Konec Privacy Shield - předávání osobních údajů do USA je v ohrožení

Používáte v rámci svého podnikání technologické produkty a služby společností se sídlem v USA, které mají přístup k vámi uchovávaným osobním údajům? Pak zpozorněte. Použití služeb jako je Microsoft OneDrive, Google Cloud Platform nebo MailChimp je totiž ohroženo.
 
Soudní dvůr EU (SDEU) totiž dne 16. 07. 2020 vydal přelomové rozhodnutí, které dle našeho výkladu v podstatě znemožňuje předávání osobních údajů subjektům sídlícím ve Spojených státech amerických (USA).
 

Koho se to týká?

Pokud sídlíte na území EU a používáte ke své práci službu společnosti sídlící v USA, která má přístup k vámi ukládaným osobním údajům, měli byste být na pozoru. Typicky jde o různé cloudové, mailingové služby, poskytnutí hostingu či serverů v USA.
 
Vy např. nyní můžete k zasílání newsletterů využívat mailingový nástroj MailChimp. Vůči adresátům newsletterů vystupujete jako tzv. správci osobních údajů a jste odpovědní za to, že jejich osobní údaje předáte do zemí mimo EU pouze za podmínek stanovených GDPR. Jestliže podmínky předání nejsou naplněny, porušujete GDPR.
 

Proč je předávání osobních údajů do USA ohroženo?

SDEU rozhodnutím prohlásil za neplatné rozhodnutí Komise (EU) 2016/1250 zvané EU-US Privacy Shield (štít EU-USA na ochranu soukromí). Dle EU-US Privacy Shield jsme doposud bez rizika postihu mohli využívat dodavatele sídlící v USA, kteří byli u Privacy Shield registrovaní, a zpřístupňovat jim námi uchovávané osobní údaje.
 
Nyní to však dle rozhodnutí SDEU není možné. USA totiž lidem, jejichž osobní údaje jsou v USA uloženy, neposkytuje dostatečné záruky ochrany jejich osobních údajů rovnocenné s ochranou v EU. Orgány USA, včetně zpravodajských služeb, mohou jednak vyžadovat přístup k jakýmkoliv osobním údajům uchovávaným americkými společnostmi téměř bez omezení. Jednak lidé bez občanství USA nemají možnost se bránit proti činnosti orgánů USA před soudy.
 
Dle výkladu rozhodnutí SDEU máme za to, že pro předávání osobních údajů do USA v tuto chvíli nelze použít ani jiné legální postupy, se kterými počítá GDPR (např. zakotvení standardních smluvních doložek přijatých Evropskou komisí do smlouvy s dodavateli; návrhy vlastních smluvních ujednání, která mají zaručit ochranu osobních údajů americkým dodavatelem). I přes sebevíce přísnou smlouvu s dodavatelem zde totiž stále bude právní řád USA, který neposkytuje občanům EU dostatečnou ochranu jejich soukromí.
 

Co to pro vás znamená?

Striktně vzato, pokud nyní budete nadále využívat služeb společností usazených v USA s přístupem k vámi uchovávaným osobním údajům, dopustíte se porušení povinností na ochranu osobních údajů (GDPR). Pokud je to tedy možné, doporučujeme vám využívat služeb společností se sídlem v EU.
 
Samozřejmě je pochopitelné, že obchodní vztahy s vašimi dodavateli v USA nelze rozvázat ze dne na den. Očekáváme navíc, že v následujících měsících se bude celá situace vyvíjet a EU se bude snažit s USA dohodnout na jednotném řešení legální možnosti předávání údajů do USA. Domníváme se proto, že riziko postihu za předávání osobních údajů do USA v současnosti není velmi vysoké.
 
Situace se každým dnem ale může měnit. O významných posunech v této věci vás proto budeme informovat.
 

Jsme tady pro vás!

Stále si nejste jisti tím, zda s některým vašim dodavatelem začít nebo naopak ukončit vztah? Nebo potřebujete pomoct nastavit nové zpracovatelské vztahy s dodavateli v EU? Jsme tady pro vás. Dejte nám vědět a my vám pomůžeme vaši situaci vyřešit.