GDPR, NIS 2 a DORA rizika z pohledu geografie: jak na cestování dat mezi kontinenty?

GDPR, NIS 2 a DORA rizika z pohledu geografie| Encyklopedie cloudu ORBIT
Zdroj: Free Photo | Binary world map blue graphics concept (freepik.com)

Třetí pokus Evropské komise o usnadnění předávání osobních údajů z EU do USA přinesl velkou úlevu všem, kdo využívají globální poskytovatele cloudových služeb. Pro USA je vše snadné, pro ostatní země ne. Jak velkou roli bude hrát geografie u NIS 2 a DORA, podle nichž budou finanční instituce muset pečlivě vyhodnotit, ve které zemi dodavatel působí?

Jan Kubíček

Nejdřív se podíváme na největší změnu u GDPR. Pak mrkneme na to, co nás čeká podle NIS 2 a DORA.

GDPR rizika: pro USA máme transatlantický rámec pro ochranu osobních údajů

V červenci 2023 si compliance specialisti, riskaři a business vlastníci mohli zhluboka oddechnout: využívání cloudových služeb dodavatelů ze Spojených států je díky rozhodnutí Evropské komise (tzv. adequacy decision neboli rozhodnutí o odpovídající ochraně) zase o něco jednodušší.

Osobní údaje už nejsou problém, což ještě nedávno neplatilo (jak si můžete připomenout zde). Co to pro nás znamená? A má stále smysl uzavírat standardní smluvní doložky (SCC) podle GDPR? 

Povinnost posoudit právní prostředí a chování orgánů veřejné moci v cizích jurisdikcích (tedy nutnost vypracovat Transfer Impact Assessment, TIA) byla jedním z velkých bolehlavů GDPR. Velcí poskytovatelé IT služeb totiž ve smlouvách často vyžadují, aby mohli využívat (sub)dodavatele z dalších zemí.

Rozhodnutí Evropské komise situaci výrazně zjednodušilo pro (sub)dodavatele z USA. Nejsnazší to bude pro ty, kteří jsou certifikováni pod DFP (EU-US Data Privacy Framework).

Americká vlajka jako symbol pro adequacy decision | Encyklopedie cloudu ORBIT
Od července 2023 mohou mezi USA a EU proudit osobní údaje bez starostí.
Zdroj: Free Photo | Businessman behind european and american flags (freepik.com)

Pozor však na předávání osobních údajů do dalších zemí mimo USA – velcí poskytovatelé mají v oblibě Jižní Ameriku, Indii, Čínu apod.

  1. vypracovat Transfer Impact Assessment (TIA) – tedy posouzení právního řádu a praxe orgánů veřejné moci (jak moc ohrožuje osobní údaje, které do země předáváte),
  2. zavést a posoudit doplňková opatření – tedy silné šifrování, správně nastavený přístup k šifrovacímu klíči, popř. proxy server pro Google Analytics apod.

Jaká je tedy aktuální situace při předávání osobních údajů do USA?

Po uzavření dohody mezi USA a EU zařadila Evropská komise svým rozhodnutím z 10. 7. 2023 USA mezi země s adekvátní úrovní ochrany osobních údajů.

V USA dnes existují dvě skupiny zpracovatelů/importérů osobních údajů z EU: certifikovaní pod DPF a necertifikovaní pod DPF:

1) Dodavatelé certifikovaní pod DFP

Těmto společnostem můžete předávat osobní údaje bez využití nástroje pro transfer podle článku 46 GDPR (typicky standardní smluvní doložky SCC nebo závazná vnitropodniková pravidla BCR).

Nemusíte už posuzovat právní prostředí a praxi orgánů (TIA) ani zavádět doplňková opatření (ta byla dosud nezbytná k tomu, aby se k osobním údajům nedostaly orgány veřejné moci USA).

Předávat osobní údaje certifikovanému dodavateli můžete bez obav od okamžiku, kdy je zařazen na seznam rámce ochrany osobních údajů. Na seznamu najdete např. Google LLC nebo Microsoft Corporation, naproti tomu třeba Oracle Corporation na něm ještě v říjnu 2023 stále není.

2) Dodavatelé necertifikovaní pod DFP

V takovém případě zůstává zpracování osobních údajů stejně problematické jako dosud.

Špatná zpráva: abyste naplnili všechny povinnosti správce, musíte si i nadále zvolit nástroj pro přenos (typicky SSC). Také byste měli provést TIA a zavést dostatečná doplňková opatření.

Dobrá zpráva: TIA bude jednoduchá. Můžete se v ní totiž odkázat na rozhodnutí Evropské komise, které hodnotí pravidla nově zavedená do právního řádu USA jako dostatečná. Tato pravidla platí jak pro certifikované, tak pro necertifikované dodavatele. Proto nepotřebujete ani doplňková opatření (šifrování, vhodná správa šifrovacích klíčů apod.).

Na tuto možnost upozornil např. švýcarský expert David Rosenthal a souhlasí i EDPB.

Nově dostupný mechanismus nápravy

Díky vydání rozhodnutí o adekvátní úrovni ochrany pro USA je mechanismus nápravy podle U.S. Executive Order 14086 nově dostupný občanům všech zemí EHS (tj. EU + 3 další státy). Zlepšuje se tím jejich postavení v případě, že by chtěli podat stížnost pro porušení práv ze strany bezpečnostních orgánů USA.

Loga International Trade Administration a U.S. Department of Commerce | Encyklopedie cloudu ORBIT
International Trade Administration a U.S. Department of Commerce, dvě organizace, které se podílejí na fungování DPF.

