Další kroky pro společnosti v EU a nejčastější dotazy

Jsme si plně vědomi toho, že mnozí správci jsou nedávným rozsudkem Soudního dvora EU o předávání údajů mezi EU a USA a neexistencí odkladné lhůty zdrceni. Níže jsme shrnuli nejčastější otázky a odpovědi na ně. Uvádíme také dva vzorové texty žádostí, které můžete zaslat jakémukoli americkému partnerovi nebo partnerovi z EU s vazbami na USA. Přijetí rychlých opatření může být relevantním faktorem v případě, že orgán pro ochranu údajů bude zvažovat pokuty za nedodržení rozhodnutí Soudního dvora EU. Tyto často kladené dotazy budeme aktualizovat a v nejbližších dnech zveřejníme konkrétní často kladené dotazy a vzorové texty pro uživatele ("subjekty údajů"). Dejte nám vědět, pokud máte nějaké připomínky.

Kroky, které by měli správci v EU podniknout

V souladu s často kladenými dotazy EDPB k rozsudku "Schrems II" naše předběžné doporučení zní, aby správci podnikli následující kroky:

1. Přezkoumejte všechny své externí datové toky (včetně těch, které směřují ke zpracovatelům nebo správcům v EU, kteří mohou následně předávat údaje subjektu mimo EU), zda nedochází k toku údajů do třetích zemí
2. Určete příslušný právní základ (např. přiměřenost, článek 49, štít na ochranu soukromí, SCC atd.)
3. V souvislosti s § 1881a 50 USC (= FISA 702) a EO 12.333 identifikujte zejména všechny americké "poskytovatele služeb elektronické komunikace" a všechny datové toky do USA, které nejsou zabezpečeny proti odposlechu ze strany NSA (viz vzory žádostí níže)
4. Zastavte přenosy dat, pokud:
   • Vy nebo některý z našich partnerů stále používáte štít na ochranu soukromí
   • Příslušný americký subjekt je "poskytovatelem služeb elektronické komunikace" nebo
   • Nemůžete ochránit své datové toky před odposlechem ze strany NSA
5. Upozorněte orgán pro ochranu údajů, pokud i přes negativní hodnocení nadále používáte SCC, BCR nebo jakýkoli jiný nástroj

Vzorové požadavky na poskytovatele z USA nebo poskytovatele s vazbami na USA

Tyto vzorové žádosti můžete použít na nejběžnější typy datových toků mezi EU a USA, které mohou být rozsudkem Soudního dvora EU ovlivněny:

• Modelové žádosti pro dovozce údajů z USA, pokud stále používáte SCC (analýza "případ od případu")
  • Verze bez titulní stránky noyb
  • Verze ve Wordu (editovatelná)
  • Verze ODT (editovatelná)
• Vzorová žádost pro poskytovatele, kteří zpracovávají údaje v EU/EHP, ale mají vazby na USA (analýza "případ od případu")
  • Verze bez titulní stránky noyb
  • Verze ve Wordu (upravitelná)
  • Verze ODT (upravitelná)

Brzy přidáme další vzorové žádosti pro další situace.

Často kladené otázky pro společnosti z EU

• Jaké jsou důsledky, když nepodniknu žádné kroky?

SDEU zdůraznil, že správci a (pokud jsou správci nečinní) orgány pro ochranu údajů mají povinnost jednat a pozastavit nebo zakázat předávání údajů (bod 134 rozsudku), pokud nemají platný právní nástroj pro předávání. To znamená, že v tomto případě neexistuje žádná šance na "odkladnou lhůtu".

Podle GDPR existuje sankce ve výši 20 milionů EUR nebo 4 % celosvětového obratu, pokud budete pokračovat v předávání údajů bez platného právního nástroje (čl. 83 odst. 5 písm. c) GDPR). Nevládní organizace, rady zaměstnanců nebo jednotliví uživatelé mohou podávat stížnosti nebo žaloby, a to i na náhradu citové újmy.

Je pravděpodobné, že orgán pro ochranu osobních údajů nebude správce pokutovat, pokud správce prokáže, že všechna opatření k dosažení souladu s rozsudkem Soudního dvora EU byla přijata co nejrychleji. Tato stránka má správcům umožnit takové kroky prokázat.

• Projděte si ji, pokud potřebujete z obchodního hlediska předávat údaje do zahraničí!

V mnoha případech byli externí poskytovatelé mimo EU/EHP vybráni bez většího uvážení důsledků. Proto můžete v mnoha případech přejít k poskytovateli z EU/EHP (nebo k poskytovateli z "adekvátní" země, jako je Švýcarsko), a tím se problémům kolem předávání údajů zcela vyhnout.

