Jak Schrems II změnil péči o osobní údaje

Soudní dvůr EU ve svém rozsudku ze dne 16. 7. 2020 ve věci C-311/18 Data Protection Commissioner, známější jako Schrems II, zneplatnil bez jakéhokoliv přechodného období tzv. Privacy Shield. „Štít soukromí“ dosud představoval významný právní základ předávání osobních údajů do USA. Co z rozhodnutí vyplývá?

Jak Schrems II změnil péči o osobní údaje | Compliance portal

 

Kdy je možné předávat osobní údaje

GDPR stanovuje, že k přenosu osobních údajů do třetí země může v zásadě dojít pouze v případě, že dotyčná třetí země zajišťuje odpovídající úroveň ochrany osobních údajů. Evropská komise za přiměřený nástroj k ochraně soukromí občanů EU považovala právě Privacy Shield (od 12. července 2016).

Soudní rozhodnutí z léta 2020 udělalo za tímto přístupem tečku. Soudní dvůr přitom neupřesňuje, jaká dodatková opatření by v oblasti ochrany osobních údajů měla platit. Zdůrazňuje pouze, že je vývozci (správci či zpracovatelé, kteří jsou vývozci údajů) budou muset určit případ od případu.

 

6 kroků pro bezpečnější přenos

Evropský sbor pro ochranu osobních údajů zdůraznil šest kroků pro zajištění adekvátní úrovně zabezpečení, tzv. doplňující nástroje pro předávání údajů:

  • Analyzovat transfery.
  • Prověřit nástroje, na které přenos spoléhá (kromě těch uvedených v kapitole 5 nařízení GDPR), a sledovat vývoj rizikovosti země, do níž jsou data posílána.
  • Posoudit, zda ve třetí zemi existují právní předpisy nebo praxe, které snižují účinnost nástrojů, které pro předávání údajů používáte.
  • Určit a přijmout další opatření tak, aby úroveň ochrany předávaných údajů byla v zásadě rovnocenná se standardem EU.
  • Provést formální kroky k zajištění opatření.
  • Průběžně monitorovat situaci.

Stačí podle Schrems II smluvní zajištění?

Rádi bychom napsali, že ano. Bohužel realita je jiná. Rozsudek Schrems II zdůrazňuje nepřijatelnost využití pouze slovního popisu ochrany – jako jsou smlouvy, SLA nebo GDPR dodatky. V budoucnu musí společnosti používat technická a organizační opatření k zajištění splnění požadavků GDPR ještě předtím, než dojde k jakémukoli přenosu.

Schrems II výslovně zdůrazňuje, že je třeba uplatnit doplňková opatření na podporu Standardní smluvní doložky (SCC) ochranou osobních údajů EU při jejich přenosu do třetích zemí. Pokyny EDPB explicitně uznávají, že „pseudonymizace“ podle čl. 4 odst. 5 představuje doplňkové opatření vyhovující SCC v zákonném použití.

 

Jak si poradit se Schrems II

V současné době neexistuje žádný závazný zákon, který by stanovoval přiměřenou úroveň ochrany osobních údajů. Existuje však mnoho doporučení a draftů, a to např. Guidance on Data Transfers Following Schrems II – Baden-Württemberg guidance. Tyto pokyny určené orgánům na ochranu osobních údajů stanovují tzv. checklist bodů pro přenos dat do EU. Nebo již zmiňované doporučení Evropského sboru.

 

Námi navrhované kroky:

1) Veškeré osobní údaje zpracovávejte výhradně v souladu s článkem č. 25 GDPR a výchozími požadavky GDPR, které vynucují např. minimalizaci dat nebo omezení účelu.

2) Zajistěte, aby koncepty Data Protection By Design a Data Protection By Default technologicky prosazovaly zásady a smluvní opatření na ochranu osobních údajů.

3) Tyto technické kontroly by měly doplňovat příslušná smluvní ustanovení specifická pro přenos údajů mimo EU, jako jsou SCC (Standardní smluvní doložka) nebo BCR (Závazná podniková pravidla). Ta musí zahrnovat technologická opatření, jako je pseudonymizace GDPR k ochraně používaných dat, a silné šifrování dat při skladování a přenosu, jak požaduje EDPB.

 

Jak jsou na tom dva největší cloud hráči na trhu – AWS a Microsoft?

