Pokud chtěly pojišťovny zůstat konkurenceschopné, musely se naučit využívat sociální sítě, marketingové a analytické nástroje, cloudové služby či nástroje pro matematické modely včetně hodnocení bonity. Velká část těchto služeb pochází ze zahraničí včetně USA. Pojišťovny proto musely začít i s masivním přeshraničním předáváním dat a osobních údajů. Někde je předání nezbytné z podstaty služby (celosvětová sociální síť atd.), někde se musely podvolit pravidlům poskytovatelů služeb, kteří se snaží o maximalizaci zisků. Vždy by se tak ale mělo dít v rámci platného právního rámce.
Odpovídající úroveň ochrany a standardní smluvní doložky
Z evropského hospodářského prostoru (EHP) se na základě směrnice 95/46/ES a nyní na základě GDPR předávaly údaje nejčastěji na základě rozhodnutí Evropské komise o odpovídající úrovni ochrany.
Pro USA bylo Komisí takové rozhodnutí přijato hned dvakrát. Napoprvé šlo na základě směrnice 95/46/ES v červenci 2000 o rozhodnutí o tzv. bezpečném přístavu (Safe Harbor Decision), kterým Komise stvrdila, že USA mají přijatou dokumentaci s dostatečně robustními požadavky, které stačí pro odpovídající ochranu osobních údajů, pokud se ji společnost přijímající osobní údaje zaváže (veřejně) dodržovat. To bylo zrušeno rozhodnutím Soudního dvora Evropské unie ve věci Schrems I1 v říjnu 2015. Na rozhodnutí soudu navázalo v červenci 2016 nové rozhodnutí Komise o odpovídající úrovni ochrany poskytované štítem EU‑USA (Privacy Shield Decision). To opět obsahovalo režim autocertifikace, kterým se společnosti v USA zavazovaly dodržovat soubor zásad ochrany soukromí – a současně mělo být v souladu s GDPR, které v té době již bylo na světě, ale zatím nebylo účinné.
Vedle toho byla zavedena také možnost předávat osobní údaje do třetích zemí na základě standardních smluvních doložek (Standard Contract Clauses – SCCs), které slouží jako smluvní nástroj pro předávání osobních údajů subjektu ve třetí zemi, a tedy mimo Evropu. První SCCs, které umožňovaly předání do třetích zemí pouze zpracovatelům osobních údajů, byly přijaty na základě směrnice 95/46/ES už v roce 2002. Jejich aktualizované verze pak byly přijaty v roce 2010. V obou případech šlo o seznam předepsaných ustanovení, která se strany zavazují smluvně přijmout, čímž dodrží požadavky na ochranu subjektů údajů ve třetích zemích. Po uzavření těchto doložek mohly strany předávat osobní údaje do třetích zemí, a to zcela legálně a bez nutnosti schválení ze strany dozorového úřadu.
Rozhodnutí SDEU ve věci Schrems II
Od roku 2016 tak bylo předávání údajů do USA poměrně jednoznačně vymezené. Zlom přineslo rozhodnutí Soudního dvora Evropské unie ve věci Schrems II2 , ve kterém soud konstatoval, že omezení ochrany osobních údajů na základě požadavků národní bezpečnosti a veřejného zájmu USA není vymezeno způsobem, který by splňoval požadavky práva EU – a současně americké sledovací programy nejsou dle unijního chápání principu proporcionality omezeny na to, co je „nezbytně nutné“.
Soudní dvůr ve Schrems II také potvrdil platnost standardních smluvních doložek pro předávání osobních údajů do třetích zemí (SCCs). Současně však uvedl, že tyto nemohou samy o sobě zajistit úroveň ochrany požadovanou čl. 44 GDPR, jelikož smluvní garance, které poskytují na základě vztahu mezi soukromými subjekty, nemohou být v případě konfliktu s žádostí státních orgánů USA na přístup k osobním údajům aplikovány (tj. povinnost na základě práva USA má přednost před povinnostmi ze SCCs). Proto bylo podle SDEU nezbytné při zamýšleném exportu osobních údajů do země mimo EU za užití SCCs ověřit, zda právo nebo praxe takové země nesnižují účinnost vhodných záruk pro ochranu údajů poskytovaných SCCs – tedy provést tzv. transfer Impact Assessment, česky posouzení dopadu předávání na ochranu údajů. Pokud by k tomuto docházelo, je nezbytné zavést dodatečná opatření, která zaplní tyto nedostatky v oblasti ochrany údajů a zajistí dodržení úrovně ochrany údajů požadované právem EU.
