Co znamená převrat v předávání osobních údajů z EU do USA pro firmy?

Dne 16. července 2020 zrušil Soudní dvůr Evropské unie štít EU-USA na ochranu soukromí. Jedná se o zásadní změnu, zejména pro americké společnosti působící v EU. Evropští soudci ve svém zdůvodnění přímo zmínili, že „štít soukromí“ dostatečně nechrání data občanů před hromadným sledováním americkými zpravodajskými agenturami, jako je například Národní bezpečnostní agentura (NSA).

Přinášíme překlad praktického přehledu, který na svém webu zveřejnila organizace noyb (jejíž člen Max Schrems k rozhodnutí výrazně přispěl).

Originální text zde: https://noyb.eu/en/next-steps-eu-companies-faqs

Jak postupovat v EU firmách & FAQ

Jsme si vědomi toho, že mnoho správců je zaskočeno nedávným rozhodnutím SDEU ohledně přenosu dat mezi EU a US a chybějící ochrannou lhůtou. Níže jsme shrnuli nejčastější dotazy a odpovědi na ně. Dále uvádíme dvě modelové žádosti, které můžete zaslat libovolnému US partnerovi nebo partnerům z EU, kteří mají vazby na US. Rychlé jednání může být rozhodujícím faktorem, budou-li dozorové úřady zvažovat sankce kvůli nesouladu s rozhodnutím SDEU. V příštích dnech budeme tento FAQ průběžně aktualizovat a zveřejníme konkrétní otázky a odpovědi spolu s modelovými texty pro uživatele („subjekty údajů“). Pokud máte nějaké připomínky, napište nám.

Kroky, které by měly podniknout správci v EU

V souladu s EDPB FAQ k rozsudku „Schrems II“ předběžně doporučujeme správcům, aby podnikli následující kroky:

  1. Prověřte veškeré externí toky údajů (včetně těch ke zpracovatelům a správcům z EU, kteří mohou údaje dále předávat subjektům mimo EU) na toky směřující do třetích zemí
  2. Určete odpovídající právní základ (např. rozhodnutí o odpovídající ochraně, článek 49, Štít soukromí, standardní smluvní doložky…)
  3. V reakci na 50 USC § 1881a (= FISA 702) a EO 12.333 identifikujte zejména „poskytovatele elektronických komunikačních služeb“ z US a veškeré toky údajů, které nejsou zabezpečeny proti odposlechům NSA (viz modelové žádosti níže)
  4. Zamezte tokům údajů, pokud:
    • Vy nebo některý z vašich partnerů stále používáte Štít soukromí.
    • Odpovídající US subjekt je „poskytovatel elektronických komunikačních služeb“.
    • Nemůžete ochránit vaše toky údajů proti odposlechům NSA.
  5. Uvědomte dozorový úřad pokud dále používáte standardní smluvní doložky, závazná podniková pravidla nebo jakýkoli jiný nástroj přes negativní posudek.

Modelové žádosti pro US poskytovatele nebo EU poskytovatele s vazbami na US

Můžete použít tyto modelové žádosti pro nejběžnější typy EU-US toků údajů, které mohou být ovlivněny rozhodnutím SDEU:

Brzy přidáme další modelové žádosti pro ostatní situace.

FAQ pro EU firmy

Jaké důsledky může být nereagování na toto rozhodnutí?

SDEU zdůraznil, že správci a (pokud jsou správci pasivní) dozorové úřady mají povinnost jednat a pozastavit nebo zakázat toky údajů (§ 134 rozsudku) pokud chybí vhodný legální nástroj pro přenos. To znamená, že v tomto případě není prostor pro žádnou „ochrannou lhůtu“.

Podle GDPR je správní pokuta za pokračování v přenosech údajů bez vhodného legálního nástroje stanovena na € 20 mil, nebo 4% globálního obratu (Článek 83(5)(c) GDPR). Nevládní organizace, odbory nebo individuální pracovníci mohou podat stížnosti nebo žaloby, včetně žalob pro psychickou újmu.

Je pravděpodobné, že dozorové úřady nebudou pokutovat správce, pokud ten prokáže, že veškerá opatření pro zajištění souladu s rozhodnutím SDEU zavedl bez zbytečné prodlevy. Smyslem této stránky je ukázat správcům způsob jak toto prokázat.

Prověřte jestli je z obchodní stránky nezbytné přenášet údaje do zahraničí!

