Jak se mění předávání osobních údajů do USA?

K tématu chystáme patnáctiminutový "webinář" ke kávě. Registrujte se na tomto odkaze!

 

Krátce k vývoji situace

Psal se rok 2020. Evropskou unií otřásla zpráva, že byl zrušen tzv. Privacy shield. Tedy právní rámec, na základě kterého bylo možné předávat osobní údaje společnostem registrovaným v tomto rámci v USA.

Začala se psát "šedá doba", která v podstatě znemožnila využívat poskytovatele služeb v USA, aniž by někde v povzdáli neblikala kontrolka, že předávání do USA může být problém.

Přiznejme si však na rovinu, že mnoho společnosti prostě spoléhá na dodavatele v USA, tudíž pro ně zrušení Privacy shieldu bylo opravdu problematické.

V podstatě všichni velcí dodavatelé v USA přešli na nový režim tzv. standardních smluvních doložek a minimálně v ČR právě na tento koncept spoléhala většina společností při předávání osobních údajů do USA. Ty bohužel samy o sobě nestačily a každá společnost by pro předávání do USA měla vypracovat analýzu dopadů při předání osobních údajů (tzv. "TIA"). Tu však dělal málokdo.

Jenže nyní už je otázka standardních smluvníh doložek minulostí. Po třech letech byl schválen nový "Privacy shield".

S názvem Data Privacy Framework.

Co to prakticky znamená?

Předávání osobních údajů do USA bude opět jednodušší a srozumitelnější. V rámci Data Privacy Frameworku je předávání osobních údajů založeno na tzv. odpovídající ochraně.

Jinými slovy EU tímto přijatým rámcem říká, že společnosti, které se registrují v USA pod tento rámec, jsou považovány za bezpečné

Takže těmto společnostem bude možné předávat osobní údaje, jako kdyby byly z EU. Bez dalších analýz a dopadů.

Seznam společností, které jsou registrovány pod Data Privacy Frameworkem jsou uvedeny na této adrese ↗. Webová stránká bude dostupná od 17. 7. 2023. Lze očekávat, že v řádech týdnů budou na této webové stránkce přibývat společnosti, které jsou registrovány a prošly schvalovacím procesem.

Pokud tak například využíváte poskytovatelé úložiště z USA, zkontrolujte si, zda je již poskytovatel tohoto úložiště zapsán. Pokud ano, máte jistotu, že předávání tomuto poskytovateli je v souladu s GDPR.

Co to znamená pro vaše privacy policy?

V souvislosti se schválením nezapomeňte na jednu důležitou změnu. Součástí informační dokumentace (privacy policy) dle čl. 13 a 14 GDPR musí být také následující informace:

  • úmysl správce předat osobní údaje do třetí země a existenci či neexistenci rozhodnutí Komise o odpovídající ochraně nebo jiné záruky pro předávání

Vzhledem k tomu, že nově bude předávání založeno na rozhodnutí Komie, je potřeba upravit privacy policy v této části a u poskytovatelů (zpracovatelů) z USA uvést, že předání bude založeno na rozhodnutí Komise. Tuto informaci však uvádějte až ve chvíli, kdy bude dodavatel z USA zapsán v Data Privacy Framework.

Chcete pomoct s úpravou privacy policy nebo posoudit, zda váš dodavatel spadá pod Framework? Neváhejte nás kontaktovat ↗.

Jak dlouho Framework vydrží?

Budeme zcela upřímní. Data Privacy Framework je pokus číslo 3 ze strany EU a USA o zavedení odpovídající ochrany. Předešlé dva pokusy ztroskotaly u Soudního dvora EU na základě stížnosti ze strany organizace NOYB.

Tato organizace už oznámila, že i tento rámec podrobí výzvě. V dalších měsících se tak můžeme těšit na další soudní řízení, ve kterém se rozhodne o osudu.

Je tak možné, že příští rok budeme opět v "šedé zóne" a budeme čekat na čtvrtý pokus.

Kontaktujte nás