Současně až do prosince 2022 platí přechodné období, kdy za předpokladu, že se zpracování od uzavření SCCs neměnilo, stačí mít pro předávání údajů do USA uzavřené SCCs dle starých rozhodnutí. Od 28. prosince 2022 je však bezpodmínečně nutné mít se stávajícími institucemi ze třetích zemí, včetně zmíněných sociálních sítí a poskytovatelů analytických nástrojů, uzavřené nové SCCs.
Standardní smluvní doložky na předávání údajů do USA
Nové SCCs oproti předchozím verzím zavedly modulový přístup: místo dvou sad doložek existuje jen jedna, která má 4 moduly upravující všechny kombinace předávání údajů mezi správci a zpracovateli. Nově lze tedy skrze SCCs pokrýt i předávání údajů mezi zpracovateli a mezi zpracovatelem v EHP (a tedy podléhajícím GDPR), který předává údaje zpět správci mimo EHP.
Druhým novým prvkem, přijatým v reakci na rozhodnutí Schrems II, je přístup k ochraně předávaných údajů založený na riziku, kdy předávající strana má sama posoudit rizika narušení ochrany údajů spojená s předáváním údajů a následně zvolit vhodná opatření k ochraně údajů před možným přístupem orgánů třetího státu (srov. výše). Tyto požadavky dále rozvádí a popisuje Evropský sbor pro ochranu osobních údajů ve svém doporučení č. 1/2020 z června 20213 , dle kterých mají evropští správci postupovat, aby zajistili dodržení úrovně ochrany údajů požadované právem EU.
Třetí novinkou je dále možnost zvolit si rozhodné právo ze států EHP. V případě transferu od zpracovatele z EHP ke správci z třetí země jím může být také právo této třetí země.
I přes výše uvedené ale praxe pro předávání na základě SCCs zůstala po Schrems II v zásadě stejná – správce v EU si ověřil, že součástí smluv s partnerem z třetí země jsou také SCCs, smluvní dokumentace se podepsala a problém se považoval za vyřešený.
První reakce na předávání na základě SCCs po Schrems II
Výše uvedená praxe netrvala dlouho a v souvislosti s Google Analytics nové SCCs neušly pozornosti evropských dozorových orgánů. Nejprve rakouský a následně také francouzský dozorový úřad ve svých rozhodnutích4,5 dovodily, že SCCs pro Google Analytics samy o sobě nejsou dostatečné a pro zajištění ochrany předávaných údajů jsou zásadní zejména technická opatření, která znemožní americkým státním orgánům přistupovat k osobním údajům evropských subjektů údajů. Bez těchto opatření předávání údajů do USA mělo porušovat předpisy a podléhat sankcím.
Je ale potřeba říct, že interpretace, že samotné Google Analytics jsou protiprávní a je zakázáno je používat, popř. že předávání údajů do USA na základě SCCs je vyloučeno, se nezakládají na pravdě. Obě rozhodnutí ale vyzývala, aby strany, které se zúčastňují předávání, naplnily požadavky na ochranu osobních údajů a ochranu soukromí, jelikož vzájemné ujednání (byť na základě SCCs) nebylo dostatečné.
