Soudní dvůr EU zrušil Privacy Shield – co to znamená v praxi?

  • Datum 7. 8. 2020

Využíváte ke zpracování osobních údajů služby amerických společností? Zbystřete, předávání osobních údajů do USA už nepůjde tak lehce, jako dosud. Soudní dvůr EU totiž před pár dny zrušil rozhodnutí Evropské komise označované jako Privacy Shield, které toto předávání zaštiťovalo. Proč ke zrušení došlo a hlavně, jak se s tím poprat v praxi?

Proč „štít“ nestačil

Štít jednoduše umožňoval americkým společnostem, které se k jeho pravidlům přihlásí, přebírat osobní údaje od evropských zákazníků. Na soud se obrátil bojovník za ochranu osobních údajů, Rakušan Max Schrems. A není to jeho první boj za práva na ochranu osobních údajů. Co mu vadilo v tomto případě? Především to, že Facebook Ireland, dceřiná společnost americké Facebook Inc. předává jeho údaje právě americké společnosti. Podle něj ale tato americká společnost nezaručuje takovou úroveň ochrany jeho osobních údajů, jakou vyžadují evropské předpisy, a to hlavně kvůli americkým bezpečnostním službám, které nejsou v přístupu k údajům příliš limitovány. A Soudní dvůr EU mu dal za pravdu a Privacy Shield zrušil. Okamžitě.


Můžete v předávání údajů do USA pokračovat?

Privacy Shield padl, nařízení GDPR ale myslí i na jiné právní mechanismy, jak zajistit údajům předávaným mimo území EU dostatečné zabezpečení. Jedním z nich jsou tzv. standardní smluvní doložky, což jsou předschválená vzorová ujednání, která si můžete překlopit do svých současných smluv nebo obchodních podmínek

A právě touto cestou se některé americké společnosti v čele s Google rozhodly jít a samy aktivně podobná ujednání do smluv dopisují, aby je jejich partneři nevyměnili za evropské nebo jiné bezpečné dodavatele. Pokud využíváte služby Google Ads či Analytics, mělo by vám přistát v e‑mailu upozornění, že od 12. 8. platí nové podmínky, včetně standardních smluvních doložek.

Standardní smluvní doložky před Soudním dvorem sice obstály, v případě předávání do USA ale Soudní dvůr i tak zdvihl varovný prst. Samotná smluvní doložka totiž nemusí v praxi odpovídající ochranu skutečně zajišťovat a obdobně se vyjádřil i náš Úřad pro ochranu osobních údajů.

Co s tím? Pokud jste v roli správce, jde odpovědnost bohužel vždy za vámi. Do smluv se zpracovateli byste tak měli doplnit standardní doložky nebo jiná odpovídající ujednání. Pokud by to nebylo možné, je na místě zvážit výměnu zpracovatele. Další možností je vyžádat si od subjektů, jejichž údaje zpracováváte, souhlas s předáním a zároveň je poučit o rizicích, která z toho pro ně vyplývají.

A pokud jde konkrétně o předání do USA, měli byste podle českého Úřadu pro ochranu osobních údajů po svých amerických zpracovatelích požadovat nad rámec doložek i doplnění dalších bezpečnostních záruk, např. přesun uložení dat z USA na území EU.

Jelikož je rozhodnutí Soudního dvora stále poměrně čerstvé, názory se stále vyvíjí. Dá se ale také očekávat, že zrušený štít bude časem nahrazen novým. Mezitím však nedoporučujeme brát vyjádření českého ÚOOÚ na lehkou váhu a udělat maximum proto, aby osobní údaje byly uložené na území EU.


Štítky

Autor článku

Alžběta nejčastěji píše o tom, jak a proč registrovat ochrannou známku, jak dělat marketing právně správně nebo jak se poprat s GDPR a ochranou osobních údajů, aby nestálo v cestě vašemu podnikání či marketingovým aktivitám. 

Specializace:

  • Autorská práva a duševní vlastnictví
  • GDPR a ochrana osobních údajů
  • Marketingové právo

Stavíme mosty mezi právem
a realitou vašeho podnikání

Vaše smlouvy budou neprůstřelné
a srozumitelné

Máme praktický přesah a myslíme
na všechny situace

Věci řešíme bez průtahů a
zbytečné omáčky okolo

Předem víte, kolik
a za co platíte

Buďte v obraze. Jednou za měsíc vám pošleme všechno, co potřebujete vědět, abyste se nedostali do maléru.

E-mail není zadán ve správném formátu (např. vasemail@email.com). X