Přenos osobních údajů do USA (a jiných třetích zemí): Jak se vyznat v doporučeních, když jdou proti sobě?
Všimli jste si, že pro přenos osobních údajů do USA vydávají různé instituce různá doporučení? Chytáte se z některých rozhodnutí dohledových úřadů za hlavu (jako mnozí experti na GDPR)? Schrems II a jeho následky stále hýbou ochranou osobních údajů v IT. Podívejme se, co si kdo myslí, o čem se vede diskuze – a zda nová transatlantická dohoda o ochraně osobních údajů mezi USA a EU všechny rozpory ukončí.
Jan Kubíček
Přenos osobních údajů do USA podle Schrems II
Od roku 2020 je v platnosti rozhodnutí Schrems II, ve kterém Soudní dvůr Evropské unie rozhodl o tom, co je potřeba splnit v případě přenosu osobních údajů do země mimo Evropský hospodářský prostor – třeba při zavádění cloudových služeb.
Pokud Evropská komise nevydala pro danou zemi rozhodnutí o odpovídající úrovni ochrany, je třeba zajistit dostatečnou úroveň ochrany pomocí opatření. A to i proti orgánům cizí veřejné moci (např. zpravodajské služby), kterým místní právo dává možnost vyžádat si osobní údaje od zpracovatele.
Rozhodnutí Schrems II dozorové orgány zemí EU aplikují v posledním roce. A aplikují je způsobem, který přidělává vrásky společnostem využívajícím digitální služby od společností v USA. Jde například o používání nástroje Google Analytics (k analýze využívání webu), u kterého se úřady shodly, že v současné podobě není v souladu s GDPR.
Rozhodnutí a závěry, na kterých Schrems II stojí, vyvolala kritiku jak z řad privacy expertů, tak od organizací veřejného sektoru. Některé z nich začaly dokonce zveřejňovat odlišná stanoviska.
Různí se jak výklad GDPR (má být přenos do třetích zemí risk-based, nebo rights-based?), tak posouzení amerických předpisů (kdy se vlastně aplikuje sekce 702 FISA nebo CLOUD Act, a co to pro přenos znamená?).
Doporučení dozorových úřadů i odlišné názory průběžně monitorujeme. Vývoj je to bouřlivý a stojí za to si shrnout, co všechno se za posledních pár měsíců stalo – a co nás, pokud jde o přenos osobních údajů do USA, ještě nejspíš čeká.
Začalo to v Rakousku
O stížnosti směřující k zamezení předávání osobních údajů do USA jako první rozhodl v roce 2022 rakouský dozorový úřad Datenschutzbehörde. Stížnost organizace NOYB (se kterou je spřízněn známý šampion soudních sporů týkajících se osobních údajů Max Schrems) se týkala předávání osobních údajů návštěvníka webu, na kterém byly zapnuté služby Google Analytics.
Jádro problému tkví v tom, že na Google, jako poskytovatele služeb elektronických komunikací, se vztahuje sekce 702 zákona FISA (Foreign Intelligence Surveillance Act). Orgány veřejné moci tak mohou společnosti Google přikázat, aby jim poskytla osobní údaje uživatelů. A těmi mohou být lidé v EU.
K jakým závěrům rakouský dozorový úřad Datenschutzbehörde došel?
- IP adresa, další uživatelské identifikátory (které pocházejí z cookies), údaje o prohlížeči a zařízení jsou osobní údaje, které zahraničním zpravodajským službám mohou pomoci identifikovat konkrétní osobu. Podle úřadu je nutné vzít v úvahu i realistické technické či finanční možnosti, které zpravodajské služby mohou vynaložit na identifikování konkrétní osoby (přitom však ani možnosti zpravodajských služeb nemáme považovat za neomezené).
- Přenášené osobní údaje nebyly dostatečně anonymizovány, protože anonymizace probíhá až na straně Googlu. Ten tedy má možnost dostat se k neanonymizovaným údajům, díky kterým může identifikovat konkrétní osobu.
- Podmínka pro přenos osobních údajů tedy není naplněna: provozovatel webu nezajistil rovnocennou úroveň ochrany osobních údajů.
Obdobně rozhodly i úřady ve Francii, Itálii či Dánsku… a další budou následovat.
Ani standardní smluvní doložky (SCC) nestačí, protože smluvní ujednání nezavazují státní orgány, které tak mohou o přístup k osobním údajům usilovat. (Více o SCC jsem psal zde.)
Google se v reakci na tato rozhodnutí chystá zavést změny a spustit novou verzi Google Analytics, která by měla být z pohledu GDPR více v pořádku. Zda to tak bude, však zatím není jisté.