Zbývá poslední komplikace: subdodavatelé ze třetích zemí

Pokud dodavatel z USA využívá subdodavatele (slovy GDPR „dílčí zpracovatele“) ze zemí mimo EHS, pro které nebylo vydáno Adequacy decision, měli byste opět vypracovat TIA a zavést dostatečná doplňková opatření. Za každý další transfer totiž ve výsledku odpovídáte vy, neboť jste osobní údaje „rozpohybovali“ a v prvním kroku je vyslali za hranice EU.

Může dodavatel o certifikaci přijít?

Ano. Certifikovaný dodavatel může od certifikace dobrovolně odstoupit, může se rozhodnout registraci příští rok neprodloužit… a může být také vyškrtnut, pokud se bude dopouštět pochybení. Proto si raději sjednejte i standardní smluvní doložky (SCC), které by předávání údajů pokryly ve chvíli, kdy by dodavatel certifikaci náhle neměl.

Schrems III? Aneb výhled do budoucna

Nezisková organizace NOYB (kterou založil známý aktivista Max Schrems) se rozhodla rozhodnutí Evropské komise podrobit testu u Soudního dvora EU. Má totiž výhrady k věcným úpravám oproti předchozímu řešení (Privacy shield, který byl zrušen rozhodnutím Schrems II).

Je tedy možné, že během pár let přijde rozsudek „Schrems III“, který předávání osobních údajů do USA opět zkomplikuje. Do té doby je však možné předávat osobní údaje do USA zcela v souladu s GDPR.

Najde se i další důvod k optimismu: je možné, že během příštích let poskytovatelé cloudových služeb dotáhnou do konce bezpečnější řešení, na kterých pracují už dnes, jako jsou:

  • confidential computing,
  • sovereignty controls,
  • navazování spolupráce s evropskými poskytovateli IT služeb.

To by vedlo k možnostem být „snadno a rychle“ v souladu s GDPR i po případném zrušení Adequacy decision.

Geografická rizika NIS 2 a návrh nového zákona o kybernetické bezpečnosti

Chování orgánů veřejné moci v různých zemích řeší i návrh vyhlášky o kritériích rizikovosti dodavatele, která je jednou z vyhlášek provádějících nový zákon o kybernetické bezpečnosti. Abyste byli s NIS 2 v souladu, budete si muset vyhodnotit rizika dodavatele i podle toho, jaký vliv na ně bude mít:

  • země sídla a země, ze které je dodavatel řízen,
  • země pobytu skutečného majitele a případně také osoby, která dodavatele ovládá,
  • země, která může dodavatele ovlivnit nebo na něj vyvíjet nátlak.

Budete muset vzít v úvahu také uvalené mezinárodní sankce, činnost tajných služeb nebo neexistenci dělby moci či demokratického režimu. Roli bude hrát i to, zda daná země působí proti zájmům ČR. Dostaneme se tedy i do politických a geopolitických úrovní.

DORA rizika: opět geografie

návrhu jednoho z RTS (regulatorních technických standardů) doplňujícího nařízení DORA jsou předepsány detaily ohledně registru poskytovatelů ICT služeb ve finančním sektoru. Takový registr bude sloužit dohledovým orgánům (ESAs) k monitorování rizika koncentrace u dodavatelů. Banky a další tak budou muset evidovat např.:

  • zemi, ve které má poskytovatel sídlo,
  • zemi, ve které má sídlo konečná mateřská společnost poskytovatele,
  • zemi, ze které jsou poskytovány ICT služby,
  • zemi, kde jsou data uchovávána (data at rest),
  • zemi, kde jsou data zpracovávána,
  • zemi, ve které má sídlo alternativní poskytovatel (najít alternativního poskytovatele bude součástí exit strategie u kritických nebo důležitých funkcí).

Zemi, ve které dodavatel působí a kde zpracovává data a uchovává data pak bude muset instituce zvažovat i ve své strategii využívání ICT dodavatelů u služeb podporujících kritickou nebo důležitou funkci. A toto geografické hledisko bude hrát roli i při due diligence nového poskytovatele – zejména pro posouzení operačních rizik, reputačních rizik a rizika, že poskytování služby znemožní uvalení sankcí.

Shrnuto: rizika GDPR, NIS 2 a DORA z pohledu geografie

DORA rizika, NIS 2 rizika a GDPR rizika: tyto (nejen) bankovní regulace spojuje mj. povinnost zamyslet se nad geografickým místem, odkud dodavatel poskytuje své služby. U GDPR nám pomohlo adequacy decision pro USA, u NIS 2 a DORA však bankám přibydou nové povinnosti.

Hranice států hrají v regulaci velkou roli i nadále. Adequacy decision sice usnadnilo využívání dodavatelů z USA, pro ostatní země mimo EU/EHS se však nic nemění. Vedle GDPR pak NIS 2 a DORA zavádějí nové požadavky ohledně země, odkud a kde dodavatel působí.

O autorovi
Jan Kubíček
Jan Kubíček

Legal IT Consultant | LinkedIn

Jan vás podpoří všude tam, kde jde o dodržování předpisů. Má právní vzdělání (regulace, compliance a ochrana dat v bankovnictví). Často pečlivě zkoumá smlouvy, aby se ujistil, že jsou splněny četné regulatorní požadavky. Při analýze smluv rád předvídá, co všechno se může stát… a vymýšlí, jak potenciální rizika ošetřit.