Evropská komise v souladu s čl. 45 odst. 3 obecného nařízení o ochraně osobních údajů[1] (dále jen „nařízení GDPR“) přijala dne 10. 7. 2023 Prováděcí rozhodnutí o odpovídající úrovni ochrany osobních údajů poskytované Rámcem ochrany soukromí mezi EU a USA (v anglickém znění označeným jako „EU-US Data Privacy Framework“, dále jen „DPF“). Rozhodnutí je reakcí na potřebu vytvořit po zrušení předchozího Prováděcího rozhodnutí Evropské komise o odpovídající úrovni ochrany poskytované štítem EU-USA na ochranu soukromí, známým jako „(EU-US) Privacy Shield“, právní rámec, který by umožňoval snadné předávání osobních údajů z EU do USA v souladu s nařízením GDPR.

DPF představuje samocertifikační systém ve správě a pod dozorem státních orgánů USA, do jehož programu se mohou přihlásit jednotlivé americké společnosti. Pokud tak učiní, zavazují se dodržovat ve vztahu k osobním údajům předávaným z EU (resp. EHP) zásady programu DPF, spočívající zejm. v povinnosti zacházet s těmito údaji v souladu s nařízením GDPR.

Dle výše uvedeného rozhodnutí Evropské komise o PDF tedy lze osobní údaje z EU (příp. EHP) předávat na americké společnosti, které budou platně certifikované dle DPF, za shodných podmínek, za jakých jsou tyto údaje předávány v rámci EU, tj. bez nutnosti přijetí dalších dodatečných opatření.

Závěrem pro úplnost ještě zmiňme, že rozhodnutí Evropské unie o odpovídající úrovni ochrany osobních údajů nejsou jediným možným prostředkem, jak v souladu s nařízením GDPR předávat osobní údaje mimo EU. Správce či zpracovatelé tak mohou učinit i tehdy, pokud v souladu s čl. 46 nařízení GDPR poskytnou vhodné záruky[2], přičemž tyto záruky lze stanovit mj. na smluvní bázi pomocí standardních doložek o ochraně osobních údajů přijatých Evropskou komisí (dále jen „standardní doložky“). Nicméně je třeba mít na paměti, že ani standardní doložky nejsou všespásné, neboť např. nezavazují veřejnoprávní orgány, které nejsou stranou předmětných smluv. V každém jednotlivém případě je tedy nutné přezkoumat, zdali právo země, do které mají být osobní údaje předány, poskytuje odpovídající úroveň ochrany a, pokud nikoliv, přijmout nad rámec uzavřených standardních doložek další nezbytná ochranná opatření. V opačném případě se správci či zpracovatelé vystavují riziku sankce za nedodržení této povinnosti. Příkladem takové sankce je rekordní pokuta ve výši 1,2 miliardy EUR, která byla uložena v květnu tohoto roku společnosti Meta Platforms Ireland Limited irským úřadem pro ochranu osobních údajů („Data Protection Commission“).

[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)

[2] Současně musí být splněno to, že jsou k dispozici vymahatelná práva subjektu údajů a účinná právní ochrana subjektů údajů.