Co by bylo dostatečným dodatečným opatřením pro přenos osobních údajů do USA?
Podle rakouského dozorového orgánu to může být například důsledné šifrování, které splňuje určité parametry – takové, aby se americká společnost nemohla dostat k nezašifrovaným údajům (nesmí tak např. mít k dispozici šifrovací klíče). O možnostech šifrování v cloudu jsme psali tady.
Odborníci však upozorňují, že opravdu důsledné komplexní šifrování by zkomplikovalo nebo úplně zablokovalo mnoho nasazení cloudových služeb.
Francouzský dozorový orgán CNIL následně jako alternativní řešení doporučil proxy server, který by zajistil pseudonymizaci dat.
Přenos osobních údajů do USA (do třetích zemí): konec přístupu založeného na riziku? ▼
Další důležitý závěr dozorových orgánů související s Google Analytics má dalekosáhlý dopad: pro kapitolu V GDPR (přenos osobních údajů do třetích zemí) se neuplatní přístup založený na riziku (risk-based approach). Sebenižší pravděpodobnost přístupu ze strany např. zpravodajských služeb tak znamená, že přenos osobních údajů do USA (do třetích zemí) nemůže být v souladu s GDPR.
Tento závěr byl silně kritizován komunitou privacy expertů:
- Švýcarský privacy expert David Rosenthal vidí přístup založený na riziku jako jedinou možnost, jak k přenosu přistupovat. Proto vytvořil nástroj (ve formě excelové šablony), který je možné využít k vyhodnocení rizika při přenosu osobních údajů do třetích zemí. Švýcarská veřejná správa se podle Rosenthala k jeho nástroji staví pozitivně.
- Přístupem založeným na riziku a jeho vztahem k různým částem GDPR se dále zabývá například Lokke Moerel, profesorka Globálního práva ICT na univerzitě v Tilburgu. Ve svém článku argumentuje, že jádro problému tkví v tom, že EDPB prosazuje jiné pojetí principu odpovědnosti (accountability), než na kterém je GDPR založeno.
Norské orgány jdou proti proudu
Další rozvíření debaty přišlo poté, co několik desítek organizací norské veřejné správy rozhodlo sestavit pracovní skupinu, která by ostatním pomohla vytvořením doporučení ohledně využívání cloudových služeb ve veřejném sektoru Norska.
Organizace z oblasti daní, zdravotnictví i bezpečnosti daly hlavy dohromady – a nedávno svá doporučení zveřejnily. Norský dozorový úřad se přitom zúčastnil jen jednoho setkání, doporučení tak byla vytvořena bez něj.
Úřadu samotnému se moc nelíbí, že někdo jiný vydává doporučení v oblasti jeho působnosti. Vytvoření a činnost zvláštní pracovní skupiny tak ne všichni pokládali za šťastný nápad.
K zastáncům výkladu odlišného od výkladu dohledových orgánů se následně přidala i švýcarská federální správa. Na konci září 2022 vydala zprávu, ve které mluví i o právním základu pro využívání cloudových služeb organizacemi veřejné správy.
Mimo jiné se zde hlásí k přístupu založenému na riziku i pro případy přístupu ze strany zahraničních orgánů a zpravodajských služeb. Se švýcarským zákonem o ochraně údajů je prý přístup založený na riziku slučitelný.
Zpráva dokonce uvádí, že v této věci nesdílí názor Federálního komisaře pro ochranu údajů a informací, a zdůrazňuje, že je vždy třeba posuzovat každý jednotlivý případ. Opět tak vidíme rozpor mezi doporučeními orgánu dohlížejícím na ochranu osobních údajů a jinými úřady, jako v Norsku.
Je přenosem už pouhá teoretická možnost?
Doporučení norské pracovní skupiny směřuje k méně přísnému přístupu k přenosu osobních údajů mimo EHS. Prosazuje například názor, že dokud opravdu nedojde k přenosu dat, pak žádný přenos není. Nestačí tedy jen teoretická možnost, že k přenosu dat dojde.
Dokud k údajům nikdo nepřistoupil a nebyly přeneseny, pak není potřeba otázku mezinárodního přenosu údajů vůbec řešit. Tato velkorysá interpretace se však nezdá být v souladu se souvisejícím doporučením EDPB, kde je takový přenos definován široce – stačí pouhé zpřístupnění.
EDPB ve svých Pokynech 05/2021 stanovilo tři kumulativní kritéria, která definují přeshraniční přenos mimo EHS:▼
Na správce/zpracovatele se pro dané zpracování údajů vztahuje GDPR.
