S ohledem na to, že se na americkém kontinentu nachází podstatná část technologických leaderů a užitečných aplikací, přijetí nového Rámce ochrany soukromí (Data Privacy Framework) přináší významné uklidnění situace (v mezidobí došlo např. ve Francii, Itálii, Dánsku nebo Finsku k označení použití Google Analytics za nezákonné).
1. Přeshraniční přenos dat
Sluší se připomenout, že ačkoli GDPR přineslo pro mnohé správce a zpracovatele řadu starostí, zavedlo také volnost pohybu dat na území EU (resp. EHP). To znamená, že na území celé unie platí stejná pravidla a společnosti si nemusí lámat hlavu s tím, jestli jejich dodavatelé sídlí v jiném členském státě.
Za přeshraniční přenos GDPR označuje až takové zpracování, kdy se osobní údaje předávají do třetích zemí mimo EU. Protože v těchto třetích státech mohou platit jiné (nižší) záruky ochrany osobních údajů, umožňuje GDPR export osobních údajů mimo EU v těchto případech:
- když EU vydá rozhodnutí o odpovídající ochraně,
- když správce a zpracovatel přijmou vhodné záruky, zejména tzv. standardní smluvní doložky
Rozhodnutí o odpovídající ochraně může přijmout Evropská Komise ve vztahu ke konkrétnímu státu, pokud místní úroveň ochrany považuje za dostatečně vysokou. Mezi tyto země patří například Velká Británie (protože i po Brexitu si ponechala pravidla obdobná GDPR), Jižní Korea nebo Japonsko. A nově od 10. 7. 2023 opět mezi tyto země patří i USA. Stalo se tak vlastně už potřetí, když předchozí dvě rozhodnutí byla vždy zrušená na základě stížnosti rakouského bojovníka za ochranu soukromí Maxe Schremse. Co tohle nové rozhodnutí znamená, vysvětlíme vzápětí.
Když jsme řekli a), musíme jen krátce říct i b). Pokud daná třetí země nezíská od EU tento punc, musí vždy konkrétní smluvní strany (nejčastěji správce a zpracovatel) využít tzv. standardní smluvní doložky. Ty za tímto účelem Komise také připravila a pokud jejich vzorové znění obě strany zahrnou do své smlouvy nebo podmínek užití, jsou na dobré cestě k tomu, aby k exportu dat mohlo dojít.
2. Co tedy přináší Data Privacy Framework?
Spojené státy se vynasnažily rozptýlit obavy Evropské unie a přijaly vloni několik opatření k tomu, aby jejich úroveň záruk ochrany soukromí byla vyšší. Zejména došlo k přistřižení křídel zpravodajským službám, které si mohou vyžádat přístup k uloženým datům už jen za podmínek, které odpovídají pravomocem bezpečnostních složek v EU (Co to znamená konkrétně, by vydalo na samostatnou diplomku, ale snad vás to aspoň trochu uklidnilo).
Došlo také ke zřízení zvláštního amerického Soudu pro přezkum ochrany údajů, u kterého si budou moct občané EU stěžovat, pokud by mohlo dojít k porušení jejich práv ze strany US orgánů. Také budeme moct podat stížnost i prostřednictvím našeho Úřadu pro ochranu osobních údajů, který ji do USA předá a bude nás informovat, jak byla vyřízena.
Jak Framework funguje?
Data Privacy Framework přináší katalog povinností a záruk, ke kterým se US společnosti mohou dobrovolně přihlásit a postoupit (sebe)certifikační proces. Tím budou zahrnuty na seznam (takový white-list) společností, které mohou zpracovávat osobní údaje z EU bez dalších komplikací.
Iniciativa NOYB (None Of Your Business), kterou založil už zmíněný Max Schrems, už oznámila, že do třetice požádá Soud EU o přezkum nově přijatého Rámce. Jestli obstojí, se dozvíme v příštích letech. Zatím se můžeme radovat, že společnosti jako Google Inc. nebo Meta Platforms Inc. jsou na seznamu již zapsané. Přes to stále doporučujeme využívat nástroje, které údaje ukládají pouze na serverech umístěných na území EU.
Musím teď něco udělat?
Každá EU společnost by si vždy měla ověřit, že její dodavatel (třeba poskytovatel nástroje nebo aplikace, která pracuje s osobními údaji) se k tomuto rámci přihlásil a je uveden na seznamu. Pokud ano, předávání dat nic nebrání a vše může probíhat prakticky stejně jako na území EU (nezapomeňte však na povinnost uzavřít smlouvu o zpracování osobních údajů).