Ďalšie kroky pre spoločnosti v EÚ a často kladené otázky

Sme si plne vedomí toho, že mnohí prevádzkovatelia sú ohromení nedávnym rozsudkom Súdneho dvora EÚ o prenose údajov medzi EÚ a USA a absenciou odkladnej lehoty. Najčastejšie otázky a odpovede sme zhrnuli nižšie. Uvádzame aj dva vzorové texty žiadostí, ktoré môžete poslať akémukoľvek partnerovi z USA alebo akémukoľvek partnerovi z EÚ s väzbami na USA. Prijatie rýchlych opatrení môže byť relevantným faktorom v prípade, že orgán na ochranu údajov bude zvažovať pokuty za nedodržanie rozhodnutia SDEÚ. V najbližších dňoch budeme tieto často kladené otázky aktualizovať a uverejníme osobitné často kladené otázky a vzorové texty pre používateľov ("dotknuté osoby"). Dajte nám vedieť, ak máte nejaké pripomienky.

Kroky, ktoré by mali podniknúť prevádzkovatelia v EÚ

V súlade s často kladenými otázkami EDPB k rozsudku "Schrems II" naše predbežné odporúčanie je, aby prevádzkovatelia podnikli nasledujúce kroky:

1. Preskúmajte všetky svoje externé toky údajov (vrátane tokov údajov k spracovateľom alebo prevádzkovateľom z EÚ, ktorí zasa môžu prenášať údaje subjektu mimo EÚ), pokiaľ ide o toky údajov do tretích krajín
2. Identifikujte príslušný právny základ (napr. primeranosť, článok 49, štít na ochranu súkromia, SCC atď.)
3. V súvislosti s § 1881a 50 USC (= FISA 702) a EO 12.333 identifikujte najmä všetkých "poskytovateľov elektronických komunikačných služieb" v USA a všetky toky údajov do USA, ktoré nie sú zabezpečené proti odpočúvaniu zo strany NSA (pozri vzory žiadostí nižšie)
4. Zastavte prenosy údajov, ak:
   • Vy alebo niektorý z našich partnerov stále používate štít na ochranu súkromia
   • Príslušný americký subjekt je "poskytovateľom elektronických komunikačných služieb" alebo
   • Nemôžete ochrániť svoje dátové toky pred odpočúvaním zo strany NSA
5. Oznámte orgánu pre ochranu údajov, ak napriek negatívnemu posúdeniu naďalej používate SCC, BCR alebo akýkoľvek iný nástroj

Vzorové žiadosti adresované poskytovateľom z USA alebo poskytovateľom s väzbami na USA

Tieto vzorové žiadosti môžete použiť na najbežnejšie typy tokov údajov medzi EÚ a USA, ktoré môžu byť ovplyvnené rozsudkom SDEÚ:

• Modelové žiadosti pre dovozcov údajov z USA, ak stále používate SCC (analýza "prípad od prípadu")
  • Verzia bez titulnej strany noyb
  • Verzia vo formáte Word (upraviteľná)
  • Verzia ODT (editovateľná)
• Vzorová žiadosť pre poskytovateľov, ktorí spracúvajú údaje v EÚ/EHP, ale majú väzby na USA (analýza "prípad od prípadu")
  • Verzia bez titulnej strany noyb
  • Word verzia (upraviteľná)
  • Verzia ODT (upraviteľná)

Čoskoro pridáme ďalšie vzorové žiadosti pre iné situácie.

Často kladené otázky pre spoločnosti z EÚ

• Aké sú dôsledky, keď neprijmem opatrenia?

SDEÚ zdôraznil, že prevádzkovatelia a (ak sú prevádzkovatelia nečinní) orgány na ochranu údajov majú povinnosť konať s cieľom pozastaviť alebo zakázať prenosy údajov (bod 134 rozsudku), ak nemajú platný právny nástroj na prenos. To znamená, že v tomto prípade neexistuje žiadna šanca na "odkladnú lehotu".

Podľa GDPR existuje pokuta vo výške 20 mil. eur alebo 4 % globálneho obratu, ak budete pokračovať v prenose údajov bez platného právneho nástroja (článok 83 ods. 5 písm. c) GDPR). Mimovládne organizácie, zamestnanecké rady alebo jednotliví používatelia môžu podávať sťažnosti alebo žaloby, a to aj o náhradu citovej ujmy.

Je pravdepodobné, že orgán na ochranu údajov neuloží prevádzkovateľovi pokutu, ak prevádzkovateľ preukáže, že všetky opatrenia na dosiahnutie súladu s rozsudkom SDEÚ boli prijaté čo najrýchlejšie. Cieľom tejto stránky je umožniť prevádzkovateľom preukázať takéto kroky.

• Prezrite si, ak potrebujete z obchodného hľadiska preniesť údaje do zahraničia!

