GDPR, NIS 2 a DORA rizika z pohledu geografie: jak na cestování dat mezi kontinenty?
Třetí pokus Evropské komise o usnadnění předávání osobních údajů z EU do USA přinesl velkou úlevu všem, kdo využívají globální poskytovatele cloudových služeb. Pro USA je vše snadné, pro ostatní země ne. Jak velkou roli bude hrát geografie u NIS 2 a DORA, podle nichž budou finanční instituce muset pečlivě vyhodnotit, ve které zemi dodavatel působí?
Jan Kubíček
Nejdřív se podíváme na největší změnu u GDPR. Pak mrkneme na to, co nás čeká podle NIS 2 a DORA.
GDPR rizika: pro USA máme transatlantický rámec pro ochranu osobních údajů
V červenci 2023 si compliance specialisti, riskaři a business vlastníci mohli zhluboka oddechnout: využívání cloudových služeb dodavatelů ze Spojených států je díky rozhodnutí Evropské komise (tzv. adequacy decision neboli rozhodnutí o odpovídající ochraně) zase o něco jednodušší.
Osobní údaje už nejsou problém, což ještě nedávno neplatilo (jak si můžete připomenout zde). Co to pro nás znamená? A má stále smysl uzavírat standardní smluvní doložky (SCC) podle GDPR?
Povinnost posoudit právní prostředí a chování orgánů veřejné moci v cizích jurisdikcích (tedy nutnost vypracovat Transfer Impact Assessment, TIA) byla jedním z velkých bolehlavů GDPR. Velcí poskytovatelé IT služeb totiž ve smlouvách často vyžadují, aby mohli využívat (sub)dodavatele z dalších zemí.
Rozhodnutí Evropské komise situaci výrazně zjednodušilo pro (sub)dodavatele z USA. Nejsnazší to bude pro ty, kteří jsou certifikováni pod DFP (EU-US Data Privacy Framework).
Pozor však na předávání osobních údajů do dalších zemí mimo USA – velcí poskytovatelé mají v oblibě Jižní Ameriku, Indii, Čínu apod.
Klíčové povinnosti při předávání osobních údajů mimo EHS
Pokud využíváte dodavatele nebo subdodavatele ze země mimo EHS, musíte kromě standardních GDPR povinností ještě:
- vypracovat Transfer Impact Assessment (TIA) – tedy posouzení právního řádu a praxe orgánů veřejné moci (jak moc ohrožuje osobní údaje, které do země předáváte),
- zavést a posoudit doplňková opatření – tedy silné šifrování, správně nastavený přístup k šifrovacímu klíči, popř. proxy server pro Google Analytics apod.
Jaká je tedy aktuální situace při předávání osobních údajů do USA?
Po uzavření dohody mezi USA a EU zařadila Evropská komise svým rozhodnutím z 10. 7. 2023 USA mezi země s adekvátní úrovní ochrany osobních údajů.
Jak se změnil právní řád USA?
Pro občany Česka a dalších zemí EHS je například dostupný nový mechanismus, kterým se mohou domáhat svých práv podle GDPR (právo na výmaz, opravu, přístup k zpracovávaným údajům apod.). Došlo také ke změnám v oblasti pravomocí, kterými se mohou orgány veřejné moci domáhat vydání dat od dodavatele. Tyto úpravy Evropská komise vyhodnotila jako dostatečné zajištění práv.
V USA dnes existují dvě skupiny zpracovatelů/importérů osobních údajů z EU: certifikovaní pod DPF a necertifikovaní pod DPF:
1) Dodavatelé certifikovaní pod DFP
Těmto společnostem můžete předávat osobní údaje bez využití nástroje pro transfer podle článku 46 GDPR (typicky standardní smluvní doložky SCC nebo závazná vnitropodniková pravidla BCR).
Nemusíte už posuzovat právní prostředí a praxi orgánů (TIA) ani zavádět doplňková opatření (ta byla dosud nezbytná k tomu, aby se k osobním údajům nedostaly orgány veřejné moci USA).
Předávat osobní údaje certifikovanému dodavateli můžete bez obav od okamžiku, kdy je zařazen na seznam rámce ochrany osobních údajů. Na seznamu najdete např. Google LLC nebo Microsoft Corporation, naproti tomu třeba Oracle Corporation na něm ještě v říjnu 2023 stále není.
2) Dodavatelé necertifikovaní pod DFP
V takovém případě zůstává zpracování osobních údajů stejně problematické jako dosud.
Špatná zpráva: abyste naplnili všechny povinnosti správce, musíte si i nadále zvolit nástroj pro přenos (typicky SSC). Také byste měli provést TIA a zavést dostatečná doplňková opatření.
Dobrá zpráva: TIA bude jednoduchá. Můžete se v ní totiž odkázat na rozhodnutí Evropské komise, které hodnotí pravidla nově zavedená do právního řádu USA jako dostatečná. Tato pravidla platí jak pro certifikované, tak pro necertifikované dodavatele. Proto nepotřebujete ani doplňková opatření (šifrování, vhodná správa šifrovacích klíčů apod.).
Na tuto možnost upozornil např. švýcarský expert David Rosenthal a souhlasí i EDPB.
Nově dostupný mechanismus nápravy
Díky vydání rozhodnutí o adekvátní úrovni ochrany pro USA je mechanismus nápravy podle U.S. Executive Order 14086 nově dostupný občanům všech zemí EHS (tj. EU + 3 další státy). Zlepšuje se tím jejich postavení v případě, že by chtěli podat stížnost pro porušení práv ze strany bezpečnostních orgánů USA.
