Deloitte Účinok pádu mechanizmu štítu na ochranu súkromia medzi EÚ a USA - kto je ovplyvnený a aké alternatívy má

Materiál na hodnotenie od Iulia Antonie, Deloitte pre strednú Európu Vodca ochrany osobných údajov, a Silvia Axinescu, staršia Konateľ v spoločnosti Reff & Associations|Deloitte Legal

štítu

Rozsudok Súdneho dvora Európskej únie (SDEÚ), ktorým sa vyhlasuje dohoda umožňujúca prenos osobných údajov medzi Európskou úniou (EÚ) a Spojenými štátmi americkými (USA), nazvaný Štít na ochranu súkromia medzi EÚ a USA, je neplatný medzi špecialistami na otázky ochrany osobných údajov, ale najmä medzi nadnárodnými spoločnosťami. Ide hlavne o spoločnosti, ktoré prenášajú údaje materským spoločnostiam, alebo tie, ktoré využívajú služby amerických spoločností, ako sú poskytovatelia cloudových služieb.

Pred posúdením vplyvu, ktorý má táto udalosť na činnosť dotknutých spoločností, je však potrebné poukázať na niekoľko aspektov.

Aký bol mechanizmus štítu na ochranu súkromia medzi EÚ a USA?

Tento program umožnil americkým spoločnostiam zaregistrovať sa na webových stránkach amerického ministerstva obchodu a samocertifikovať dodržiavanie štítu na ochranu osobných údajov a splniť príslušné požiadavky na ochranu osobných údajov. Dodržiavanie tohto programu uľahčuje prenos údajov občanov EÚ do spoločností v USA a dáva dôveru partnerom a orgánom EÚ zodpovedným za ochranu osobných údajov v tom, že údaje Európanov sa spracúvajú v súlade s požiadavkami GDPR.

Alternatívy k programu štítu na ochranu súkromia medzi EÚ a USA

Je dôležité poznamenať, že nie všetky prenosy osobných údajov do USA sa uskutočnili v rámci programu EU-USA Privacy Shield. Existujú spoločnosti, ktoré sa nedodržiavali tohto rámca alebo považovali ďalšie možnosti ponúkané GDPR za vhodnejšie.

  • Jedna z alternatív k mechanizmu, ktorý ponúka Štít na ochranu osobných údajov spočíva v použití Záväzné firemné pravidlá, kódex pravidiel vypracovaný spoločnosťou a potvrdený orgánmi zodpovednými za ochranu osobných údajov. Podľa týchto pravidiel môžu byť osobné údaje prenášané do krajín mimo EÚ. Hlavnou nevýhodou použitia povinných podnikových pravidiel je, že sa uplatňujú iba na prevody uskutočňované v rámci tej istej skupiny spoločností a nemožno ich použiť vo vzťahu medzi zákazníkom a dodávateľom.
  • Použitie štandardné zmluvné doložky prijaté Európskou komisiou je to pravdepodobne najbežnejšie používaná možnosť na preukázanie primeranosti opatrení na ochranu osobných údajov, ktorá pozostáva zo súboru ustanovení, ktoré končia ako samostatná príloha v obchodných vzťahoch s americkými spoločnosťami. Tieto informácie sú spoločnostiam k dispozícii na webových stránkach Európskej komisie. Rozhodnutie prijaté vo štvrtok 16. júla zachováva túto možnosť prenosu údajov do USA.

Okrem dvoch vyššie popísaných alternatív poskytuje GDPR ďalšie vhodné spôsoby dosiahnutia dátových prenosov, ktoré sú v súčasnosti ťažšie realizovateľné, ale ktorých využitie sa v blízkej budúcnosti pravdepodobne zvýši.

Tie obsahujú:

  • použitie zmluvných podmienok medzi stranami, ktoré nevyžadujú súhlas Komisie, ale musia byť povolené príslušným orgánom na ochranu údajov;
  • použitie štandardných doložiek vydaných príslušným orgánom dohľadu a schválených Európskou komisiou;
  • použitie kódexu správania schváleného príslušným orgánom dohľadu;
  • certifikácia americkej spoločnosti v súlade so schválenými mechanizmami existujúcimi na úrovni členského štátu EÚ.

Vplyv rozhodnutia SDEÚ na spoločnosti

Jediné spoločnosti, ktorých sa rozhodnutie Európskeho súdneho dvora týka, sú tie, ktoré prenášali osobné údaje v rámci štítu na ochranu osobných údajov medzi EÚ a USA. V týchto prípadoch je po rozhodnutí súdu potrebné vyhodnotiť uskutočnené prevody a urgentne implementovať jednu z uvedených alternatív.

Rozhodnutie Súdneho dvora EÚ malo pravdepodobne osobitný význam pre používateľov cloudových služieb. Pokiaľ ide o poskytovateľov v tejto kategórii, od roku 2018 (rok nadobudnutia účinnosti GDPR) prijali opatrenia na riešenie otázky prenosov osobných údajov. Zmluvy okrem iného uzatvorené s poskytovateľmi cloudových služieb obsahovali záruku týkajúcu sa uchovávania údajov občanov na území EÚ.

Na záver možno povedať, že hoci má rozhodnutie Súdneho dvora EÚ vplyv na oblasť prenosu osobných údajov, dotknuté spoločnosti majú k dispozícii životaschopné alternatívy, ako pokračovať v podnikaní v oblasti bezpečnosti údajov a v súlade s platnými predpismi.