V mnoha případech byli zvoleni externí poskytovatelé vně EU/EHS s minimálním zvážením důsledků. Proto je v mnoha případech možné přejít na poskytovatele z EU/EHS (nebo poskytovatele z „vhodné“ země jako např. Švýcarsko) a tím se vyhnout problémům s toky údajů.

I pokud se EU/EHS poskytovatel jeví zpočátku jako dražší, náklady na zajištění legálního přenosu údajů k poskytovateli vně EU/EHS mohou překročit úsporu levnější zahraniční nabídky.

Co musíte zajistit, pokud dále používáte standardní smluvní doložky pro toky údajů k poskytovatelům vně EU/EHS?

Správce a daný poskytovatel musí provést analýzu „případ od případu“ (§ 134 rozsudku), aby zkontrolovali, jestli tento poskytovatel nepodléhá národním zákonům, které porušují nařízení GDPR a Listinu základních práv.

Obecně řečeno, zákony umožňující zákonné vymáhání přístupu k údajům pouze v individuálních případech a po schválení soudcem budou v souladu s právem EU. Formy méně demokratického přístupu s širokým rozsahem („masové zpracování“) nebo přístup bez nutnosti přezkoumání soudcem budou v rozporu s právem EU.

Co musíte udělat, pokud používáte standardní smluvní doložky konkrétně pro toky údajů k US poskytovateli?

Většina cloudových poskytovatelů z US spadá pod FISA 702 a nemohou tedy být nadále používáni. Definice „poskytovatele elektronických komunikačních služeb“ v 50 USC § 1881(b)(4) čítá:

  • Poskytovatele vzdálených výpočetních služeb,
  • poskytovatele elektronických komunikačních služeb,
  • telekomunikační operátory,
  • libovolné jiné poskytovatele komunikačních služeb s přístupem k drátové nebo elektronické komunikaci ať již z hlediska přenosu nebo při ukládání takové komunikace,
  • a všechny úředníky, zaměstnance a zástupce těchto subjetů.

Pokud si nejste jisti, vzneste dotaz na vašeho poskytovatele jestli spadá pod FISA 702 a/nebo jestli má vhodnou ochranu proti odposlechům přenášených údajů třetí stranou (podle FISA 702 a/nebo EO 12.333). Protože každá situace má svá specifika, připravili jsme předběžné ukázkové dotazy, které můžete zdarma použít ke zjištění, jestli je vaše řešení zpracování údajů v US v souladu s rozsudkem:

Ke stažení: Ukázkové dotazy pro použití ke standardním smluvním doložkám s US poskytovatelem. [EN]

Co musíte udělat, pokud používáte poskytovatele, který zpracovává údaje v EU/EHS, ale má vazby na (nebo používá) US společnost?

FISA 702 a EO 12.333 nemají územní omezení. Vztahují se též na servery v EU, které jsou provozovány „poskytovatelem elektronických komunikačních služeb“ z US nebo kde jsou určité operace zadávané poskytovateli z US. Umístění hostingu je tedy nepodstatné.

V některých případech mohou poskytovatelé dostatečně omezit reálný přístup („vlastnění, správa nebo dohled“) subjektem z US, takže EU/EHS server je fakticky mimo dosah vlády US. Příkladem může být, když je EU subjekt vázán GDPR k neposkytování údajů rodičovské US společnosti a není tu tedy reálný přístup rodičovskou US společností.

Protože každá situace má svá specifika, připravili jsme předběžné ukázkové dotazy, které můžete zdarma použít ke zjištění detailů o tom, jestli vaše řešení zpracování v EU je v souladu s rozsudkem:

Ke stažení: Ukázkové dotazy pro hostování v rámci EU s vazbou na US [EN]

Co se sledováním přenášených údajů?

V paragrafu 183 rozsudku C-311/18 SDEU uvádí, že sledování „přenášených“ údajů vládou US (jako je program „Upstream“ nebo monitorování podmořských kabelů) porušuje základní práva EU.

Z hlediska GDPR zaujímáme předběžné stanovisko, že takové vnější manipulování s osobními údaji spadá zejména pod článek 32 GDPR („Zabezpečení zpracování“). Poskytovatel a příjemce osobních údajů proto musí zavést odpovídající technické a organizační opatření aby ochránili přenášené údaje před sledováním NSA/FBI.

Vzhledem k širokým možnostem vlády US k lámání šifrování je v každé situaci, kde dochází k přenosu, hlavně technickou otázkou jak a jestli je možné tento přenos zabezpečit. Vláda US prohlašuje, že v programech jako Upstream používá zejména „selektory“ (jako jsou e-mailové adresy, IP adresy nebo telefonní čísla). Technická řešení tedy musí zajistit, aby tyto selektory byly end-to-end šifrovány. V mnoha případech přímé komunikace (jako jsou PGP šifrované e-maily) jsou však tyto „selektory“ nešifrované.