I když se může zdát, že využití služeb poskytovatele z EU/EHP je zpočátku nákladnější, čas strávený legalizací přenosu dat ze země mimo EU/EHP vás může stát více, než kolik ušetříte na levnější nabídce ze zahraničí.

• Pokud stále používáte SCC pro přenosy k jakémukoli poskytovateli mimo EU/EHP, co musíte udělat?

Správce a příslušný poskytovatel musí provést analýzu "případ od případu" (bod 134 rozsudku) a ověřit, zda neexistují vnitrostátní právní předpisy, kterým tento poskytovatel podléhá a které porušují GDPR a Listinu základních práv.

Obecně platí, že zákony, které umožňují běžný přístup donucovacích orgánů k údajům v individualizovaných případech a se souhlasem soudce, budou v souladu s právem EU. Formy méně demokratického, dalekosáhlého přístupu ("hromadné zpracování") nebo přístupu bez soudního přezkumu budou s právem EU neslučitelné.

• Co musím udělat, pokud konkrétně využívám SCC pro předávání údajů poskytovateli z USA?

Většina amerických poskytovatelů cloudových služeb spadá pod zákon FISA 702 a nebudete je již moci používat. V definici "poskytovatele služeb elektronických komunikací" uvedené v § 1881 písm. b) odst. 4 zákona 50 USC je uvedeno:

• Poskytovatelé služeb vzdálené výpočetní techniky,
• Poskytovatel služeb elektronických komunikací,
• Telekomunikační operátoři,
• Jakýkoli jiný poskytovatel komunikačních služeb, který má přístup k drátovým nebo elektronickým komunikacím buď v okamžiku, kdy jsou tyto komunikace přenášeny, nebo v okamžiku, kdy jsou tyto komunikace ukládány, a
• jakýkoli vedoucí pracovník, zaměstnanec nebo zástupce jakéhokoli takového subjektu.

Pokud si nejste jisti, můžete se zeptat svého poskytovatele, zda sám spadá pod FISA 702 a/nebo zda má řádnou ochranu proti sledování třetí stranou při přenosu (podle FISA 702 a/nebo EO 12.333). Protože každá situace je jiná, připravili jsme pro vás předběžné vzorové otázky, které můžete zdarma použít, abyste se dozvěděli více o tom, zda je vaše řešení pro zpracování dat v USA v souladu s rozsudkem:

Stáhnout: Vzorové otázky pro použití SCC s americkým poskytovatelem.

• Pokud používám poskytovatele, který zpracovává údaje v EU/EHP, ale je propojen s americkou společností (nebo ji využívá), co musím udělat?

FISA 702 a EO 12.333 nemají žádné územní omezení. Vztahují se také na servery v EU, které jsou provozovány americkým "poskytovatelem služeb elektronických komunikací" nebo kde jsou některé operace zadávány americkému poskytovateli. Místo hostování je tedy irelevantní.

V některých případech mohou poskytovatelé dostatečně omezit faktický přístup ("držení, opatrování nebo kontrolu") ze strany amerických subjektů, takže server EU/EHP je fakticky mimo dosah vlády USA. Tak tomu může být například v případě, kdy je subjekt z EU podle GDPR povinen neposkytovat údaje mateřské společnosti v USA a neexistuje žádný faktický přístup ze strany mateřské společnosti v USA.

Protože každá situace je jiná, připravili jsme pro vás předběžné vzorové otázky, které můžete bezplatně použít, abyste se dozvěděli více o tom, zda je vaše řešení zpracování v EU v souladu s rozsudkem:

Stáhnout: Vzorové otázky pro hosting v rámci EU s odkazem na USA

• Jak je to se sledováním při přepravě?

V bodě 183 rozsudku C-311/18 Soudní dvůr EU rovněž konstatoval, že sledování "při tranzitu" ze strany USA (jako je "Upstream" nebo odposlechy podmořských kabelů) porušuje základní práva EU.

Z pohledu GDPR zastáváme předběžné stanovisko, že takový vnější zásah do osobních údajů spadá především pod článek 32 GDPR ("bezpečnost zpracování"). Vývozce a dovozce údajů proto musí zavést vhodná technická a organizační opatření na ochranu přenášených údajů před odposlechy NSA/FBI.

