Platformy z USA a osobní údaje: podrobný průvodce

Drtivá většina B2B amerických platforem zpracovávala osobní údaje pro klienty z EU právě na základě certifikace v Privacy Shield, který Evropský soud zrušil. Co dělat, pokud používáte Google, Amazon, Mailchimp a jakékoliv jiné americké platformy?

Soudní dvůr Evropské unie (“SDEU“) zrušil EU – US Privacy Shield, který i mnoho český podnikatelů dosud používalo pro zpracování osobních údajů v aplikacích pocházejících z USA. Více informací naleznete v našem článku.

Ke zrušení se nedávno vyjádřil také Úřad na ochranu osobních údajů („ÚOOÚ“). Co z něj můžeme vyčíst?

ÚOOÚ se přiklání k závěrům rozsudku evropského soudu a zdá se, že je hodlá aplikovat v celé šíři. V důsledku to znamená, že se od podnikatelů očekává, že při používání dodavatelů a subdodavatelů ze zemí mimo EU budou podnikatelé zkoumat místní předpisy na ochranu osobních údajů. SDEU nenechal k nápravě žádnou lhůtu a Privacy Shield zrušil s okamžitou účinností. Ani ÚOOÚ nenaznačuje, že by hodlal s aplikací rozsudku nějak otálet.

Pro podnikatele z toho vyplývá, že by si měli udělat pořádek v dodavatelích, kterým předávají osobní údaje a začít s nápravou. Tento postup ÚOOÚ od podnikatelů očekává v krátkodobém horizontu, jak s ohledem na zpracovatele z USA, tak i zpracovatele pocházející z jiných třetích zemí.

Co tedy dělat teď?

  1. Udělejte si audit dodavatelů, kterým předáváte osobní údaje, nejen těch z USA. Zjistěte celý řetězec dalších zpracovatelů, které dodavatel používá.
  2. U dodavatelů z USA zjistěte, zda se na ně vztahuje některý z těchto právních předpisů: zákon FISA (Foreign Intelligence Surveillence Act), Executive Order 12333 a Cloud Act (odpověď bude ve většině případů ano).
  3. Pokud váš dodavatel je sice z EU, ale má další zpracovatele v USA, požadujte informace o tom, jak dodavatel problém řeší.
  4. Jako krátkodobé řešení uzavřete s dodavateli tzv. standardní smluvní doložky („SSD“). Například Google už se je chystá rozesílat.
  5. Podívejte se na své zásady ochrany osobních údajů a případně přidejte informace o tom, do jakých zemí osobní údaje předáváte a jak zajišťujete jejich ochranu.

Jak dál v budoucnu?

SSD sami o sobě problém neřeší. Pokud dodavatel z USA podléhá některému z výše uvedených zákonů, tak bude zapotřebí přijmout další opatření, které zabrání aplikaci problematických zákon. ÚOOÚ výslovně zmiňuje technická řešení jako uložení dat včetně metadat pouze na území EU, šifrování bez zadních vrátek.

My k tomu dodáváme, že samotné uložení dat v EU není dostatečnou zárukou. Úložiště musí náležet společnosti v EU (nikoliv společnost z USA) a společnost z USA by k údajům neměla mít přístup, ani jako další zpracovatel. Některé široce využívané služby jako Microsoft či Google mají dceřiné společnosti v EU, které mohou použít jako smluvního partnera pro firmy v EU, ale jsou schopné zajistit, že k údajům nebude mít jako zpracovatel přístup někdo z poboček v USA?

Je možné, že některé situace bude možné v dlouhodobém horizontu řešit jen změnou dodavatele, pokud se nenajde politické řešení.

Co dodavatelé z jiných zemí mimo EU?

Vše výše uvedené platí i pro dodavatele/další zpracovatele ze zemí mimo EU, pro které EU nevydala oficiální stanovisko, že mají stejnou úroveň ochrany osobních údajů. Seznam zemí s adekvátní ochranou najdete zde. U těch, kteří nejsou na seznamu, by podnikatelé měli zkoumat, jaká je úroveň ochrany osobních údajů v dané zemi a údaje do takové země předat jen v případě, že místní zákony v kombinaci s SSD či dalšími smluvními ujednáními budou chránit osobní údaje adekvátně tomu, jako je chrání EU.

Budete muset zkoumat zákony cizích zemí?

Ano, podle SDEU i ÚOOÚ by měl každý podnikatel zkoumat, jak země, ve kterých sídlí zpracovatelé a jejich zpracovatelé chrání osobní údaje. SSD nejsou dostatečnou zárukou, pokud neprovedete také právní audit dané země. Konkrétně v USA je problémem to, že se fyzické osoby nemohou efektivně bránit proti svému sledování v některých výzvědných programech.

Toto je velmi přísné měřítko, které bude málokterý podnikatel schopen splnit na 100 %. Prozatím doporučujeme provést audit vašich dodavatelů a dalších zpracovatelů (tedy subdodavatelů dodavatelů), abyste měli přehled, kde jsou vaše slabá místa a případně přijmout rychlá opatření, jako uzavření SSD.

V dlouhodobém horizontu doporučujeme sledovat další doporučení a vývoj a zároveň jednat o možných opatřeních na straně dodavatelů. Jsme toho názoru, že dlouhodobě je situace neúnosná, datová soběstačnost EU chimérou a že se bude hledat politické řešení.

POKUD POTŘEBUJETE POMOCI S NASTAVENÍM VZTAHŮ PŘI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ, NAPIŠTE NÁM ČI ZAVOLEJTE.

NAPIŠTE NÁM

Osobní údaje, které vyplníte ve formuláři, použijeme pouze k tomu, abychom vám odpověděli emailem nebo vám zavolali. Můžete nás kdykoliv požádat, abychom už vaše osobní údaje nezpracovávali. Osobní údaje nepředáváme žádným třetím stranám.