Červen 2021: Konečně jasno v ochraně osobních údajů!

EDPB (Evropský sbor pro ochranu osobních údajů) přijímá konečnou verzi Doporučení č. 01/2020 o opatřeních, která doplňují nástroje pro předávání osobních údajů s cílem zajistit soulad s úrovní jejich ochrany v EU.

Co to v praxi znamená?

Po dlouhé době byla přijata doporučení, která pomohou vývozcům v posouzení ochrany třetích zemí a případně určit vhodná další opatření. Za vývozce jsou považováni správci či zpracovatelé, soukromé subjekty či veřejné orgány, kteří zpracovávají osobní údaje spadající do oblasti působnosti obecného nařízení o ochraně osobních údajů.

Na šest kroků, které doporučuje EDPB, jsme již upozornili v dřívějším článku. Konečná verze EDPB doporučení neobsahuje zásadní obsahové změny.

Originální znění najdete zde.

Mimo přijetí konečné verze EDPB Doporučení je důležitým posunem vpřed publikování nových Standardních smluvních doložek pro mezinárodní předávání osobních údajů. Soudní dvůr stvrzuje platnost standardních smluvních doložek jakožto nástroje pro předávání osobních údajů, který může sloužit ke smluvnímu zajištění v zásadě rovnocenné úrovně ochrany údajů předávaných do třetích zemí.

Soudní dvůr EU ve svém rozsudku ze dne 16. 7. 2020 ve věci C-311/18 Data Protection Commissioner, známější jako Schrems II, zneplatnil bez jakéhokoliv přechodného období tzv. Privacy Shield. „Štít soukromí“ dosud představoval významný právní základ předávání osobních údajů do USA. Co z rozhodnutí vyplývá?

Kdy je možné předávat osobní údaje

GDPR stanovuje, že k přenosu osobních údajů do třetí země může v zásadě dojít pouze v případě, že dotyčná třetí země zajišťuje odpovídající úroveň ochrany osobních údajů. Evropská komise za přiměřený nástroj k ochraně soukromí občanů EU považovala právě Privacy Shield (od 12. července 2016).

Soudní rozhodnutí z léta 2020 udělalo za tímto přístupem tečku. Soudní dvůr přitom neupřesňuje, jaká dodatková opatření by v oblasti ochrany osobních údajů měla platit. Zdůrazňuje pouze, že je vývozci (správci či zpracovatelé, kteří jsou vývozci údajů) budou muset určit případ od případu.

Stačí podle Schrems II smluvní zajištění?

Rádi bychom napsali, že ano. Bohužel realita je jiná. Rozsudek Schrems II zdůrazňuje nepřijatelnost využití pouze slovního popisu ochrany – jako jsou smlouvy, SLA nebo GDPR dodatky. V budoucnu musí společnosti používat technická a organizační opatření k zajištění splnění požadavků GDPR ještě předtím, než dojde k jakémukoli přenosu.

Schrems II výslovně zdůrazňuje, že je třeba uplatnit doplňková opatření na podporu Standardní smluvní doložky (SCC) ochranou osobních údajů EU při jejich přenosu do třetích zemí. Pokyny EDPB explicitně uznávají, že „pseudonymizace“ podle čl. 4 odst. 5 představuje doplňkové opatření vyhovující SCC v zákonném použití.

Jak si poradit se Schrems II

V současné době neexistuje žádný závazný zákon, který by stanovoval přiměřenou úroveň ochrany osobních údajů. Existuje však mnoho doporučení a draftů, a to např. Guidance on Data Transfers Following Schrems II – Baden-Württemberg guidance. Tyto pokyny určené orgánům na ochranu osobních údajů stanovují tzv. checklist bodů pro přenos dat do EU. Nebo již zmiňované doporučení Evropského sboru.

Námi navrhované kroky:

1) Veškeré osobní údaje zpracovávejte výhradně v souladu s článkem č. 25 GDPR a výchozími požadavky GDPR, které vynucují např. minimalizaci dat nebo omezení účelu.

2) Zajistěte, aby koncepty Data Protection By Design a Data Protection By Default technologicky prosazovaly zásady a smluvní opatření na ochranu osobních údajů.

3) Tyto technické kontroly by měly doplňovat příslušná smluvní ustanovení specifická pro přenos údajů mimo EU, jako jsou SCC (Standardní smluvní doložka) nebo BCR (Závazná podniková pravidla). Ta musí zahrnovat technologická opatření, jako je pseudonymizace GDPR k ochraně používaných dat, a silné šifrování dat při skladování a přenosu, jak požaduje EDPB.

Jak jsou na tom dva největší cloud hráči na trhu – AWS a Microsoft?

Ti mají jasno. Jejich vyjádření ke Schrems II si přečtěte na webech AWS a Microsoft. Oba lídři potvrzují 100% compliance se Schrems II. Znamená to, že máte vyhráno?

Bohužel ani tentokrát nemůžeme říct, že ano. Smluvní zajištění je nutné analyzovat případ od případu a vytvořit právní analýzu potenciálních rizik vyplývajících z přesunu dat do třetích zemí. Poté doporučujeme provést risk-based přístup, který určí další směřování případu.

Následným důležitým krokem jsou technické možnosti daného případu, který posuzujeme, a možnost naplnění doplňkových opatření.

Suma sumárum je Schrems II obtížné téma, které v sobě zahrnuje mnoho oblastí – od právní až po bezpečnostní. Že se společnostem nevyplatí téma GDPR podceňovat, ukázal rok 2020 na uložených pokutách.

Pokud by se vám při vyjednáváním smluvních podmínek a při aplikaci doplňkových opatření hodily naše zkušenosti, rádi vám pomůžeme.

Lenka Syrová

Společnost Marriott International dostala pokutu v přepočtu za více než 500 mil. Kč za porušení článku č. 32 GDPR. Hlavním důvodem k udělení pokuty byl kybernetický útok v roce 2014, který zůstal nedetekován až do září roku 2018.

Dotčené osobní údaje zahrnovaly jména, e-mailové adresy, telefonní čísla, nešifrované čísla pasů a další. Odhaduje se, že se jedná o 339 mil. záznamů hostů po celém světě. Selhání v zavedení adekvátních technických nebo organizačních opatření k ochraně osobních údajů dle požadavků GDPR odhalila instituce Information Commissioner’s Office (ICO).

Pokuta se vztahovala pouze na období následující po 25. květnu 2018, kdy GDPR vstoupilo v účinnost (ačkoliv ICO mapovala selhání až k roku 2014). Jedná se o pátou nejvyšší pokutu, která byla udělena od účinnosti GDPR. První místo (zatím) patří společnosti Google, jejíž pokuta dosáhla 50 mil. EUR. A jak vypadaly pokuty v roce 2020?

Originální vyjádření ICO si můžete přečíst zde.

Lenka Syrová