Využíváte poskytovatele cloudových služeb nebo provozovatele serverů z USA? Pak jste možná v loňském roce zaznamenali, že se trochu zkomplikovalo předávání osobních údajů z EU do USA. Jak to s tím předáváním do USA tedy je a na co si dát pozor?
CO TO BYL PRIVACY SHIELD A PROČ UŽ JE MINULOSTÍ?
Do července 2020 jsme mohli předávat osobní údaje certifikovaným subjektům do USA v podstatě obdobně jako v rámci EU. Předávání zaštiťoval EU-USA Štít soukromí (Privacy Shield). Privacy Shield byl ale v červenci 2020 zrušen rozsudkem Soudního dvora EU C-311/18. Důvod spočíval zejména v tom, že právní řád USA neposkytuje občanům EU dostatečné záruky ochrany jejich osobních údajů. Některé orgány USA (např. tajné služby) totiž mohou požádat poskytovatele elektronických komunikací (např. poskytovatele cloudových a mailingových služeb, provozovatele serverů) o přístup k osobním údajům občanů EU bez toho, aniž se občané EU mohli u orgánů USA adekvátně bránit.
JE TEDY MOŽNÉ ZPŘÍSTUPŇOVAT OSOBNÍ ÚDAJE DODAVATELŮM Z USA I BEZ PRIVACY SHIELDU?
Po zrušení Privacy Shieldu někteří tvrdili, že předávání USA není možné vůbec. Jiným naopak stačilo do smlouvy přidat standardní smluvní doložky pro předávání osobních údajů schválené Evropskou komisí, které jsou dle GDPR (obecného nařízení o ochraně osobních údajů) jedním z nástrojů pro předávání osobních údajů mimo EU.
Letos začínáme mít i díky nedávným rozhodnutím německého dozorového úřadu (věc MailChimp) a francouzského nejvyššího správního soudu (věc Amazon Web Sevices) jasno.
Z rozhodnutí plyne, že předávat osobní údaje dodavatelům z USA zatím můžete. Je nutné ale zajistit, že budou přijaty vhodné záruky ochrany osob, jejichž osobní údaje jsou předávány.
JAK MAJÍ BÝT VHODNÉ ZÁRUKY OCHRANY STANOVENY?
V prvé řadě některým z nástrojů vymezených v čl. 45 až 49 GDPR. V případě USA jsou to zejména standardní smluvní doložky o pravidlech předávání osobních údajů, které by měly být začleněny do smlouvy s dodavatelem. Ty ale samy o sobě stačit nebudou. V případě amerických dodavatelů by totiž správci předávající osobní údaje do USA měli přijmout další vhodné záruky, aby osobním údajům poskytli dostatečnou ochranu i pro případy žádostí o přístup k údajům. Dle rozhodnutí francouzského soudu se jedná zejména o adekvátní technická i právní opatření dle rizikovosti zpracování. A o jaká opatření jde? Můžeme se inspirovat postupem Amazon Web Services (AWS), který francouzský soud posoudil jako dostatečný.
Jádro technického zabezpečení cloudů AWS spočívá v šifrování údajů. Klíč k dešifrování přitom AWS svěřil třetí důvěryhodné osobě.
AWS se kromě technického zabezpečení zavázal také k velmi široké součinnosti se svými zákazníky (správci osobních údajů). Zavázal se k tomu, že předané osobní údaje nezpřístupní nikomu, kdo k tomu nemá právo, že se bude snažit žádosti předat správcům. Když bude muset žádostem vyhovět, bude o nich správce informovat, a pokud mu v tom bude bránit zákaz zpřístupnění, bude se snažit získat výjimku ze zákazu.
Kromě těchto specifických povinností se AWS zavázal k řadě dalších opatření, která zpravidla ve smlouvách o zpracování osobních údajů najdeme.
JAKÉ KROKY UČINIT VŮČI STÁVAJÍCÍM DODAVATELŮM Z USA?
Udělejte si pořádek v dodavatelích a přenosu dat
Někdy to bude chtít trochu zapátrat, ale bez přehledu o dodavatelích se neobejdete. Ověřte si raději, kdo z dodavatelů sídlí v USA, nebo je součástí amerického koncernu.
Dále byste měli také vědět, k jakým údajům a v jakém kontextu může mít dodavatel přístup i jací subdodavatelé mohou k údajům přistupovat.
Podle základního přehledu byste měli poznat, jak rizikové zpracování je, a jak moc byste měli údaje chránit.
