Zrušení štítu soukromí – jak si poradit s předáváním dat do USA podle Evropského sboru pro ochranu osobních údajů
Evropský sbor pro ochranu osobních údajů (EDPB) vydal dne 12. 11. 2020 dlouho očekávaná Doporučení č. 01/2020 ohledně opatření, která doplňují režimy předávání osobních údajů do třetích zemí a mají zajistit soulad s úrovní ochrany osobních údajů v EU. Doporučení mají sloužit jako vodítko k praktickým krokům směřujícím k zajištění, aby přenosy osobních údajů mimo Evropský hospodářský prostor (EHP) byly v souladu s GDPR. Přímo navazují na rozhodnutí Soudního dvora Evropské unie ve věci Schrems II (více zde). To zásadním způsobem zpochybnilo zákonnost předávání dat do USA. Doporučení EDPB jsou otevřená pro veřejné konzultace do 21. prosince 2020. Navrhovaná opatření ze strany EDPB jsme pro vás zestručnili, jak to jen šlo. (I tak je to ale souhrn na několik stran )
POSOUZENÍ ÚROVNĚ OCHRANY ÚDAJŮ VE TŘETÍ ZEMI
EDPB nejprve vyzývá společnosti (vývozce dat) k důkladné analýze všech datových toků, a to následujícím způsobem:
- Zmapujte předávání údajů: popište všechny převody údajů, jejich příjemce, účely předávání, kategorie předávaných údajů, místo, kam je předáváte nebo k nim jinak umožňujete přístup (včetně jejich uložení).
- Určete vhodný režim/nástroj pro převod podle GDPR (čl. 44 a násl. GDPR).
- Důkladně posuďte úroveň ochrany osobních údajů ve třetí zemi, do které chcete data předávat.
- Přijměte dodatečná opatření v případě, že úroveň ochrany údajů neodpovídá standardu GDPR.
- Zjistěte formální zakotvení a implementaci zvolených opatření (právně, technicky).
- Nastavte proces přezkumu a hodnocení opatření a obecně úrovně ochrany osobních údajů v rámci předávání do třetích zemí.
- Pokud není možné najít vhodná opatření a zajistit odpovídající úroveň ochrany údajů, nesmíte údaje předávat.
EDPB přitom zdůrazňuje, že je povinností každého vývozce dat, aby zhodnotil, zda je třetí země, tedy země mimo Evropský hospodářský prostor, pro předání údajů bezpečná.
Při posouzení úrovně ochrany údajů ve třetí zemi je třeba vzít v úvahu následující faktory:
- Účely, pro které jsou údaje přenášeny a zpracovávány (např. marketing, HR, IT podpora, klinické studie).
- Typy subjektů zapojených do zpracování (veřejné/soukromé; správce/zpracovatel).
- Sektor, ve kterém k předávání dochází (např. reklamní systémy, telekomunikace, finance atd.).
- Kategorie předávaných osobních údajů (Např. osobní údaje týkající se dětí mohou spadat do oblasti působnosti zvláštních právních předpisů ve třetí zemi.).
- Místo uložení dat (uložení ve třetí zemi, nebo pouze vzdálený přístup k datům uloženým v EU/EHP).
- Formát přenášených dat (tj. prostý text/pseudonymizovaná nebo šifrovaná data).
- Možnost dalších převodů ze třetí země do další třetí země a dalším příjemcům (tzv. onward transfery).
- Práva subjektů údajů a účinné způsoby jejich výkonu (právo na náhradu škody a soudní ochranu).
- Zákony – je potřeba posoudit, jaké stanoví požadavky na sdělování osobních údajů orgánům veřejné moci a zda jsou omezeny na to, co je v demokratické společnosti nezbytné a přiměřené (srov. články 47 a 52 Listiny základních práv EU).
- Právní předpisy o ochraně údajů, praxe, rozhodování úřadů a soudů, existence nezávislého dozorového úřadu, mezinárodněprávní nástroje (např. Úmluva 108), dodržování pravidel právního státu.
Úroveň ochrany osobních údajů je třeba posuzovat podle detailní metodiky EDPB (dostupná zde). Vývozci údajů se přitom nemohou spoléhat na subjektivní faktory, jako je pravděpodobnost přístupu orgánů veřejné moci k údajům.
Může se stát, že země, do níž údaje předáváte, není rovnocenná s úrovní ochrany údajů v Evropském hospodářském prostoru. To však ještě neznamená, že by za žádných okolností nebylo možné údaje do těchto zemí předat. Pro takové situace zveřejnil EDPB dodatečná opatření.
DODATEČNÁ OPATŘENÍ
Smyslem dodatečných opatření je umožnit předávání údajů i přes to, že podle hodnocení vývozce údajů neposkytuje třetí země, kam se chystá údaje předat, úroveň ochrany osobních údajů, která by se dala považovat za rovnocennou s úrovní v EHP. Ta budou nezbytná, zejména pokud právní předpisy dané země ukládají dovozcům údajů povinnosti ke sdělování osobních údajů orgánům veřejné moci, které nejsou v demokratické společnosti nezbytné a přiměřené. Podle našeho názoru patří mezi relevantní opatření následující:
- Silné šifrování dat před jejich přenosem společně s uchováním klíčů pouze vývozcem.
- Pseudonymizace údajů tak, aby v zásadě pro dovozce údajů a případně orgány veřejné moci nebylo možné je re-identifikovat, včetně možnosti tzv. mozaikového efektu (poskládání informací z různých zdrojů), kombinace, porovnání, křížových odkazů atd. To platí zejména v případě online údajů.
