Používate aplikácie, ktorých poskytovateľom je subjekt z USA a v spolupráci s ním spracúvate osobné údaje napríklad vašich zamestnancov alebo zákazníkov? Môžete prostredníctvom nich napríklad zasielať newslettere, riadiť svoj e-shop, sledovať návštevnosť firemných internetových stránok, či uchovávať osobné údaje. Potom vás bude určite zaujímať, že došlo k posunu v otázke prenosov osobných údajov do Spojených štátov amerických.
S problematickým prenosom osobných údajov z EÚ do USA, totiž bojujeme dlhší čas.
Každý prenos osobných údajov mimo územia Slovenskej republiky totiž podlieha pravidlám všeobecného nariadenia o ochrane údajov (GDPR). V prípade, ak prevádzkovateľ alebo sprostredkovať “vyváža” osobné údaje do tzv. tretích krajín (mimo EÚ a EHP), sú pravidlá pre tieto medzinárodné prenosy ešte prísnejšie. V GDPR ich nájdeme v kapitole V.
Jednou z možností, kedy sa môže prenos údajov do tretej krajiny alebo medzinárodnej organizácii uskutočniť je, ak Európska komisia (EK) rozhodla, že krajina zaručuje primeranú úroveň ochrany. Takémuto rozhodnutiu však predchádza podrobné posudzovanie a komplexná analýza právneho poriadku, v rámci ktorého sú zohľadňované rôzne skutočnosti. Napríklad dodržiavanie ľudských práv a základných slobôd, právne predpisy a pravidlá ochrany údajov v danej krajine.
Na konci procesu posudzovania primeranosti úrovne ochrany, môže EK prostredníctvom vykonávacieho aktu rozhodnúť, že tretia krajina zaručuje primeranú úroveň ochrany. Následne sa prenosy osobných údajov do tejto krajiny môžu uskutočniť bez ďalšieho povolenia.
V predchádzajúcom období EK takto podrobne analyzovala právne predpisy a prax v USA. Dospela k záveru, že ak budú prenosy osobných údajov vykonávané od európskych prevádzkovateľov a sprostredkovateľov do certifikovaných organizácií v USA, potom nie sú potrebné žiadne ďalšie povolenia.
Certifikovaná organizácia v USA sa totiž zaväzuje dodržiavať súbor zásad ochrany súkromia medzi EÚ a USA vrátane doplnkových zásad, ktoré vydáva Ministerstvo obchodu USA.
Celý rámec prenosov osobných údajov do USA nadobúda účinnosť 11. júla. Už dnes je dostupná internetová stránka, prostredníctvom ktorej bude pravdepodobne v budúcnosti možné preveriť subjekt (dovozcu osobných údajov v USA) a jeho certifikačný status. (Stránka je zatiaľ dostupná len v pracovnej verzii; je v procese jej vytvárania).
Iba pripomíname, že podobný právny rámec, ktorý upravoval vývoz osobných údajov do USA sme tu mali už dvakrát:
- Do októbra 2015 prenos osobných údajov do USA prebiehal v rámci režimu “Safe Harbor” (tzv. bezpečný prístav). Súdny dvor Európske Únie však dňa 6.10.2015 vyniesol rozsudok, ktorý spôsobil neplatnosť “bezpečného prístavu”.
- A od 12.07.2016 sme vykonávali prenosy v režime “Privacy Shield” (tzv. bezpečný štít). Od leta 2020 je však už aj tento režim prenosu osobných údajov neplatný.
Nový právny rámec prenosov osobných údajov do USA už dnes však čelí značnej kritike. Ako uvádza združenie NOYB na svojich internetových stránkach, ide do veľkej miery len o kópiu neúspešného štítu na ochranu osobných údajov a už o niekoľko mesiacov sa pravdepodobne vráti na Súdny dvor (SDEÚ).
Do “amerických” tokov osobných údajov sa tak opäť vnáša neistota. Preto je pravdepodobné, že mnohí prevádzkovatelia a sprostredkovatelia radšej uprednostnia európsku alternatívu. Teda “domácich” poskytovateľov služieb, kedy osobné údaje nebudú vôbec predmetom prenosu do tretej krajiny. Alebo, napriek prijatému rámcu zostanú aj naďalej verní štandardným zmluvným doložkám.
Celý dokument rozhodnutie o primeranosti rámca EÚ a USA na ochranu osobných údajov je dostupný zatiaľ len v anglickom jazyku. Členom GDPR Academy však už dnes prinášame jeho neoficiálny preklad. Po prihlásení si ho môžete prevziať v slovenskom jazyku vo formáte PDF.