Jak Schrems II změnil péči o osobní údaje

Soudní dvůr EU ve svém rozsudku ze dne 16. 7. 2020 ve věci C-311/18 Data Protection Commissioner, známější jako Schrems II, zneplatnil bez jakéhokoliv přechodného období tzv. Privacy Shield. „Štít soukromí“ dosud představoval významný právní základ předávání osobních údajů do USA. Co z rozhodnutí vyplývá?

Jak Schrems II změnil péči o osobní údaje | Compliance portal

 

Kdy je možné předávat osobní údaje

GDPR stanovuje, že k přenosu osobních údajů do třetí země může v zásadě dojít pouze v případě, že dotyčná třetí země zajišťuje odpovídající úroveň ochrany osobních údajů. Evropská komise za přiměřený nástroj k ochraně soukromí občanů EU považovala právě Privacy Shield (od 12. července 2016).

Soudní rozhodnutí z léta 2020 udělalo za tímto přístupem tečku. Soudní dvůr přitom neupřesňuje, jaká dodatková opatření by v oblasti ochrany osobních údajů měla platit. Zdůrazňuje pouze, že je vývozci (správci či zpracovatelé, kteří jsou vývozci údajů) budou muset určit případ od případu.

 

6 kroků pro bezpečnější přenos

Evropský sbor pro ochranu osobních údajů zdůraznil šest kroků pro zajištění adekvátní úrovně zabezpečení, tzv. doplňující nástroje pro předávání údajů:

  • Analyzovat transfery.
  • Prověřit nástroje, na které přenos spoléhá (kromě těch uvedených v kapitole 5 nařízení GDPR), a sledovat vývoj rizikovosti země, do níž jsou data posílána.
  • Posoudit, zda ve třetí zemi existují právní předpisy nebo praxe, které snižují účinnost nástrojů, které pro předávání údajů používáte.
  • Určit a přijmout další opatření tak, aby úroveň ochrany předávaných údajů byla v zásadě rovnocenná se standardem EU.
  • Provést formální kroky k zajištění opatření.
  • Průběžně monitorovat situaci.

Stačí podle Schrems II smluvní zajištění?

Rádi bychom napsali, že ano. Bohužel realita je jiná. Rozsudek Schrems II zdůrazňuje nepřijatelnost využití pouze slovního popisu ochrany – jako jsou smlouvy, SLA nebo GDPR dodatky. V budoucnu musí společnosti používat technická a organizační opatření k zajištění splnění požadavků GDPR ještě předtím, než dojde k jakémukoli přenosu.

Schrems II výslovně zdůrazňuje, že je třeba uplatnit doplňková opatření na podporu Standardní smluvní doložky (SCC) ochranou osobních údajů EU při jejich přenosu do třetích zemí. Pokyny EDPB explicitně uznávají, že „pseudonymizace“ podle čl. 4 odst. 5 představuje doplňkové opatření vyhovující SCC v zákonném použití.

 

Jak si poradit se Schrems II

V současné době neexistuje žádný závazný zákon, který by stanovoval přiměřenou úroveň ochrany osobních údajů. Existuje však mnoho doporučení a draftů, a to např. Guidance on Data Transfers Following Schrems II – Baden-Württemberg guidance. Tyto pokyny určené orgánům na ochranu osobních údajů stanovují tzv. checklist bodů pro přenos dat do EU. Nebo již zmiňované doporučení Evropského sboru.

 

Námi navrhované kroky:

1) Veškeré osobní údaje zpracovávejte výhradně v souladu s článkem č. 25 GDPR a výchozími požadavky GDPR, které vynucují např. minimalizaci dat nebo omezení účelu.

2) Zajistěte, aby koncepty Data Protection By Design a Data Protection By Default technologicky prosazovaly zásady a smluvní opatření na ochranu osobních údajů.

3) Tyto technické kontroly by měly doplňovat příslušná smluvní ustanovení specifická pro přenos údajů mimo EU, jako jsou SCC (Standardní smluvní doložka) nebo BCR (Závazná podniková pravidla). Ta musí zahrnovat technologická opatření, jako je pseudonymizace GDPR k ochraně používaných dat, a silné šifrování dat při skladování a přenosu, jak požaduje EDPB.

 

Jak jsou na tom dva největší cloud hráči na trhu – AWS a Microsoft?

Ti mají jasno. Jejich vyjádření ke Schrems II si přečtěte na webech AWS a Microsoft. Oba lídři potvrzují 100% compliance se Schrems II. Znamená to, že máte vyhráno?

Bohužel ani tentokrát nemůžeme říct, že ano. Smluvní zajištění je nutné analyzovat případ od případu a vytvořit právní analýzu potenciálních rizik vyplývajících z přesunu dat do třetích zemí. Poté doporučujeme provést risk-based přístup, který určí další směřování případu.

Následným důležitým krokem jsou technické možnosti daného případu, který posuzujeme, a možnost naplnění doplňkových opatření.

Suma sumárum je Schrems II obtížné téma, které v sobě zahrnuje mnoho oblastí – od právní až po bezpečnostní. Že se společnostem nevyplatí téma GDPR podceňovat, ukázal rok 2020 na uložených pokutách.

Pokud by se vám při vyjednáváním smluvních podmínek a při aplikaci doplňkových opatření hodily naše zkušenosti, rádi vám pomůžeme.

 

Lenka Syrová

Vložit komentář