Ti mají jasno. Jejich vyjádření ke Schrems II si přečtěte na webech AWS a Microsoft. Oba lídři potvrzují 100% compliance se Schrems II. Znamená to, že máte vyhráno?

Bohužel ani tentokrát nemůžeme říct, že ano. Smluvní zajištění je nutné analyzovat případ od případu a vytvořit právní analýzu potenciálních rizik vyplývajících z přesunu dat do třetích zemí. Poté doporučujeme provést risk-based přístup, který určí další směřování případu.

Následným důležitým krokem jsou technické možnosti daného případu, který posuzujeme, a možnost naplnění doplňkových opatření.

Suma sumárum je Schrems II obtížné téma, které v sobě zahrnuje mnoho oblastí – od právní až po bezpečnostní. Že se společnostem nevyplatí téma GDPR podceňovat, ukázal rok 2020 na uložených pokutách.

Pokud by se vám při vyjednáváním smluvních podmínek a při aplikaci doplňkových opatření hodily naše zkušenosti, rádi vám pomůžeme.

 

Lenka Syrová

Porušení GDPR za 530 mil. Kč

Společnost Marriott International dostala pokutu v přepočtu za více než 500 mil. Kč za porušení článku č. 32 GDPR. Hlavním důvodem k udělení pokuty byl kybernetický útok v roce 2014, který zůstal nedetekován až do září roku 2018.

Porušení GDPR za 530 mil. Kč | Compliance portal

 

Dotčené osobní údaje zahrnovaly jména, e-mailové adresy, telefonní čísla, nešifrované čísla pasů a další. Odhaduje se, že se jedná o 339 mil. záznamů hostů po celém světě. Selhání v zavedení adekvátních technických nebo organizačních opatření k ochraně osobních údajů dle požadavků GDPR odhalila instituce Information Commissioner’s Office (ICO).

Pokuta se vztahovala pouze na období následující po 25. květnu 2018, kdy GDPR vstoupilo v účinnost (ačkoliv ICO mapovala selhání až k roku 2014). Jedná se o pátou nejvyšší pokutu, která byla udělena od účinnosti GDPR. První místo (zatím) patří společnosti Google, jejíž pokuta dosáhla 50 mil. EUR. A jak vypadaly pokuty v roce 2020?

Originální vyjádření ICO si můžete přečíst zde.

 

Lenka Syrová

Nařízení GDPR v číslech v roce 2020

Jeden z hlavních strašáků v oblasti cloud computing je výše pokuty, kterou může získat instituce, která porušuje požadavky GDPR. Jak si v tomto ohledu vedeme v roce 2020?

Nařízení GDPR v číslech | Compliance portal

 

Maximální výše pokuty činí 20 mil. EUR, nebo 4 % z celkového ročního obratu společnosti (ukládána je vyšší z obou částek). V naprosté většině případů ÚOOÚ neukládá maximální výši pokuty. Výsledná částka závisí na řadě faktorů, jako je např. povaha, závažnost a délka porušování, počet poškozených občanů a míra škody, kroky podniknuté správcem či zpracovatelem ke zmírnění škod, kategorie osobních údajů dotčené porušením a řada dalších.

Až do podzimu 2020 byly nejvyšší pokuty uděleny společnostem H&M, a to ve výši 35 258 708 EUR, společnosti TIM (telecommunications operator) ve výši 27 800 000 EUR a společnosti Wind Tre S.p.A. – třetí nejvyšší pokuta činila 16 700 000 EUR. Ve všech třech případech se jednalo o porušení více článků GDPR, nejčastěji došlo k porušení článků č. 5 a č. 6.

Oproti zahraničí si vedeme „dobře“. Nejvyšší pokuta byla udělena v roce 2019, a to ve výši 10 000 EUR. Souhrnná výše veškerých udělených pokut ÚOOÚ od 25. května 2018 je v přepočtu necelých 300 000 EUR. 

Ačkoliv v českém prostředí nebyla prozatím udělena významná pokuta, společnosti nemůžou brát nařízení GDPR na lehkou váhu. A to hlavně z důvodu rozsudku ve věci C-311/18, tzv. Schrems II.

P.S.: Na podzim 2020 zasáhla do mezinárodního žebříčku nejvyšších pokut společnost Marriott International s další rekordní finanční sankcí.

 

Lenka Syrová