Předávání osobních údajů do USA - Jak na to?
Od 10. července 2023 je účinné nové rozhodnutí Evropské komise o odpovídající ochraně osobních údajů při předávání údajů z EU do USA. Co nového přináší? A jak postupovat, pokud chcete pro vaši činnost využívat dodavatele z USA, kterým svěřujete osobní údaje svých zákazníků nebo zaměstnanců?
„DATA PRIVACY FRAMEWORK“ jako záruka bezpečného předávání osobních údajů do USA
Nově přijaté rozhodnutí Evropské komise o odpovídající ochraně osobních údajů zavádí tzv. Data Privacy Framework, česky Rámec ochrany soukromí. Do tohoto samocertifikačního systému se mohou zapsat soukromé společnosti z USA, kterým obchodní partneři z EU předávají osobní údaje například svých zákazníků.
Americké společnosti se zápisem do systému zavazují chránit osobní údaje jednotlivců z EU stejně, jako je musí chránit evropské společnosti. V souladu s GDPR musí např. údaje adekvátně zabezpečit, poskytnout jednotlivcům informace o tom, co s jejich údaji dělají, nebo je na žádost upravit či smazat.
Rozhodnutí Komise představuje velký převrat oproti posledním třem rokům, protože díky němu můžete zpřístupňovat osobní údaje vašich zákazníků nebo zaměstnanců americkým společnostem snadněji. Proces bude stejný, jako kdybyste osobní údaje zpřístupňovali dodavateli v EU. Stačit vám bude standardní smlouva o zpracování osobních údajů, která dodavatele z USA zaváže údaje dostatečně zabezpečit a spolupracovat s vámi, kdyby např. došlo k bezpečnostnímu incidentu.
Nové rozhodnutí dopadá nejen na podnikatele nebo organizace. Komise cílí i na jednotlivce. Pokud mají jednotlivci obavy, že jsou v USA jejich osobní údaje zneužívány, včetně zneužívání ze strany amerických tajných služeb, mohou podat stížnost rovnou americké společnosti, případně svému dozorovému úřadu (v ČR jde o Úřad pro ochranu osobních údajů). Dozorový úřad postoupí stížnost úřadům do USA, které mohou přimět porušující společnost/orgán, aby s údaji pracovala v souladu s americkými zákony. Pokud to stačit nebude, může se jednotlivec (prostř. svého dozorového úřadu) obrátit na speciální soud k přezkumu ochrany osobních údajů. Ten může porušujícímu subjektu nařídit např. osobní údaje smazat.
Jak můžete s americkými společnostmi spolupracovat?
Zjistili jste, že spolupracujete s dodavateli, kteří sídlí v USA? Pokud ano, nejprve si zkontrolujte, jestli je váš dodavatel uveden v seznamu Rámce ochrany soukromí.
Dodavatel je v seznamu Rámce ochrany soukromí uveden
Našli jste dodavatele v seznamu? Pak je potřeba pouze zkontrolovat, jestli s ním máte uzavřenu smlouvu o zpracování osobních údajů s náležitostmi dle GDPR. S velkou pravděpodobností takovou „smlouvu“ najdete jako přílohu obchodních podmínek, které jste přijali v rámci objednávky služby. Pokud takovou smlouvu máte a neřešíte zrovna nějaký problém při zpracování osobních údajů (např. únik dat), nemusíte nic dalšího zajišťovat.
Pokud jste takovou smlouvu nenašli, doporučujeme kontaktovat dodavatele a smlouvu po něm poptat nebo mu ideálně poslat svůj návrh smlouvy k odsouhlasení.
Dodavatel není v seznamu Rámce ochrany soukromí uveden
Může se stát, že dodavatele v seznamu nenajdete. V tomto případě vám pro předávání osobních údajů do USA nebude stačit klasická smlouva o zpracování osobních údajů dle GDPR, ale potřebujete zajistit ještě další záruky ochrany osobních údajů. Typicky bude potřeba ke smlouvě o zpracování osobních údajů přidat standardní smluvní doložky pro předávání osobních údajů schválené Evropskou komisí, nebo v rámci koncernu přijmout závazná podniková pravidla, a případně zavázat dodavatele ještě dalšími povinnostmi k zajištění ochrany osobních údajů.
Závěrem
Předávání osobních údajů dodavatelům v USA je zase o něco jednodušší. Stále ale musíte vy i američtí dodavatelé dodržet povinnosti, které pro zpracování osobních údajů vyplývají z GDPR.
Další články
Digitální klon zemřelého člověka: Právní limity simulace identity po smrti
Představme si, že po smrti blízkého člověka přijde rodině zpráva z chatovací aplikace. Není to starý e-mail ani automatická vzpomínka ze sociální sítě.
Právní průšvihy při nasazování AI nástrojů – praktické zkušenosti, kdy se to nepovedlo (1. část)
Implementace nástrojů umělé inteligence už pro právníky není hudbou budoucnosti, ale každodenní realitou. Zapomeňte však na tradiční přístup „odškrtávání checklistů“. V éře AI totiž regulace přímo diktuje samotný technický design produktů. Jak se úspěšně zorientovat v džungli desítek evropských předpisů, na co si dát pozor při mapování datových toků a proč musí právníci při vývoji aplikací sedět u jednoho stolu s programátory a produktovými manažery?
Kdy musí zahraniční firma odvádět daně v tuzemsku? Někdy stačí i jediný zaměstnanec na home office
Práce na dálku z jiné země je čím dál častější. Přestože se podmínky prezence na pracovišti rozvolnily, žádná benevolence už neplatí v tom, kde a jak firmy, potažmo zaměstnanci musí odvádět daně. Systém přitom není nejpřehlednější, a tak svádí k chybám.
Prediktivní analytika při správě daní
Daňová kontrola byla dlouho vnímána především jako nástroj zpětného ověření. Správce daně posuzoval, zda daňový subjekt v minulosti správně přiznal daň, zda doložil rozhodné skutečnosti a zda jeho tvrzení odpovídá realitě. Tento model má své pevné místo i v budoucnu. U části daňových rizik však naráží na praktický limit: pokud správce daně reaguje až ve chvíli, kdy je škoda způsobena, může být její náprava obtížná, ne-li fakticky nemožná.
Rozhovor: Adam Felix - Advokacie nesmí podléhat státnímu finančnímu dozoru
Ministerstvo financí předložilo návrh zákona o ekonomické ochraně státu a související novely zákona o Finančním analytickém úřadu a zákona o advokacii, které mají ambici posílit nástroje státu v boji proti praní peněz a financování terorismu. Vedle deklarovaného cíle návrh vyvolává zásadní debatu o tom, kde končí legitimní regulace a začíná zásah do samotné podstaty nezávislé advokacie a pilířů právního státu.