Správná praxe předávání údajů do USA
Pokud tedy chcete předávat údaje do USA, aby obstály i ve světle těchto rozhodnutí dozorových úřadů, použijte nové SCCs z roku 2021, kde navolíte moduly, aby odpovídaly skutečným operacím zpracování včetně dalších zapojených (sub)zpracovatelů. Pokud se ještě řídíte starými SCCs, máte čas na tuto změnu do 28. prosince. A nezapomínejte, že i pokud například na web umístíte trackovací nástroj dodavatele, popř. pokud spravujete webovou stránku na sociální síti, je zde v řadě případů dovozováno spolusprávcovství, tedy i v takovém případě odpovídáte za předávání údajů do USA – i když fakticky žádné údaje sami nepošlete.
Dále je třeba provést posouzení vlivu předávání na ochranu osobních údajů (transfer Impact Assessment). Zde si popíšete rozsah předávání údajů a zda ve třetí zemi existují předpisy či postupy s potenciálem snížit účinnost záruk ochrany údajů obsažených v SCCs pro konkrétní předávání. Pokud ano, popište také dodatečná opatření pro předávání (pokud je lze přijmout a budou efektivním prostředkem ochrany údajů) a proces pro jejich přijetí a periodické hodnocení.
Pokud bude na základě posouzení předání na základě SCCs možné, popište v jejich přílohách konkrétní scénář předávání údajů (role stran, kategorie předávaných údajů a účely zpracování, příslušný dozorový úřad), stejně jako technická a organizační opatření ochrany údajů a dodatečná opatření ochrany přijatá na základě posouzení vlivu předávání na ochranu údajů. Obecně platí, že opatření v adhezních smlouvách se smluvními stranami z USA budou nedostatečná.
Opět v souvislosti s Google Analytics proto můžeme mluvit o přijmutí praktických opatření, kterými jsou bezpodmínečná anonymizace předávaných IP adres, vypnutí možností „Data Sharing“ a „Signals“ nebo užití proprietárních identifikátorů neumožňujících dodatečnou identifikaci subjektu. Také je dobré se podívat na dodatečná opatření dle odst. 10.4 jejich podmínek,6 která dávají finanční instituci možnost posoudit bezpečnostní dokumentaci Google a současně mít implementovanou rozšířenou ochranu datových center a sítí.7
V řadě případů také předávání údajů může znamenat pro subjekty údajů vysoké riziko. V takovém případě je třeba provést posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment) dle čl. 35 GDPR: fakt, že půjde většinou o transfery dat spojené s e-commerce, vysoké riziko nevylučuje.
Pokud jste splnili všechny výše uvedené kroky, váš smluvní partner v USA je transparentní, seriózní a řádně přijímá všechna dohodnutá opatření včetně dodatečných, máte i jako finanční instituce řádný právní základ pro přeshraniční předávání údajů. Podotýkáme, že ale mluvíme jen o USA. Pokud byste chtěli např. začít využívat TikTok nebo jinak předávat údaje do Číny, je potřeba si nechat podmínky důkladně analyzovat.
1.Rozsudek Soudního dvora ze dne 6. října 2015, Maximillian Schrems v. Data Protection Commissioner, ve věci C-362/14, ECLI:EU:C:2015:650.
2.Rozsudek Soudního dvora Evropské unie ze dne 16. července 2020, Data Protection Commissioner v. Facebook Ireland Limited a Maximillian Schrems, C-311/18, ECLI:EU:C:2020:559.
3.Doporučení Evropského sboru pro ochranu osobních údajů č. 01/2020 o opatřeních, která doplňují nástroje pro předávání s cílem zajistit soulad s úrovní ochrany osobních údajů v EU, citováno 30. 8. 2022, dostupné z https://edpb.europa.eu/system/files/2022-04/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_cs_0.pdf.
4.Rozhodnutí rakouského dozorového úřadu (Datenschutzbehörde), citováno 30. 8. 2022, dostupné z: https://www.itm.nrw/wp-content/uploads/document-dsb.pdf.
5.Rozhodnutí francouzského dozorového úřadu (CNIL), citováno 30. 8. 2022, dostupné z: https://www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website[1]manageroperator-comply.
6.Google Ads Data Processing Terms, verze 3.0, citováno 30. 8. 2022, dostupné z: https://business.safety.google/adsprocessorterms/.
7.Viz příloha 2 těchto podmínek Googlu.