Ověřte si, zda máte s dodavatelem uzavřenou smlouvu o zpracování osobních údajů
Smlouvu nebo obchodní podmínky, které obsahují ustanovení o zpracování osobních údajů, byste pravděpodobně měli mít k dispozici. Buď jste smlouvu podepisovali, nebo jste na webu souhlasili s obchodními podmínkami, které vám dodavatel snad zaslal e-mailem. Případně aktuální obchodní podmínky byste měli najít i na webu dodavatele.
Žádná smlouva ani obchodní podmínky neexistují? Přistupte k bodu Uzavřete s dodavatelem novou smlouvu o zpracování osobních údajů, dodatek nebo dodavatele změňte.
Ověřte si, zda je předávání údajů založeno na vhodných zárukách ochrany
V případě amerických dodavatelů je pravděpodobné, že byste měli v textu smlouvy najít text standardních smluvních doložek. Není ale vyloučeno, že předávání je založeno na jiných nástrojích dle čl. 45 až 49 GDPR. Např. pokud jste součástí koncernu, tak se v textu smlouvy můžou objevit závazná podniková pravidla schválená dozorovým úřadem v EU.
Pokud jste standardní smluvní doložky v textu smlouvy našli, zkuste zapátrat, jak se dodavatel zavázal údaje technicky i právně zabezpečit. Vodítkem budou zejména části s výskytem závazku šifrovat data, a postupu dodavatele v případě, že je požádán o zpřístupnění dat např. státním orgánem.
Adekvátní opatření odpovídající podmínkám AWS schválených francouzským soudem přijali např. MailChimp či Microsoft). Není to ale zatím běžná praxe.
Již tomto roce (snad do léta) by měla být účinná nová verze standardních smluvních doložek schválených Evropskou komisí, která by měla povinnosti tímto způsobem chránit údaje konkretizovat. I tak ale bude potřeba posoudit, zda standardní smluvní doložky vhodné záruky ochrany údajů poskytují, nebo je třeba povinnosti dodavatele přitvrdit. Platí přitom pravidlo, že čím citlivější údaje dodavateli zpřístupňujete, tím více si dejte pozor na to, k čemu se dodavatel zavázal.
Uzavřete s dodavatelem novou smlouvu o zpracování osobních údajů, dodatek nebo dodavatele změňte
Nemáte s dodavatelem uzavřenou žádnou smlouvu o zpracování osobních údajů, povinnosti dodavatele nejsou obsaženy v obchodních podmínkách vůbec, nebo jeho povinnosti nejsou dostatečné? Neprodleně navrhněte dodavateli uzavření nebo změnu smlouvy s adekvátním obsahem.
Do té doby, než dodavatele zavážete adekvátními povinnostmi, byste mu měli přestat zpřístupňovat osobní údaje (tj. využívat jeho služby). Jinak budete porušovat GDPR a příslušný dozorový úřad může předávání přerušit do doby přijetí vhodných opatření (např. nedávný případ přerušení předávání dat ze sčítání lidu portugalským statistickým úřadem INE dodavateli do USA)
Pokud se dodavatel dalším závazkům brání, doporučujeme přejít k jinému dodavateli (ne nutně sídlícímu v EU).
Pravidelně si kontrolujte, zda se něco nezměnilo
Vše se mění. S tím i kontext zpracování osobních údajů, technologické možnosti zabezpečení, subdodavatelské vztahy či právní předpisy. Čas od času si proto raději zkontrolujte, zda jste nezměnili způsob zpracování osobních údajů, zda jsou přijaté povinnosti dodavatele stále adekvátní nebo zda nedošlo ke změně právní úpravy (např. i přijetí nových standardních smluvních doložek).
CO DODAVATELÉ Z JINÝCH ZEMÍ MIMO EU?
Obdobná pravidla platí i v případě, že vaši dodavatelé sídlí i v jiných státech mimo EU. Ne vždy ale bude nutné pátrat po standardních smluvních doložkách nebo jiných nástrojích dle čl. 45 až 49 GDPR, které je nutné zakotvit do smlouvy. Předávání údajů do některých států je totiž zaštítěno podobným rozhodnutím jako byl US-EU Privacy Shield (např. Izrael, Japonsko, Kanada, Nový Zéland, nebo Švýcarsko).
Bez ohledu na přijatý nástroj pro předávání osobních údajů dle GDPR doporučujeme si vždy ověřit, zda smlouva s dodavatelem poskytuje dostatečné záruky ochrany osobních údajů (zejm. zda se dodavatel zavázal používat údaje pouze pro poskytnutí vámi požadovaných služeb, zda jsou údaje dostatečně zabezpečeny a dodavatel je povinen s vámi spolupracovat).
Autor: Kristýna Gembalová