi nimi se stala zastaralou.

Co znamená Schrems II?

Schrems II je obecný název pro případ u Evropského soudního dvora, který rozhodl ve prospěch Maxe Schremse a vedl ke zrušení platnosti štítu EU-US Privacy Shielddne 16. července 2020. To vedlo k tomu, že se stalo nezákonným pro jakýkoli typ zpracovatele údajů používat služby z USA, které by těmto službám umožnily přístup k osobním údajům občanů EU, aniž by byla plně vysvětlena rizika. Důsledky byly velmi vážné, a to natolik, že některé velké americké společnosti (např. Facebook) uvažovaly o úplném přerušení svého podnikání v EU.

Předchozí případ, známý jako Schrems I, zahájený stejnou osobou, stál u zrodu podobného výsledku v roce 2015. Rozhodnutí ESD ve věci Schrems II bylo založeno na argumentu, že zejména kvůli americké legislativě stejně jako CLOUD Actneexistuje žádný způsob, jak zaručit soukromí osobních údajů, pokud s nimi nakládají americké společnosti. Federální úřady využívající zatykač mohou vždy donutit zpracovatele dat, jako je Google nebo Facebook, aby zveřejnili osobní údaje o uživatelích, aniž by od nich souhlasili. Nezáleží na tom, kde jsou fyzicky umístěny servery obsahující data. Každý občan EU, který přistupuje na webovou stránku hostovanou v USA nebo na kteroukoli webovou stránku, která využívá aplikace třetích stran spravované americkými společnostmi (např. Google Analytics), musí být řádně informován o všech právních důsledcích přenosu dat, jakož i o všech rizika.

Další podrobnosti o důsledcích Schrems II si můžete přečíst v tomto přehledu. V souhrnu jsou to:

  • vlastníci webových stránek s návštěvníky z EU nemohou ukládat data mimo EU, pokud zákony dané země neposkytují odpovídající úroveň ochrany dat
  • jakékoli služby třetích stran používané webem musí také poskytovat ochranu, a proto nemohou mít sídlo v USA. Tyto služby mohou zahrnovat: nástroje pro analýzu webových stránek, nástroje pro řízení vztahů se zákazníky, reklamní služby, nástroje pro chat, nástroje pro přehled uživatelů atd.
  • seznam amerických společností, které byly vyňaty z pravidel na základě štítu na ochranu soukromí, již legálně nefungovaly
  • bannery se souhlasem musí obsahovat konkrétní informace o souborech cookie a také předpisy pro přenos dat