Vzhledem k tomu, že vláda USA má rozsáhlé pravomoci k prolomení šifrování, je v každé situaci předávání především technickou otázkou, zda a jak je možné technické řešení. Vláda USA tvrdí, že pro programy, jako je Upstream, používá především "selektory" (jako jsou e-mailové adresy, IP adresy nebo telefonní čísla). Jakýkoli technický přístup proto musí zajistit, aby se tyto selektory nacházely pod koncovou šifrovací vrstvou. V mnoha formách přímé komunikace (jako je e-mail šifrovaný pomocí PGP) nejsou "selektory" samy o sobě šifrovány.

Pomocí výše uvedených vzorových otázek se můžete svého poskytovatele zeptat na opatření proti sledování při přenosu.

• Existuje seznam amerických poskytovatelů, na které se tyto zákony o sledování vztahují?

Neexistuje úplný seznam všech amerických poskytovatelů, kteří spadají pod 702 FISA (50 USC § 1881a), protože pod tento zákon spadají všichni "poskytovatelé služeb elektronických komunikací". Definici "poskytovatele služeb elektronických komunikací" lze nalézt v 50 USC § 1881(b)(4).

Zároveň řada společností dokonce zveřejnila takzvané "zprávy o transparentnosti", které uvádějí přístupy podle zákona FISA. Díky tomu můžeme vědět, že tyto společnosti rozhodně podléhají příkazu FISA.

Několik příkladů najdete zde (mnoho dalších společností takové informace prostě nesděluje, přestože spadají pod FISA 702):

AT&T

Amazon (AWS)

Apple

Cloudflare

Dropbox

Facebook

Google

Microsoft

Verizon Media (dříve Oath a Yahoo)

Verizon

• Kdo nese odpovědnost za náklady spojené s realizací důsledků rozsudku C-311/18?

Pokud jste dříve pro své převody používali SCC, zákon se nezměnil. Každý poskytovatel mimo EU/EHP měl povinnost vás informovat o zákonech jako FISA 702 a EO 12.333. Pokud tak neučinil, nese odpovědnost za veškeré náklady, které vzniknou v důsledku zrušení SCC a předání údajů zpět do EU/EHP, a to buď podle doložky II přílohy rozhodnutí 2004/915/ES, nebo podle doložky 5 písm. b) přílohy rozhodnutí 2010/87.

Rozhodnutí o štítu na ochranu soukromí bylo nesprávným výkonným rozhodnutím Evropské komise. Teoreticky lze proti EU vznést nárok na náhradu škody podle článku 340 SFEU.

• Mohu jednoduše použít článek 49 GDPR pro všechna předání do USA?

EDPB zaujal stanovisko, že článek 49 lze použít pouze pro "příležitostná a neopakující se předání", což omezuje článek 49 na jednotlivé situace, kdy uživatelé udělili výslovný souhlas, nebo pokud je předání nezbytně nutné k zajištění smlouvy (např. rezervace hotelu v zahraničí).

Na rozdíl od některých tvrzení není outsourcing operací zpracování údajů nezbytně "nutný" k poskytnutí smlouvy, pokud byste teoreticky mohli využít také poskytovatele z EU/EHP nebo zpracovávat údaje ve vlastní režii. Správci by také měli mít na paměti, že subjekty údajů mohou svůj souhlas kdykoli odvolat.

Článek 49 sice umožňuje zachovat "základní" komunikaci s jakoukoli zemí na světě (od Švýcarska po Severní Koreu), ale jedná se pouze o výjimku pro nezbytně nutná předání.

Odkaz: Pokyny 2/2018 k odchylkám od článku 49

• Jak mohu posoudit, zda je právo třetí země slučitelné se základními právy EU?

Po rozsudku ve věci Schrems I poskytla v roce 2016 pracovní skupina zřízená podle článku 29 (nyní EDPB) jasné pokyny k tomu, co lze a co nelze považovat za oprávněný zásah do základních práv v demokratické společnosti, pokud jde o právo na ochranu údajů (články 7 a 8 Listiny). V tomto pracovním dokumentu již orgány pro ochranu údajů určily čtyři evropské základní záruky, které by měly být dodržovány v zemích, kam jsou údaje z EU zasílány:

A. Zpracování by mělo být založeno na jasných, přesných a přístupných pravidlech;

B. Musí být prokázána nezbytnost a přiměřenost s ohledem na sledované legitimní cíle;

C. Měl by existovat nezávislý mechanismus dohledu;

D. Jednotlivec musí mít k dispozici účinné opravné prostředky.

Lze si všimnout, že Soudní dvůr EU použil nejméně dva body z těchto pokynů, aby zrušil platnost štítu na ochranu soukromí. Proto může být užitečné, abyste se nejprve podívali na tento pracovní dokument.

Odkaz: Pracovní dokument 237 pracovní skupiny zřízené podle článku 29