Rozhodnutí Schrems II
Dne 16. července 2020 Soudní dvůr Evropské unie (SDEU) vydal zásadní rozsudek ve věci C-311/18 (Schrems II), kterým zneplatnil rozhodnutí o odpovídající úrovni ochrany pro EU-US Privacy Shield. Toto rozhodnutí má dalekosáhlé důsledky pro všechny evropské firmy, které předávají osobní údaje do Spojených států amerických.
Co byl Privacy Shield?
Privacy Shield byl mechanismus, který umožňoval volné předávání osobních údajů z EU do USA firmám, které se k tomuto rámci přihlásily. Tisíce amerických společností, včetně gigantů jako Google, Facebook, Microsoft nebo Amazon, se na Privacy Shield spoléhaly. Pro evropské firmy to znamenalo, že mohly využívat americké cloudové služby, sociální sítě a další nástroje bez dalších opatření.
Proč byl Privacy Shield zrušen?
SDEU rozhodl, že americké sledovací programy (zejména Section 702 FISA a Executive Order 12333) umožňují americkým zpravodajským službám rozsáhlý přístup k údajům evropských občanů bez odpovídajících záruk ochrany. Soud konstatoval, že americké právo neposkytuje osobním údajům evropských občanů úroveň ochrany v zásadě rovnocennou té, kterou zaručuje evropské právo.
Dopady na české firmy
Rozhodnutí dopadá na každou českou firmu, která jakýmkoli způsobem předává osobní údaje do USA. To zahrnuje:
- Využívání cloudových služeb amerických poskytovatelů (AWS, Azure, Google Cloud)
- Používání analytických nástrojů (Google Analytics)
- Komunikaci přes americké platformy (Slack, Zoom, Microsoft Teams)
- Využívání marketingových nástrojů (Mailchimp, HubSpot)
- Ukládání dat v amerických CRM systémech (Salesforce)
Jaké jsou alternativy?
SDEU potvrdil platnost standardních smluvních doložek (SCC) jako mechanismu pro předávání údajů do třetích zemí. Nicméně zdůraznil, že správce musí posoudit, zda právní řád cílové země umožňuje dodržení těchto doložek. V případě USA to znamená, že samotné SCC nestačí – musíte přijmout doplňková opatření.
Mezi doplňková opatření mohou patřit:
- Šifrování dat s tím, že klíče jsou uloženy výhradně v EU
- Pseudonymizace údajů před jejich předáním do USA
- Využití serverů v EU – mnozí američtí poskytovatelé nabízejí umístění dat v evropských datových centrech
Co doporučujeme
Českým firmám doporučujeme následující kroky:
- Zmapujte všechna předávání osobních údajů do USA a dalších třetích zemí
- Posouďte, zda máte uzavřeny aktuální standardní smluvní doložky
- Zvažte přechod na evropské alternativy služeb, kde je to možné
- Implementujte doplňková technická opatření
- Dokumentujte své posouzení a přijatá opatření
Situace se bude pravděpodobně dále vyvíjet, neboť EU a USA jednají o novém rámci pro předávání dat. Do té doby je však nezbytné přijmout opatření k zajištění souladu s GDPR.
GDPR24 tým
Specialisté na ochranu osobních údajů