V mnohých prípadoch boli externí poskytovatelia z krajín mimo EÚ/EHP vybraní bez dostatočného zváženia dôsledkov. Preto môžete v mnohých prípadoch prejsť na poskytovateľa z EÚ/EHP (alebo poskytovateľa z "adekvátnej" krajiny, ako je Švajčiarsko), a tým sa úplne vyhnúť problémom okolo prenosu údajov.

Aj keď sa využívanie poskytovateľa z EÚ/EHP môže spočiatku zdať nákladnejšie, čas strávený legalizáciou prenosu mimo EÚ/EHP vás môže stáť viac, ako koľko ušetríte na lacnejšej ponuke zo zahraničia.

• Ak stále používate SCC na prenosy k akémukoľvek poskytovateľovi mimo EÚ/EHP, čo musíte urobiť?

Prevádzkovateľ a príslušný poskytovateľ musia vykonať analýzu "prípad od prípadu" (bod 134 rozsudku), aby skontrolovali, či existujú vnútroštátne právne predpisy, ktorým tento poskytovateľ podlieha a ktoré porušujú GDPR a Chartu základných práv.

Vo všeobecnosti zákony, ktoré umožňujú spoločný prístup orgánov presadzovania práva k údajom v individualizovaných prípadoch a na základe súhlasu sudcu, budú v súlade s právom EÚ. Formy menej demokratického, ďalekosiahleho prístupu ("hromadné spracovanie") alebo prístupu bez súdneho preskúmania nebudú v súlade s právom EÚ.

• Ak konkrétne využívam SCC na prenosy k poskytovateľovi z USA, čo musím urobiť?

Väčšina amerických poskytovateľov cloudových služieb spadá pod zákon FISA 702 a nebudete ich už môcť používať. V definícii "poskytovateľa elektronických komunikačných služieb" v § 1881 písm. b) bode 4 zákona 50 USC sa uvádza:

• Poskytovatelia služieb vzdialenej výpočtovej techniky,
• Poskytovateľ elektronických komunikačných služieb,
• Telekomunikační operátori,
• Akýkoľvek iný poskytovateľ komunikačných služieb, ktorý má prístup k drôtenej alebo elektronickej komunikácii buď v čase, keď sa takáto komunikácia prenáša, alebo keď sa takáto komunikácia uchováva, a
• každý úradník, zamestnanec alebo zástupca ktoréhokoľvek z týchto subjektov.

Ak si nie ste istí, môžete sa svojho poskytovateľa opýtať, či sám spadá pod FISA 702 a/alebo či má riadnu ochranu proti sledovaniu tretích strán pri prenose (podľa FISA 702 a/alebo EO 12.333). Keďže každá situácia je iná, pripravili sme predbežné vzorové otázky, ktoré môžete bezplatne použiť na zistenie, či je vaše riešenie na spracovanie údajov v USA v súlade s rozsudkom:

Stiahnite si: Vzorové otázky na použitie SCC s poskytovateľom z USA.

• Ak používam poskytovateľa, ktorý spracúva údaje v EÚ/EHP, ale je prepojený s americkou spoločnosťou (alebo ju využíva), čo musím urobiť?

FISA 702 a EO 12.333 nemajú žiadne územné obmedzenie. Vzťahujú sa aj na servery v EÚ, ktoré prevádzkuje americký "poskytovateľ elektronických komunikačných služieb", alebo ak sa určité operácie zadávajú poskytovateľovi z USA. Miesto poskytovania hostingových služieb je preto irelevantné.

V niektorých prípadoch môžu poskytovatelia dostatočne obmedziť faktický prístup ("vlastníctvo, úschovu alebo kontrolu") zo strany amerických subjektov, takže server EÚ/EHP je fakticky mimo dosahu vlády USA. Môže to byť napríklad prípad, keď je subjekt z EÚ podľa GDPR povinný neposkytovať údaje materskej spoločnosti v USA a materská spoločnosť v USA k nim nemá faktický prístup.

Keďže každá situácia je iná, pripravili sme predbežné vzorové otázky, ktoré môžete bezplatne použiť na zistenie, či je vaše riešenie spracovania údajov v EÚ v súlade s rozsudkom:

Stiahnite si: Vzorové otázky pre hosting v rámci EÚ s prepojením na USA

• Čo so sledovaním pri tranzite?

V bode 183 rozsudku C-311/18 SDEÚ tiež konštatoval, že sledovanie USA "pri tranzite" (ako napríklad "Upstream" alebo odpočúvanie podmorských káblov) porušuje základné práva EÚ.

Z hľadiska GDPR zastávame predbežné stanovisko, že takéto vonkajšie zásahy do osobných údajov spadajú najmä pod článok 32 GDPR ("bezpečnosť spracúvania"). Vývozca a dovozca údajov preto musí zaviesť vhodné technické a organizačné opatrenia na ochranu prenášaných údajov pred odpočúvaním NSA/FBI.

