Když jsme se všichni před čtyřmi lety začali připravovat na GDPR, tlumil jsem obavy z neznámého alespoň tím, že jsem upozorňoval na snadnější předávání osobních údajů mimo EU – pátá kapitola GDPR skutečně ve srovnání s předchozí úpravou skýtala robustní systém pravidel, jejichž cílem bylo zaručit nejen ochranu dat v cizích jurisdikcích, ale i zvýšit právní jistotu těch, kteří ke své obchodní či jiné činnosti spoléhají na zpracování dat v zahraničí.
Teď už vím, že jsem byl velký optimista, když jsem si nedokázal představit, co všechno nám může přinést rok 2020… O první ráně, kterou Soudní dvůr EU zrušením Privacy Shield v červenci zasadil dosud stabilnímu systému pro předávání dat do USA (a vlastně kamkoliv jinam), jsme informovali zde (případ Schrems II), a o netrpělivém čekání na náplast (či spíše sádru, neboť vzniklý stav bylo možné vskutku označit za „polámaný“) v mezidobí zde. Nakonec jsme se 10. a 11. listopadu dočkali tučného balíku dokumentů (v tuto chvíli některé z nich ještě s dovětkem „k připomínkám veřejnosti“), který jsme pečlivě prostudovali a níže přinášíme velice zkrácený přehled těchto novinek – kdo by si rád ovšem přečetl podrobnější pokus o shrnutí, zda je možné je považovat za krok vpřed, anebo naznačují spíše nástup ještě temnějšího období v mezinárodní obchodní spolupráci založené na výměně dat (včetně souvislosti s BREXITem), nechť se podívá na můj článek zde.
Konzultační procedura byla před Vánoci ukončena, ale na výsledek si musíme ještě počkat (odhaduji něco mezi jedním až třemi měsíci).
Navrhované řešení problému, který vyvstal s rozhodnutím Soudního dvora EU ve věci Schrems II, spočívá v Doporučení 02/2020 o Evropských základních zárukách pro opatření dozoru, Doporučení 01/2020 o opatřeních doplňujících nástroje pro zajištění ochrany předávaných osobních údajů odpovídající úrovni EU (oboje připraveno EDPB – Sborem pro ochranu osobních údajů) a nakonec ve zcela nových standardních smluvních doložkách připravených Evropskou komisí.
Doporučení 01/2020 popisuje šest základních kroků, které musí provést každý, kdo zvažuje předávání osobních údajů mimo EU:
- analýza toho, co, kam a jak předáváme;
- identifikace, zda existuje vhodný transferový nástroj a který zvažujeme použít;
- posouzení účinnosti transferového nástroje (zahrnuje zevrubnou analýzu podmínek v cílové zemi);
- volba a implementace dodatečných opatření (pokud transferový nástroj v kroku 3 vyhodnotíme jako neúčinný) – např. „vylepšením“ standardních smluvních doložek o další podmínky zpracování dat v cílové zemi;
- formalizace dodatečných opatření;
- pravidelně sledovat změny a dle potřeby přistoupit opět nejméně k bodům 3 až 5.
Praktickou radu na závěr, tentokrát ve třech bodech, můžeme shrnout takto:
- Jednoduché uzavírání standardních smluvních doložek s vyplněním jejich příloh již nestačí, neboť nelze automaticky předpokládat, že v dané zemi neexistuje taková úprava, která z doložek dělá jen cár papíru.
- Vylepšete proces sjednávání doložek – poslouží k tomu dotazníky vyplněné zpracovatelem, pomocí něhož Vám alespoň přiblíží právní prostředí cílové země (a tuto povinnost přeneste i na své zpracovatele v rámci EU, abyste si byli jisti, jak je s daty naloženo u eventuálních dalších zpracovatelů.
- Uzavřít spolehlivě proces sjednávání doložek nemusí být jednoduchá záležitost – zapojte proto odborníky (DPO, právníky, vyžadujte obdobné zapojení odborníků na protistraně).
Další vývoj v této oblasti pro vás budeme nadále sledovat.
Zdroje článku
- zde /blog/eu-us-privacy-shield-zrusen-predavani-osobnich-udaju-do-usa-podle-standardnich-smluvnich-dolozek-mohou-urady-kdykoliv-zakazat/147
- zde /blog/prakticke-dopady-zruseni-privacy-shield-jak-nyni-predavat-osobni-udaje-do-usa/167
- článek zde https://www.linkedin.com/pulse/u%25C5%25BE-v%25C3%25ADme-jak-do-ameriky-richard-otevrel
- DPO http://www.fairdata.cz/
- právníky https://www.havelpartners.cz/specializace/ochrana-osobnich-udaju