Teno správce/zpracovatel („vývozce“) zveřejní přenosem nebo jinak umožní přístup k osobním údajům, které jsou předmětem tohoto zpracování, jinému správci, společnému správci nebo jinému zpracovateli („dovozci“).
Tento „dovozce“ je v třetí zemi nebo jde o mezinárodní organizaci, bez ohledu na to, zda se pro toto zpracování na „dovozce“ vztahuje GDPR skrze článek 3.
Zdá se tedy, že podle výkladu EDPB zpřístupnění stačí.
Když každé doporučení říká něco jiného
Pokud chcete ve své organizaci využívat cloudové služby, a přitom neporušit zákon, pak z protichůdných doporučení nejspíš budete zmatení a rozčarovaní. Jistota ohledně toho, co je správný výklad, se rozplývá. To si myslí i norský dozorový úřad, který vyjádřil svou nelibost ke vzniku odlišných doporučení.
Na druhou stranu, když někdo nabídne alternativní pohled, můžeme to vnímat jako pozitivní impuls ke znovunastartování debaty. Třeba o tom, jaký výklad GDPR a navazujících klíčových rozhodnutí Soudního dvora Evropské unie je ten správný.
Ač to na nějakou dobu znesnadňuje život, pro vývoj právního systému je taková debata zdravá. Výklad odlišný od toho, který zastává dozorový orgán, otevírá příležitost ke korekci. Odlišné výklady totiž nakonec vedou k soudním sporům – a ty k vyjasnění práva v judikátech.
I dozorové orgány se mohou mýlit ▼
Že dozorové úřady nemusejí mít vždy pravdu víme. Někdy totiž jejich názory skutečně nejsou udržitelné – proto bychom se na ně měli dívat kriticky. Zde je konkrétní příklad, který se týkal samotných základů GDPR – šlo o právní základ pro zpracování osobních údajů.
Aby bylo zpracování osobních údajů právně v pořádku, musíme k němu mít nějaký právní titul. Tím může být souhlas, právem uložená povinnost nebo například plnění smlouvy. Nejširším základem pro zpracování osobních údajů však je oprávněný zájem. A právě oprávněného zájmu se týkal následující incident.
Nizozemský dozorový orgán ve svém materiálu uvedl, že „pouhý” podnikatelský (obchodní) zájem nemůže sloužit jako oprávněný zájem (a tedy právní titul) pro zpracování osobních údajů.
Evropská komise zareagovala dopisem, ve kterém tento přísný výklad odmítla. Zdůraznila, že právo na ochranu osobních údajů není právo absolutní. Proto musíme vždy hledat správnou rovnováhu s ostatními základními právy (opřít se můžeme i o recitály GDPR, konkrétně recitál 4). V tomto případě je tím dalším základním právem či svobodou svoboda podnikání.
A protože nizozemský úřad oprávněný zájem vycházející z této svobody šmahem odmítl, znemožnil tak nalezení rovnováhy v konkrétních případech.
Obchodní nebo také ekonomické účely tak mohou být oprávněným zájmem správce, a ten o ně může opřít zpracování osobních údajů. Zda je možné využít konkrétní účel, záleží na dalších dvou krocích testu – tedy na nezbytnosti zpracování údajů a na posouzení, zda tento účel převáží nad základními právy a svobodami subjektů údajů (tedy přiměřenost).
GDPR je nástroj určený k pragmatickému užití. Ochrana osobních údajů není absolutní právo, a proto bude vždy váženo a poměřováno s ostatními právy a zájmy. GDPR samotné k takovému porovnávání a zvažování nabádá. A že to někdy dozorové orgány v zápalu boje za ochranu práv subjektů údajů přeženou, se může stát.
Schrems III na obzoru? A vyřeší přenos osobních údajů do USA?
Prezident USA Joe Biden na začátku října 2022 vydal Executive order (výkonné nařízení amerického prezidenta), ve kterém stanovil nový postup federálních agentur a úřadů při sběru osobních údajů.
Organizace NOYB už se k němu skepticky vyjádřila – hromadné sledování podle ní nejspíš nebude naplňovat princip proporcionality, navíc bude chybět možnost domáhat se nápravy soudní cestou. Obojí přitom vyžaduje evropské právo.
Na jaře 2023 se tedy nejspíš dočkáme rozhodnutí Evropské komise o odpovídající úrovni ochrany osobních údajů v USA (adequacy decision podle článku 45 GDPR). Potom se však nejspíš historie zopakuje: rozhodnutí bude zpochybněno stížností, podrobeno soudnímu přezkumu… a my za pár let budeme lomit rukama nad judikátem Schrems III.
Jestli vás tento článek zaujal, navštivte naši Encyklopedii cloudu – stručného průvodce cloudovým prostředím.