Máte data v cloudu v USA? Měli byste zbystřit

Drtivá většina B2B amerických platforem zpracovávala osobní údaje pro klienty z EU právě na základě certifikace v Privacy Shield, který Evropský soud dnes zrušil. Nové rozhodnutí se tak bude týkat i velkého množství českých firem.

Evropský soudní dvůr dnes zrušil EU-US Privacy Shield, který umožňoval snadný tok dat do USA (případ C‑311/18. Privacy Shield umožňoval americkým firmám certifikaci pro ochranu osobních údajů. Na jejím základě pak mohli americké firmy zpracovávat osobní údaje pro firmy v EU bez dalších zvláštních požadavků.

Drtivá většina B2B amerických platforem zpracovávala osobní údaje pro klienty z EU právě na základě certifikace v Privacy Shield. Nové rozhodnutí se tak bude týkat i velkého množství českých firem.

Jde už o druhý případ, kdy rakouský aktivista Maximilian Shrems napadl předávání údajů společnosti Facebook do USA. A pokaždé bylo důsledkem zrušení nástroje pro snadný tok dat do USA. První obětí byl Safe Harbor, Privacy Shield byl jeho nástupcem. I proto již má rozsudek jméno: Schrems II.

Co to znamená pro podnikatele v EU?

Schrems II se týká každé firmy, která ke zpracování osobních údajů používá dodavatele z USA. Nezáleží na tom, zda přímo či nepřímo, tedy týká se to i případů, kdy váš dodavatel používá subdodavatele z USA. Může jít programy či aplikaci, které běžně používáte jako CRM nebo emailing. Týká se to i předávání osobních údajů v rámci korporací, například pokud máte mateřkou společnost v USA.

Následkem rozsudku ve věci Schrems II je to, že od dnešního dne nelze z EU předávat osobní údaje do USA bez dalších zvláštních záruk. Ve většině případů dodavatelé a platformy registrované v Privacy Shield žádné takové další záruky ve smlouvách nemají, i když existují výjimky.

Schrems II neposkytuje žádné přechodné období, vlastně říká, že Privacy Shield nebyl platný nikdy. Mechanizmus předávání osobních údajů pod ochranou Privacy Shield tedy zaniká okamžitě. Nepovažujeme za pravděpodobné, že by ke každému přišel hned zítra ÚOOÚ na kontrolu a rozdával pokuty za to že, ještě pořád používáte tu zakázanou aplikaci z USA. Ale bude nutné se v nadcházejících dnech přizpůsobit nové situaci.

Jaké jsou alternativy?

GDPR nabízí několik alternativních řešení. Prvním řešením jsou tzv. smluvní doložky (Contractual Clauses). Jde o texty smluv schválené Evropskou Unií pro předání osobních údajů do třetích zemí. Uzavření smluvních doložek s americkými obchodními partnery je nejjednodušším krátkodobým řešením nastalé situace.

Proč krátkodobým? Předmětem zkoumání v případě Schrems II byla i platnost smluvních doložek. Soud nám smluvní doložky ponechal v platnosti (naštěstí), ale zpřísnil podmínky, za kterých je možné smluvní doložky použít. V dlouhodobém horizontu bude třeba přezkoumat u každého dodavatel z USA, zda dodatečné podmínky může splnit, což s ohledem na americké zákony v oboru tajných služeb nebude jednoduché.

Dá se očekávat, že dodavatelé z USA budou sami aktivní a budou uzavření smluvních doložek nabízet. U online platforem nejčastěji odsouhlasením nových podmínek (i tak lze smluvní doložky uzavřít).

Dalším řešením je předávání osobních údajů na základě souhlasu každého subjektu údajů. Pro většinu služeb bude tohle velmi nepraktické řešení, a proto se jím nebudeme dál zabývat.

Dlouhodobou alternativou může také být změna dodavatele, který nebude zpracovávat osobní údaje v USA. Například my už jsme při emailingu přešli na české řešení.

Co by měly tedy firmy dělat?

Schrems II donutí firmy v EU udělat si pořádek v dodavatelích, kterým poskytují jakékoliv osobní údaje. Kdo si dělal pořádek průběžně, bude mít mnohem méně práce.

Co byste tedy měli teď v nejbližších dnech udělat?

  • Prověřte, kam jdou vaše data, prověřte i subdodavatele svých dodavatelů. Pro jistotu.
  • U dodavatelů z USA prověřte, jaké s nimi máte uzavřené smlouvy.
  • V krátkodobém horizontu se snažte se smluvními partnery z USA uzavřít smluvní doložky. Ti solidní vás pravděpodobně brzy s takovým požadavkem sami osloví.
  • V dlouhodobém horizontu zvažte alternativy. Prověřte si podrobně podmínky zpracování a domácí právní rámec v USA s vašimi dodavateli, zvažte změnu dodavatele apod.

Jestliže k předávání osobních údajů dochází v rámci závazných podnikových pravidel, tzv. binding corporate rules (BCR), Schrems II se těchto případů netýká jen zdánlivě. Problémy se zpracováním osobních údajů v USA se pravděpodobně promítnou i do jejich používání. BCR soud vůbec nezkoumal, protože je Facebook k předávání osobních údajů nepoužívá, a tedy se k nim soud ani vyjádřit nemohl. Ale problémy s přístupem zpravodajských služeb k osobním údajům se pravděpodobně budou týkat i BCR.

Pozor BCR se může týkat i firem, které nejsou součástí nadnárodní korporace. Někdy se BCR používá i ke zpracování osobních údajů pro třetí osoby. Tedy některý váš dodavatel může používat BCR k tomu, aby sdílel vaše data s dalšími členy skupiny v USA.

Schrems II nás dostal do nelehké situace. I když existují rychlá dočasná řešení, někteří z nás budou následky Schrems II likvidovat ještě dlouho. Takže nádech a krok po kroku se můžete pustit do řešení.

POKUD POTŘEBUJETE POMOCI S NASTAVENÍM VZTAHŮ PŘI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ, NAPIŠTE NÁM ČI ZAVOLEJTE.

NAPIŠTE NÁM

Osobní údaje, které vyplníte ve formuláři, použijeme pouze k tomu, abychom vám odpověděli emailem nebo vám zavolali. Můžete nás kdykoliv požádat, abychom už vaše osobní údaje nezpracovávali. Osobní údaje nepředáváme žádným třetím stranám.