Schrems II měsíc poté: Můžete předávat osobní údaje do USA?

Soudní dvůr EU ve svém rozsudku ze dne 16. 7. 2020 zneplatnil bez jakéhokoliv přechodného období tzv. Privacy Shield, který představoval významný právní základ předávání osobních údajů do USA.

V dnešní době je téměř nepředstavitelná situace, kdy by podnikatel nespoléhal na žádné IT služby či nástroje, při jejichž provozu dochází k předávání osobních údajů do USA (např. služby od společností jako Google, Microsoft, Facebook, Amazon, Mailchimp apod.). Většina těchto služeb měla předávání údajů do USA založené právě na Privacy Shield, což není nadále možné. Co s tím? Můžete tyto služby nadále používat ke zpracování osobních údajů?

Nejjednodušší by bylo říct, že nikoliv. Je to však trochu složitější a věc je třeba řešit případ od případu. Pro některé případy mohou být i nadále využitelné tzv. standardní smluvní doložky (i když i jejich použití se komplikuje). Doporučil bych následující postup:

1. Zajímejte se: Zjistěte, zda používáte nějaké služby, které se ohledně předávání údajů do USA spoléhaly na Privacy Shield. Pomoci by vám měly povinně vedené záznamy o činnostech zpracování dle čl. 30 GDPR. V případě, že takové služby používáte, pokuste se získat informace o tom, jak aktuální situaci řeší / hodlají řešit.
2. Řešení ze strany poskytovatele: Většina velkých poskytovatelů služeb již nějakou snahu vyvíjí a snaží se přejít na řešení postavené primárně na zmíněných standardních doložkách (Standard Contractual Clauses či SCC). Možná jste dokonce již obdrželi nějaké e-maily ohledně změn smluvní dokumentace. Řešení bude v takovém případě mít pravděpodobně charakter „ber nebo nech být“. Nelze totiž očekávat, že by se s vámi velké korporace individuálně komunikovaly, pokud u nich nemáte velký spend.
3. Samotné SCC zpravidla nestačí: Zásadní z tohoto pohledu je, zda byly standardní smluvní doložky doplněny o nějaká další opatření. Vzhledem k tomu, že zákony USA umožňují státním autoritám plošný přístup k osobním údajům, samotné doložky zpravidla nebudou stačit. Je však třeba posuzovat každý případ individuálně.
4. Zvažte pozastavení: V případě, že poskytovatel vzniklou situaci nijak neřeší, případně ji zjevně neřeší uspokojivě, pak může být nutné předávání údajů alespoň dočasně pozastavit.
5. Vlastní iniciativa: Pokud vám poskytovatel služby sám nesdělil žádné informace související se zrušením Privacy Shield, nezbývá než převzít iniciativu. Jako správce zpracovávaných údajů totiž za jejich předávání do USA nesete odpovědnost. Začněte tím, že poskytovatele kontaktujete a pokusíte se zjistit jaká legislativa na předávané osobní údaje dopadá a s jakými důsledky, jak poskytovatel nakládá s případnými požadavky státních autorit na zpřístupnění údajů a jak běžné tyto požadavky jsou. Využít lze např. vzorové dokumenty organizace NYOB založené Maxem Schremsem.
6. Zhodnocení a řešení pomocí SCC: V každém případě je třeba vyhodnotit rizika pro práva a svobody subjektů a podle toho zvolit nejvhodnější řešení. Nejlogičtějším řešením situace se stále jeví uzavření standardních smluvních doložek. Ty však musí být zřejmě doplněny o další opatření, tak aby úroveň ochrany údajů byla v zásadě rovnocenná s tou v EU. Otázkou zůstává, zda toho vůbec lze dosáhnout a o jaká opatření by se vlastně mělo jednat. V tomto směru rozsudek příliš sdílný nebyl. Nabízí se např. pseudonymizace, šifrování, další zvláštní smluvní ujednání apod. EDPB (European Data Protection Board) by měl v tomto ohledu vydat v nejbližší době doporučení.
7. Když SCC nevyhovují: Pokud pro vás není řešení založené na SCC schůdné, pak je k dispozici ještě čl. 49 GDPR (tzv. závaznými podnikovými pravidly se pro nízký praktický význam nezabývám). Je však třeba podotknout, že právní základy předávání obsažené v tomto ustanovené by se měly využívat pouze výjimečně. Teoreticky použitelnými se jeví např. předávání na základě výslovného souhlasu subjektu, případně předávání nezbytné pro splnění smlouvy mezi správcem a subjektem údajů, či uzavřené ve prospěch subjektu údajů.
8. Změna poskytovatele: Poslední možností řešení situace může být již zmiňované „nech být“. V případě, že existuje alternativní služba či nástroj, které umožňují uchování dat pouze v EU/EEA, pak zvažte přechod na ně (případně váš poskytovatel může umožnit nastavení uchovávání osobních údajů pouze na serverech v EU/EEA – to může být nejjednodušším řešením).

Co bude dál? Z výše uvedeného jste zřejmě pochopili, že situace je komplikovaná. Není však reálné, aby se tok dat mezi USA a EU zastavil. Mnoho podnikatelů tak bude nepochybně volit postup s akceptováním určité míry rizika. Pokud údaje do USA předávat potřebujete, považuji za aktuálně nejpoužitelnější (nikoliv ideální) řešení předávání na základě standardních smluvních doložek doplněných o některá konkrétní opatření, zejména pak proti „odposlouchávání“ internetového provozu (např. silné šifrování s privátními klíči a pseudonymizace). Za doplňkové opatření se dá považovat i certifikace Privacy Shield (Privacy Shield již nemůže být základem pro předávání, ale certifikace nadále zavazuje). Toto řešení představuje z mého pohledu „best-effort“ postup. Lze očekávat, že v případě důsledného zhodnocení rizik a realizace obdobného řešení, bude přístup regulátorů v nejbližší době přinejmenším shovívavý. A to jak s ohledem na počet správců, kterých se problém způsobený zrušením Privacy Shield týká, tak i na právní nejistotu a aktuálně dostupné možnosti.

Závěrem dodávám, že není vyloučeno, že regulátoři přistoupí k zákazu předávání osobních údajů do USA. Není to však úplně pravděpodobné. V každém případě lze doporučit i nadále sledovat vývoj. V nejbližší době by mělo přijít výše zmiňované doporučení EDPB (ohledně doplňujících opatření k SCC). Kromě toho Evropská komise v červnu oznámila záměr aktualizovat znění standardních smluvních doložek. A možná se dočkáme i Privacy Shield 2.0, o němž byly zahájeny debaty.

Mgr. Štěpán Kubát, attorney at law

Pokud potřebujete radu či pomoc v souvislosti se zneplatněním Privacy Shield, ozvěte se na office@justask.cz.

Titulní obrázek: © Julien Eichinger