Vzhľadom na to, že vláda USA má rozsiahle právomoci na prelomenie šifrovania, je v každej situácii prenosu najmä technickou otázkou, či a ako je možné technické riešenie. Vláda USA tvrdí, že v prípade programov, ako je Upstream, používa najmä "selektorov" (ako sú e-mailové adresy, IP adresy alebo telefónne čísla). Akýkoľvek technický prístup preto musí zabezpečiť, aby sa takéto selektory nachádzali pod koncovou vrstvou šifrovania. V mnohých formách priamej komunikácie (ako napríklad e-mail šifrovaný PGP) nie sú samotné "selektory" šifrované.

Môžete použiť vyššie uvedené vzorové otázky a opýtať sa svojho poskytovateľa na opatrenia proti sledovaniu pri prenose.

• Existuje zoznam poskytovateľov z USA, na ktorých sa vzťahujú tieto zákony o sledovaní?

Neexistuje úplný zoznam všetkých poskytovateľov z USA, ktorí spadajú pod 702 FISA (50 USC § 1881a), pretože pod tento zákon spadajú všetci "poskytovatelia elektronických komunikačných služieb". Definícia "poskytovateľa elektronických komunikačných služieb" sa nachádza v 50 USC § 1881(b)(4).

Viaceré spoločnosti zároveň dokonca zverejnili takzvané "správy o transparentnosti", ktoré uvádzajú prístupy podľa zákona FISA. Vďaka tomu môžeme vedieť, že tieto spoločnosti určite podliehajú príkazu FISA.

Niekoľko príkladov nájdete tu (mnohé iné spoločnosti takéto informácie jednoducho nezdieľajú napriek tomu, že spadajú pod FISA 702):

AT&T

Amazon (AWS)

Apple

Cloudflare

Dropbox

Facebook

Google

Microsoft

Verizon Media (predtým Oath a Yahoo)

Verizon

• Kto je zodpovedný za náklady na realizáciu dôsledkov C-311/18?

Ak ste predtým používali SCC pre svoje prevody, zákon sa nezmenil. Každý poskytovateľ mimo EÚ/EHP mal povinnosť informovať vás o zákonoch ako FISA 702 a EO 12.333. Ak tak neurobil, je zodpovedný za všetky náklady, ktoré vyplývajú zo zrušenia SCC a prenosu údajov späť do EÚ/EHP buď podľa doložky II prílohy k rozhodnutiu 2004/915/ES, alebo doložky 5 písm. b) prílohy k rozhodnutiu 2010/87.

Rozhodnutie o štíte na ochranu súkromia bolo nesprávnym výkonným rozhodnutím Európskej komisie. Teoreticky je možné podať žalobu o náhradu škody proti EÚ podľa článku 340 ZFEÚ.

• Môžem jednoducho použiť článok 49 GDPR na všetky prenosy do USA?

EDPB zaujal stanovisko, že článok 49 možno použiť len na "príležitostné a neopakujúce sa prenosy", čo obmedzuje článok 49 na jednotlivé situácie, keď používatelia dali výslovný súhlas alebo ak je prenos nevyhnutne potrebný na zabezpečenie zmluvy (napr. rezervácia hotela v zahraničí).

Na rozdiel od niektorých tvrdení nie je outsourcing spracovateľských operácií striktne "nevyhnutný" na poskytnutie zmluvy, ak by ste teoreticky mohli využiť aj poskytovateľa z EÚ/EHP alebo spracúvať údaje vo vlastnej réžii. Prevádzkovatelia by mali mať na pamäti aj to, že dotknuté osoby môžu svoj súhlas kedykoľvek odvolať.

Hoci článok 49 umožňuje zachovať "základnú" komunikáciu s ktoroukoľvek krajinou na svete (od Švajčiarska po Severnú Kóreu), ide o výnimku len v prípade nevyhnutne potrebných prenosov.

Odkaz: Usmernenia 2/2018 o výnimkách z článku 49

• Ako môžem posúdiť, či je právo tretej krajiny v súlade so základnými právami EÚ?

Po rozsudku vo veci Schrems I v roku 2016 pracovná skupina zriadená podľa článku 29 (teraz EDPB) poskytla jasné usmernenie o tom, čo možno a čo nemožno považovať za odôvodnený zásah do základných práv v demokratickej spoločnosti, pokiaľ ide o právo na ochranu údajov (články 7 a 8 charty). V tomto pracovnom dokumente orgány na ochranu údajov už určili štyri európske základné záruky, ktoré by sa mali dodržiavať v krajinách, kam sa údaje z EÚ zasielajú:

A. Spracovanie by malo byť založené na jasných, presných a dostupných pravidlách;

B. Musí byť preukázaná nevyhnutnosť a primeranosť vzhľadom na sledované legitímne ciele;

C. Mal by existovať nezávislý mechanizmus dohľadu;

D. Jednotlivec musí mať k dispozícii účinné opravné prostriedky.

Možno si všimnúť, že SDEÚ použil najmenej dva body z tohto usmernenia na zrušenie štítu na ochranu súkromia. Preto môže byť užitočné, aby ste si najprv pozreli tento pracovný dokument.

Odkaz: Pracovný dokument 237 pracovnej skupiny zriadenej podľa článku 29