Od 10. července 2023 je účinné nové rozhodnutí Evropské komise o odpovídající ochraně osobních údajů při předávání údajů z EU do USA. Co nového přináší? A jak postupovat, pokud chcete pro vaši činnost využívat dodavatele z USA, kterým svěřujete osobní údaje svých zákazníků nebo zaměstnanců?
Nově přijaté rozhodnutí Evropské komise o odpovídající ochraně osobních údajů zavádí tzv. Data Privacy Framework, česky Rámec ochrany soukromí. Do tohoto samocertifikačního systému se mohou zapsat soukromé společnosti z USA, kterým obchodní partneři z EU předávají osobní údaje například svých zákazníků.
Americké společnosti se zápisem do systému zavazují chránit osobní údaje jednotlivců z EU stejně, jako je musí chránit evropské společnosti. V souladu s GDPR musí např. údaje adekvátně zabezpečit, poskytnout jednotlivcům informace o tom, co s jejich údaji dělají, nebo je na žádost upravit či smazat.
Rozhodnutí Komise představuje velký převrat oproti posledním třem rokům, protože díky němu můžete zpřístupňovat osobní údaje vašich zákazníků nebo zaměstnanců americkým společnostem snadněji. Proces bude stejný, jako kdybyste osobní údaje zpřístupňovali dodavateli v EU. Stačit vám bude standardní smlouva o zpracování osobních údajů, která dodavatele z USA zaváže údaje dostatečně zabezpečit a spolupracovat s vámi, kdyby např. došlo k bezpečnostnímu incidentu.
Nové rozhodnutí dopadá nejen na podnikatele nebo organizace. Komise cílí i na jednotlivce. Pokud mají jednotlivci obavy, že jsou v USA jejich osobní údaje zneužívány, včetně zneužívání ze strany amerických tajných služeb, mohou podat stížnost rovnou americké společnosti, případně svému dozorovému úřadu (v ČR jde o Úřad pro ochranu osobních údajů). Dozorový úřad postoupí stížnost úřadům do USA, které mohou přimět porušující společnost/orgán, aby s údaji pracovala v souladu s americkými zákony. Pokud to stačit nebude, může se jednotlivec (prostř. svého dozorového úřadu) obrátit na speciální soud k přezkumu ochrany osobních údajů. Ten může porušujícímu subjektu nařídit např. osobní údaje smazat.
Zjistili jste, že spolupracujete s dodavateli, kteří sídlí v USA? Pokud ano, nejprve si zkontrolujte, jestli je váš dodavatel uveden v seznamu Rámce ochrany soukromí.
Našli jste dodavatele v seznamu? Pak je potřeba pouze zkontrolovat, jestli s ním máte uzavřenu smlouvu o zpracování osobních údajů s náležitostmi dle GDPR. S velkou pravděpodobností takovou „smlouvu“ najdete jako přílohu obchodních podmínek, které jste přijali v rámci objednávky služby. Pokud takovou smlouvu máte a neřešíte zrovna nějaký problém při zpracování osobních údajů (např. únik dat), nemusíte nic dalšího zajišťovat.
Pokud jste takovou smlouvu nenašli, doporučujeme kontaktovat dodavatele a smlouvu po něm poptat nebo mu ideálně poslat svůj návrh smlouvy k odsouhlasení.
Může se stát, že dodavatele v seznamu nenajdete. V tomto případě vám pro předávání osobních údajů do USA nebude stačit klasická smlouva o zpracování osobních údajů dle GDPR, ale potřebujete zajistit ještě další záruky ochrany osobních údajů. Typicky bude potřeba ke smlouvě o zpracování osobních údajů přidat standardní smluvní doložky pro předávání osobních údajů schválené Evropskou komisí, nebo v rámci koncernu přijmout závazná podniková pravidla, a případně zavázat dodavatele ještě dalšími povinnostmi k zajištění ochrany osobních údajů.
Předávání osobních údajů dodavatelům v USA je zase o něco jednodušší. Stále ale musíte vy i američtí dodavatelé dodržet povinnosti, které pro zpracování osobních údajů vyplývají z GDPR.
Pokud chcete s nastavením zpracovatelských smluvních vztahů s vašimi dodavateli pomoci, kontaktujte Kristýnu Gembalovou, naši odbornici na ochranu osobních údajů a autorku tohoto článku.
KROUPALIDÉ advokátní kancelář s.r.o.
IČO: 29310571, DIČ: CZ29310571
Společnost zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně pod sp. zn.
C 73338
Subjektem mimosoudního řešení sporu
se spotřebiteli je Česká advokátní komora