Hlavní navigace

US služby ve světle GDPR – nekonečný problém

17. 10. 2022

Sdílet

 Autor: Depositphotos
Rádi bychom upozornili na zajímavou právní kauzu, která se přímo dotýká GDPR compliance českých společností, využívajících služby od společností z USA (typicky Microsoft, Google, Facebook a další). Níže společnost barta.legal objasňuje, proč se tím dopouští porušení pravidel pro ochranu osobních údajů.

Většina organizací ve své činnosti používá služby od společností z USA, ať už jde o Microsoft, Google, Facebook a mnoho dalších. Předávání dat mimo EU je přitom dlouhotrvající problém, na jehož řešení se ptá i Úřad pro ochranu osobních údajů při kontrole plnění GDPR povinností.

Abyste mohli bez dalšího předávat osobní údaje mimo EU, potřebujete, aby Komise vydala tzv. adequacy decision. Na jeho základě se pak konkrétní stát označí za bezpečný, a tedy osobní údaje do něj mohou být exportovány – tzn. můžete např. nahrát data vašich zákazníků do cloudové služby v dané zemi.

USA (domov tolik oblíbených služeb Microsoft, Google, Facebook a mnoho dalších) již rozhodnutí dvakrát obdrželo a dvakrát bylo toto rozhodnutí zrušeno (kauzy Schrems I a II).

Do třetice se bude USA o adequacy decision ucházet na základě nového executive orderu prezidenta USA, kterým dochází k zavedení vyššího dohledu nad činností tajných služeb USA. Právě absence skutečně nezávislého orgánu pro tento dohled byla jedním z důvodů, proč USA není dle názoru soudu bezpečnou zemí pro dovoz osobních údajů z EU.

Novinkou je zavedení vyššího omezení přístupu tajných služeb k údajů pro nezbytné účely. Dále se zřizují nové orgány, a sice Civil Liberties Protection Officer (pro přezkum stížností vůči zpracování) a Data Protection Review Court (jako odvolací orgán, jehož členové mají být nezávislí a obtížně odvolatelní). Budou existovat i speciální zástupci pro osoby, které se budou chtít bránit a zpracování přezkoumávat.

V tuto chvíli tedy nezbývá čekat, než Komise executive order přezkoumá a případně následně vydá nové adequacy decision.

To se pravděpodobně stane (je otázka, jak dlouho to EU potrvá, než to projde všemi dotčenými orgány). Následně bude toto rozhodnutí opět zpochybněno ze strany GDPR aktivistů a bude na něm, aby obstálo před soudem (Schrems III?).

Jak to dopadne? Uvidíme – osobní údaje jsou ze strany US autorit zpracovány často velmi invazivním způsobem na základě řady jiných předpisů a je tedy možné, že adequacy decision bude zrušeno pro zcela jiné důvody, než je výše uvedeno.

Každopádně, do doby vydání adequacy decision bude nutné spoléhat na jiné nástroje předávání do USA (standardní smluvní doložky a analýzy dopadu předání dat – TIA). Po jeho přijetí pak pár let čekání, jak to celé u soudů zase dopadne.

Bude pak následovat kolo číslo 4?