- Rozdělené zpracování – tj. zpracování prováděné částečně více stranami, které brání v získání úplných osobních údajů, zejména pokud se zpracovatelé nacházejí v různých jurisdikcích. Jde zpravidla o použití pseudonymizovaných údajů a jejich rozdělení na části, z nichž není možné údaje re-identifikovat.
EDPB rovněž uvádí příklady, kdy nejsou možná žádná efektivní opatření, a tudíž by podle jeho názoru nemělo k předávání dat docházet vůbec. Předpokladem takové situace podle EDPB je, že:
- Není možné nasadit dostatečné šifrování zamezující přístupu k údajům.
- Příjemce dat ve třetí zemi (tj. váš poskytovatel) má přístup k nezašifrovaným datům.
- Orgány veřejné moci v dané zemi mají možnost přístupu k údajům, který není nezbytný a přiměřený v demokratické společnosti (obecná podmínka pro nutnost přijetí dodatečných opatření – viz výše).
Jako konkrétní příklady, kdy podle EDPB nebude možné údaje předávat, se uvádí:
- Cloudové služby vyžadující přístup k nezašifrovaným datům.
- Vzdálený přístup pro obchodní služby zahrnující nezašifrovaná data (typicky outsourcing zákaznické podpory).
Smluvní opatření
Mezi vývozcem a dovozcem lze také zavést smluvní opatření (nad rámec výše zmíněných technických opatření). Sama o sobě sice nemohou zajistit adekvátní ochranu a nelze na ně bez dalšího spoléhat při předávání do třetích zemí, kde není zajištěna srovnatelná úroveň ochrany jako v EHP, ale mohou alespoň pomoci zmírnit rizika. Vybrali jsme pro vás tato:
- Informační povinnost dovozce týkající se možného přístupu orgánů veřejné moci k údajům, poskytnutí statistik a zkušeností s požadavky těchto orgánů (přímé zkušenosti dovozce, sektoru, trhu, na státní úrovni).
- Záruky týkající se (neexistence) zadních vrátek („backdoor“) nebo procesů, které by umožnily přístup k datům zejm. orgánům veřejné moci.
- Posílená práva na audit a kontrolu dovozce.
- Informační povinnost ohledně změn v legislativě, praxi, rozhodování úřadů a soudů atd., které by mohly mít vliv na ochranu osobních údajů odpovídající úrovni v EHP.
- Pravidelné automatické potvrzení (Warrant Canary), že nebyla podána žádná žádost o přístup k datům, která by byla v rozporu s úrovní ochrany osobních údajů podle GDPR.
- Povinnost informovat o žádosti a souvisejících povinnostech (vývozce, dozorový úřad v EHP, subjekty údajů, žadatele o přístup) a napadnout jakoukoli žádost, která není v souladu s GDPR.
- Zákaz přístupu k údajům dovozcem nebo povinnost vyžádat si předchozí souhlas vývozce (případně subjektu údajů) před přístupem dovozce k údajům (byť smluvně nelze přebít zákonné povinnosti).
- Povinnost pomáhat subjektům údajů dosáhnout účinné nápravy a ochrany jejich práv, včetně řízení před soudem.
- Závazek neprovádět žádné další převody do třetích zemí, kde by nebyla zajištěna odpovídající úroveň ochrany osobních údajů v souladu s GDPR.
Organizační opatření
Nakonec ještě zmíníme možná organizační opatření, o nichž si myslíme, že mohou pomoci při prokazování zákonnosti předávání údajů a odpovědnosti vývozce údajů.
- Interní směrnice včetně procesů pro případy řešení žádostí o přístup k datům ze strany orgánů veřejné moci, které by ohrožovaly odpovídající úroveň ochrany osobních údajů podle GDPR. Zejména:
- Specializované týmy zabývající se požadavky na zpřístupnění údajů subjekty mimo EHP.
- Oznámení právnímu oddělení, vrcholnému managementu.
- Stanovení postupu při vyřizování žádostí o přístup ze strany orgánů veřejné moci, které by ohrožovaly odpovídající úroveň ochrany osobních údajů podle GDPR.
- Školení a vzdělávání zaměstnanců v této oblasti (praktické příklady žádostí a srovnání s požadavky GDPR a Listiny základních práv EU).
- Dokumentace a záznamy žádostí o přístup, poskytnutí údajů.
- Zveřejňování zpráv o transparentnosti zahrnující žádosti o přístup a způsoby jejich řešení.
- Přísná správa přístupu k údajům, dodržování důvěrnosti údajů, minimalizace zpracovávaných údajů.
- Pravidelné audity týkající se předávání údajů a řešení žádostí o přístup k údajům ze strany orgánů veřejné moci (případně dalších subjektů).
- Informování pověřence pro ochranu osobních údajů, právního oddělení, interního auditu apod. v případě žádostí o přístup k údajům ze strany orgánů veřejné moci (případně dalších subjektů), a to před zpřístupněním údajů tak, aby byla náležitě posouzena nezbytnost takového zpřístupnění a dodržení povinností.
SHRNUTÍ
Na závěr nezbývá než si postesknout, že EDPB bohužel příliš nenaplnil očekávání podniků ohledně praktických rad a pomoci při řešení nastalé složité situace. Zejména pokud jde o předávání dominantním americkým společnostem, jako jsou Google, Facebook a další. Veškeré břemeno a odpovědnost jen dále posunul na samotné podniky, přičemž požadavky jsou natolik náročné, že nelze reálně předpokládat, že by je zejména menší a střední podniky byly schopné naplnit. Doporučení tak problém nevyřešila, ale spíše ho ještě prohloubila, a to především na úkor menších evropských podniků.
Mohlo by vás také zajímat:
Je převod osobních údajů z Evropy do USA dostatečně bezpečný?
Bez osobních údajů zákazníků se nehnete? Dejte jim najevo, že se o ně nemusejí bát