Předávání osobních údajů do USA a Velké Británie: Co je nového?

Microsoft potvrdil, že k datům v cloudu mohou mít přístup americké úřady
‍

V červenci tohoto roku vzbudilo pozornost veřejné slyšení pana Antona Carniaux z francouzské pobočky Microsoftu ve francouzském senátu. Pan Carniaux připustil, že Microsoft je na základě odůvodněné žádosti povinen americkým úřadům zpřístupnit i data uchovávaná na úložištích v Evropské unii. Včetně osobních údajů. Ukládá mu to totiž americká legislativa, konkrétně CLOUD Act z roku 2018.

‍
Tato zpráva vyvolala mezi ochránci soukromí i širší veřejností jistou nervozitu. Znamená to snad, že smluvní ujednání o tom, že američtí poskytovatelé cloudových služeb garantují uchování osobních údajů v Evropské unii, neplatí? A že využití úložiště v EU vlastně zahrnuje i předávání dat do třetích zemí se všemi povinnostmi, které se k tomu dle obecného nařízení o ochraně osobních údajů (GDPR) vážou?

‍
Není důvod panikařit

‍
CLOUD Act byl v USA přijat již v roce 2018. Nejedná se tedy o žádnou novinku. Velcí američtí poskytovatelé cloudových služeb poměrně transparentně komunikují, že pokud budou povinni data uchovávaná v evropských datacentrech americkým úřadům zpřístupnit, tak jim je zpřístupní. Ostatně i před tímto americkým zákonem bylo možné o poskytnutí určitých údajů žádat, například cestou mezinárodní právní spolupráce. Byť ta samozřejmě obvykle nepatří k těm nejrychlejším.

‍
Vyjádření zástupce Microsoftu ale není důvodem pro paniku, opouštění amerických dodavatelů, nákup nových bezpečnostních nástrojů či jiné unáhlené kroky. Jak by měl odpovědný správce či zpracovatel dat s touto (potvrzenou) skutečností pracovat?

‍
Zohlednit ji při vyhodnocení rizikovosti svých poskytovatelů cloudu. Ať už na počátku, při výběru poskytovatele cloudového řešení, nebo při průběžné kontrole, by měl správce či zpracovatel posoudit, jestli poskytovatel technicky může mít přístup ke zpracovávaným datům, jestli mezi nimi jsou osobní údaje a jak jsou citlivé. A v návaznosti na tyto skutečnosti se rozhodnout, zda bude daných služeb využívat, případně v jakém rozsahu, a jaká opatření ke snížení rizika pro práva dotčených osob může ještě zavést, např. pseudonymizaci či šifrování dat (vlastním klíčem), využití služeb více dodavatelů, omezení doby uchování dat v prostředí dodavatele atd.
‍

A co Velká Británie?
‍

Trochu ve stínu „kauzy“ CLOUD Act pokračuje proces prodloužení tzv. adequacy decision pro Velkou Británii. Ta se po odchodu z EU v lednu 2020 stala z pohledu GDPR třetí zemí. Aby bylo možné do Velké Británie předávat osobní údaje, je nutné použít některé z dodatečných opatření pro zajištění ochrany práv občanů EU.

‍
S ohledem na velkou hospodářskou i společenskou provázanost Velké Británie s členskými státy EU se jako vhodné jeví právě rozhodnutí o odpovídající ochraně osobních údajů v dané třetí zemi, tzv. adequacy decision, podle čl. 45 GDPR. Evropská komise vyhodnotila právní i faktickou úroveň ochrany osobních údajů ve Velké Británii jako odpovídajícím unijním principům a v roce 2021 ji potvrdila jako tzv. bezpečnou zemi.  
‍

Toto rozhodnutí bylo původně účinné do 27. června 2025. Komise však v červnu nové rozhodnutí nevydala, ale pouze o 6 měsíců prodloužila účinnost toho stávajícího. Důvodem byla zejména nutnost analyzovat novou britskou legislativu v oblasti ochrany osobních údajů a její soulad s principy vyjádřenými v GDPR.
‍

Jak to dopadne?
‍

Zdá se, že dobře. Evropská komise zveřejnila návrh rozhodnutí, které potvrzuje dostatečnou úroveň ochrany osobních údajů ve Velké Británii až do konce 2031. Pokud bude rozhodnutí v tomto znění vydáno, a v tuto chvíli nic nenasvědčuje opaku, spolupráce se subjekty usazenými ve Velké Británii by z pohledu osobních dat měla probíhat stejně jako dosud.

‍