Pokud chcete zjistit jaká zavedl váš poskytovatel opatření proti sledování přenášených údajů, můžete použít výše uvedené otázky.

Existuje seznam poskytovatelů z US, kteří spadají pod tyto sledovací zákony?

Neexistuje žádný kompletní seznam poskytovatelů z US, kteří spadají pod 702 FISA (50 USC § 1881a) vzhledem k tomu, že pod tento zákon spadají všichni „poskytovatelé elektronických komunikačních služeb“. Definice „poskytovatele elektronických komunikačních služeb“ je uvedena v 50 USC § 1881(b)(4).

Mnoho společností také zveřejnilo takzvané „zprávy o transparentnosti“ kde uvádí seznam přístupů poskytovaných podle FISA. Tyto zprávy nám jednoznačně prozrazují, že dané společnosti spadají pod nařízení FISA.

Tady můžete vidět několik příkladů (mnoho jiných společností tyto informace jednoduše nezveřejňuje přes to, že spadají pod FISA 702):

AT&T

Amazon (AWS)

Apple

Cloudflare

Dropbox

Facebook

Google

Microsoft

Verizon  Media (dříve Oath & Yahoo)

Verizon

Kdo je zodpovědný za financování zavedení dopadů rozhodnutí C-311/18?

Pokud jste dosud používali standardní smluvní doložky pro své přenosy, nic se pro vás nemění. Všichni poskytovatelé vně EU/EHS měli povinnost vás informovat o zákonech jako FISA 702 a EO 12.333. Pokud tak neučinili, nesou finanční zodpovědnost za veškeré náklady spojené s rušením těchto doložek a přenosem dat zpět do EU/EHS podle doložky II přílohy k rozhodnutí 2004/915/EC nebo doložky 5(b) přílohy k rozhodnutí 2010/87.

Rozhodnutí ohledně Štítu soukromí bylo nesprávné výkonné rozhodnutí Evropské komise. Teoreticky mohou být vzneseny požadavky na úhradu škody proti EU podle článku 340 TFEU.

Mohu prostě použít článek 49 GDPR pro veškeré přenosy do US?

EDPB zastává názor, že článek 49 může být použit pouze pro „příležitostné a neopakované přenosy„, což omezuje článek 49 na jednotlivé situace, kde dali uživatelé explicitní souhlas, nebo je přenos nezbytný pro zajištění kontraktu (např. rezervace v zahraničním hotelu).

Na rozdíl od všeobecného přesvědčení není outsourcing naprosto „nezbytný“ pro zajištění kontraktu, pokud byste teoreticky mohli využít též poskytovatele z EU/EHS, nebo zpracovat údaje interně. Správci by také měli vzít v úvahu, že subjekty údajů mohou kdykoli svůj souhlas odvolat.

Zatímco článek 49 umožňuje udržovat otevřenou „základní“ komunikaci s libovolnou zemí na světě (od Švýcarska po Severní Koreu), je to pouze výjimka pro naprosto nezbytné přenosy.

Odkaz: Pokyny 2/2018 k výjimkám podle článku 49

Jak mohu posoudit, jestli jsou zákony třetí země v souladu se základními právy EU?

Po rozsudku Schrems I v roce 2016 vydala Pracovní skupina zřízená podle článku 29 (nyní EDPB) jasné pokyny co může a nemůže být považováno za obhájitelný zásah do základních práv v demokratické společnosti vzhledem k nařízení o ochraně osobních údajů (články 7 a 8 listiny). Již v tomto dokumentu pracovní skupiny identifikovaly dozorové úřady čtyři základní evropské záruky, které by měly být respektovány v zemích kam jsou přenášeny údaje z EU:

A. Zpracování by mělo být založeno na jasných, přesných a dostupných pravidlech;

B. Potřeba a přiměřenost s ohledem na legitimní dosahované cíle musí být prokázány;

C. Měl by existovat nezávislý dozorový mechanismus;

D. Jednotlivci musí mít přístup k efektivním opravným prostředkům.

Můžete si povšimnout, že SDEU použil nejméně dva z těchto bodů k zneplatnění Štítu soukromí. Proto může být vhodné se nejdříve seznámit s obsahem tohoto dokumentu.

Odkaz: Working Paper 237 of the Article 29 Working Party [EN]