Zbývá poslední komplikace: subdodavatelé ze třetích zemí
Pokud dodavatel z USA využívá subdodavatele (slovy GDPR „dílčí zpracovatele“) ze zemí mimo EHS, pro které nebylo vydáno Adequacy decision, měli byste opět vypracovat TIA a zavést dostatečná doplňková opatření. Za každý další transfer totiž ve výsledku odpovídáte vy, neboť jste osobní údaje „rozpohybovali“ a v prvním kroku je vyslali za hranice EU.
Může dodavatel o certifikaci přijít?
Ano. Certifikovaný dodavatel může od certifikace dobrovolně odstoupit, může se rozhodnout registraci příští rok neprodloužit… a může být také vyškrtnut, pokud se bude dopouštět pochybení. Proto si raději sjednejte i standardní smluvní doložky (SCC), které by předávání údajů pokryly ve chvíli, kdy by dodavatel certifikaci náhle neměl.
Právní okénko – hodnocení právního rámce USA
Klíčovou pasáž celého rozhodnutí najdete v bodě 200, kde se píše: „It follows from the above that when U.S. law enforcement and national security authorities access personal data falling within the scope of this Decision, such access is governed by a legal framework that lays down the conditions under which access can take place and ensures that access and further use of the data is limited to what is necessary and proportionate to the public interest objective pursued. These safeguards can be invoked by individuals who enjoy effective redress rights.“
Přístup k osobním údajům ze strany orgánů veřejné moci je tedy v USA omezeno na to, co je nezbytné a přiměřené. A subjekt údajů má přístup k účinnému mechanismu nápravy.
Schrems III? Aneb výhled do budoucna
Nezisková organizace NOYB (kterou založil známý aktivista Max Schrems) se rozhodla rozhodnutí Evropské komise podrobit testu u Soudního dvora EU. Má totiž výhrady k věcným úpravám oproti předchozímu řešení (Privacy shield, který byl zrušen rozhodnutím Schrems II).
Je tedy možné, že během pár let přijde rozsudek „Schrems III“, který předávání osobních údajů do USA opět zkomplikuje. Do té doby je však možné předávat osobní údaje do USA zcela v souladu s GDPR.
Najde se i další důvod k optimismu: je možné, že během příštích let poskytovatelé cloudových služeb dotáhnou do konce bezpečnější řešení, na kterých pracují už dnes, jako jsou:
- confidential computing,
- sovereignty controls,
- navazování spolupráce s evropskými poskytovateli IT služeb.
To by vedlo k možnostem být „snadno a rychle“ v souladu s GDPR i po případném zrušení Adequacy decision.
Geografická rizika NIS 2 a návrh nového zákona o kybernetické bezpečnosti
Chování orgánů veřejné moci v různých zemích řeší i návrh vyhlášky o kritériích rizikovosti dodavatele, která je jednou z vyhlášek provádějících nový zákon o kybernetické bezpečnosti. Abyste byli s NIS 2 v souladu, budete si muset vyhodnotit rizika dodavatele i podle toho, jaký vliv na ně bude mít:
- země sídla a země, ze které je dodavatel řízen,
- země pobytu skutečného majitele a případně také osoby, která dodavatele ovládá,
- země, která může dodavatele ovlivnit nebo na něj vyvíjet nátlak.
Budete muset vzít v úvahu také uvalené mezinárodní sankce, činnost tajných služeb nebo neexistenci dělby moci či demokratického režimu. Roli bude hrát i to, zda daná země působí proti zájmům ČR. Dostaneme se tedy i do politických a geopolitických úrovní.
DORA rizika: opět geografie
V návrhu jednoho z RTS (regulatorních technických standardů) doplňujícího nařízení DORA jsou předepsány detaily ohledně registru poskytovatelů ICT služeb ve finančním sektoru. Takový registr bude sloužit dohledovým orgánům (ESAs) k monitorování rizika koncentrace u dodavatelů. Banky a další tak budou muset evidovat např.:
- zemi, ve které má poskytovatel sídlo,
- zemi, ve které má sídlo konečná mateřská společnost poskytovatele,
- zemi, ze které jsou poskytovány ICT služby,
- zemi, kde jsou data uchovávána (data at rest),
- zemi, kde jsou data zpracovávána,
- zemi, ve které má sídlo alternativní poskytovatel (najít alternativního poskytovatele bude součástí exit strategie u kritických nebo důležitých funkcí).
Zemi, ve které dodavatel působí a kde zpracovává data a uchovává data pak bude muset instituce zvažovat i ve své strategii využívání ICT dodavatelů u služeb podporujících kritickou nebo důležitou funkci. A toto geografické hledisko bude hrát roli i při due diligence nového poskytovatele – zejména pro posouzení operačních rizik, reputačních rizik a rizika, že poskytování služby znemožní uvalení sankcí.
Shrnuto: rizika GDPR, NIS 2 a DORA z pohledu geografie
DORA rizika, NIS 2 rizika a GDPR rizika: tyto (nejen) bankovní regulace spojuje mj. povinnost zamyslet se nad geografickým místem, odkud dodavatel poskytuje své služby. U GDPR nám pomohlo adequacy decision pro USA, u NIS 2 a DORA však bankám přibydou nové povinnosti.
Hranice států hrají v regulaci velkou roli i nadále. Adequacy decision sice usnadnilo využívání dodavatelů z USA, pro ostatní země mimo EU/EHS se však nic nemění. Vedle GDPR pak NIS 2 a DORA zavádějí nové požadavky ohledně země, odkud a kde dodavatel působí.