Proč „štít“ nestačil
Štít jednoduše umožňoval americkým společnostem, které se k jeho pravidlům přihlásí, přebírat osobní údaje od evropských zákazníků. Na soud se obrátil bojovník za ochranu osobních údajů, Rakušan Max Schrems. A není to jeho první boj za práva na ochranu osobních údajů. Co mu vadilo v tomto případě? Především to, že Facebook Ireland, dceřiná společnost americké Facebook Inc. předává jeho údaje právě americké společnosti. Podle něj ale tato americká společnost nezaručuje takovou úroveň ochrany jeho osobních údajů, jakou vyžadují evropské předpisy, a to hlavně kvůli americkým bezpečnostním službám, které nejsou v přístupu k údajům příliš limitovány. A Soudní dvůr EU mu dal za pravdu a Privacy Shield zrušil. Okamžitě.
Můžete v předávání údajů do USA pokračovat?
Privacy Shield padl, nařízení GDPR ale myslí i na jiné právní mechanismy, jak zajistit údajům předávaným mimo území EU dostatečné zabezpečení. Jedním z nich jsou tzv. standardní smluvní doložky, což jsou předschválená vzorová ujednání, která si můžete překlopit do svých současných smluv nebo obchodních podmínek.
A právě touto cestou se některé americké společnosti v čele s Google rozhodly jít a samy aktivně podobná ujednání do smluv dopisují, aby je jejich partneři nevyměnili za evropské nebo jiné bezpečné dodavatele. Pokud využíváte služby Google Ads či Analytics, mělo by vám přistát v e‑mailu upozornění, že od 12. 8. platí nové podmínky, včetně standardních smluvních doložek.
Standardní smluvní doložky před Soudním dvorem sice obstály, v případě předávání do USA ale Soudní dvůr i tak zdvihl varovný prst. Samotná smluvní doložka totiž nemusí v praxi odpovídající ochranu skutečně zajišťovat a obdobně se vyjádřil i náš Úřad pro ochranu osobních údajů.
Co s tím? Pokud jste v roli správce, jde odpovědnost bohužel vždy za vámi. Do smluv se zpracovateli byste tak měli doplnit standardní doložky nebo jiná odpovídající ujednání. Pokud by to nebylo možné, je na místě zvážit výměnu zpracovatele. Další možností je vyžádat si od subjektů, jejichž údaje zpracováváte, souhlas s předáním a zároveň je poučit o rizicích, která z toho pro ně vyplývají.
A pokud jde konkrétně o předání do USA, měli byste podle českého Úřadu pro ochranu osobních údajů po svých amerických zpracovatelích požadovat nad rámec doložek i doplnění dalších bezpečnostních záruk, např. přesun uložení dat z USA na území EU.
Jelikož je rozhodnutí Soudního dvora stále poměrně čerstvé, názory se stále vyvíjí. Dá se ale také očekávat, že zrušený štít bude časem nahrazen novým. Mezitím však nedoporučujeme brát vyjádření českého ÚOOÚ na lehkou váhu a udělat maximum proto, aby osobní údaje byly uložené na území EU.
Potřebujete se poradit, jak nakládat s daty? Jednoduše si nás můžete rezervovat online v nejbližším termínu, který se vám hodí.
7. 8. 2020
Sdílet
Tweet
LinkedIn
