Weby ani profily na sociálních sítích, stejně jako internetové reklamní kampaně, se prakticky neobejdou bez nástrojů dvou globálních gigantů: Google a Meta. Ať už jde o Google Analytics, Google Ads, YouTube na straně jedné, nebo profily a kampaně na Facebooku, případně Instagramu na straně druhé. S jejich užitím je nerozlučně spojeno i předávání dat do Spojených států, které realizuje sama služba a uživatel v zásadě není schopen tomu zabránit.
Nedávná rozhodnutí evropských dozorových úřadů užití těchto nástrojů na první pohled zdánlivě zakazují. Přitom ale je možné nastavit analytiku a marketing na internetu, neutratit zbytečně moc peněz za právníky, a přitom zachovat rozsah obvyklých činností.
Proč dochází k předávání dat?
Ačkoliv se většina marketérů a správců sociálních sítí bude dušovat, že oni žádné údaje do USA nepředávají, háček je v tom, co už se považuje za předávání. Neoddiskutovatelně k němu dochází, pokud provozovatel webu do nástroje vloží data o svých zákaznících kvůli obchodnímu cílení (na konkrétní osoby). V poslední době ale dozorové úřady dovodily odpovědnost i těch provozovatelů, kteří „jen“ dají na web analytický nástroj třetí strany. Tedy stačí například Facebook plugin, aby vznikla odpovědnost za získávání dat tímto prostřednictvím a další nakládání s nimi, včetně jejich sběru Facebookem a předání do USA.
Dalším častým scénářem bude zřízení profilu na sociální síti s monitoringem návštěvnosti a realizací kampaní na takové síti. I tady byla dovozena společná odpovědnost za nakládání s daty uživatelů, za analýzu jejich chování a předávání souvisejících údajů na zpracování do zámoří.
„I když bude provozovatel konkrétního nástroje pravděpodobně sídlit v zemi Evropské unie, konkrétně u Meta a Google půjde o Irsko, bude předávat data ke zpracování mateřským společnostem do USA, a to často na vaši odpovědnost,“ varuje advokátka Lucie Balýová specializující se na IT právo z advokátní kanceláře Žižlavský.
Jak právně podchytit předávání?
Mimo Evropský hospodářský prostor (EHP) lze v současné době údaje předávat na základě takzvaných standardních smluvních doložek (Standard Contractual Clauses – SCCs), což je smluvní nástroj pro předávání osobních dat mimo EHP. Jejich podoba ale doznala změn po rozhodnutí Soudního dvora EU (SDEU) ve věci Schrems II [Rozsudek Soudního dvora Evropské unie ze dne 16. července 2020, Data Protection Commissioner v. Facebook Ireland Limited a Maximillian Schrems, C-311/18]. Soud v něm dospěl k závěru, že americké sledovací programy se neomezují jen na to, co je „nezbytně nutné“, a odporují unijnímu chápání principu proporcionality.
Podle SDEU samotné doložky SCCs také nemohou jako pouhý smluvní nástroj dostatečně garantovat, že se k údajům nedostanou americké státní orgány. Soudní dvůr proto uložil prověřovat při zamýšleném exportu osobních údajů do zemí mimo EU s užitím doložek, zda právo nebo praxe takové země nejsou v rozporu s ochrannými ustanoveními SCCs. „Je tedy třeba provést takzvaný Transfer Impact Assessment (TIA), tedy posouzení dopadu předávání na ochranu údajů,“ dodává Balýová. Pokud by k němu docházelo, musí provozovatel zavést dodatečná opatření (Supplemental Measures), která překlenou tyto nedostatky v oblasti ochrany údajů a zajistí dodržení úrovně ochrany údajů požadované právem EU.
Nové SCCs, které vycházejí ze závěrů rozhodnutí Soudního dvora, je nutné přijmout do letošního 28. prosince. Čas se tedy krátí. Současně je nutné vedle uzavření těchto doložek přijmout také dodatečná opatření ochrany údajů.
Jak na to?
Na začátku je potřeba ověřit aktuálnost vzorů SCCs pro předávání údajů do USA, zda jsou skutečně z roku 2021. Dále i to, zda jsou uzavírány ve správné konfiguraci. Doložky mají 4 moduly upravující všechny možné kombinace postavení správce údajů a zpracovatele. „Většinou přicházejí do úvahy dva scénáře. Pokud užíváte nástroj Universal Analytics, budete většinou správce. Pokud na web umístíte reklamní plugin, popřípadě spravujete stránku na sociální síti, pak půjde o pozici společného správce,“ říká advokát Bohuslav Lichnovský z Gali Legal a dodává, že často bývá SCCs připraveno od poskytovatele nástroje jako součást smlouvy, čímž se tento krok vyřeší.
Dalším na řadě pak bude interní posouzení vlivu předávání na ochranu osobních údajů, tedy již zmiňovaný Transfer Impact Assessment. V tomto dokumentu bude potřeba popsat rozsah předávání údajů a zhodnotit, jestli v cílové zemi mimo EHP neexistují předpisy nebo postupy, které by mohly snížit účinek opatření pro ochranu osobních údajů v doložkách SCCs. A pokud existují, je nutné popsat dostatečná opatření přijatá nad rámec SCCs – pokud je lze vůbec efektivně přijmout. Vedle toho je třeba také uvést, kdo bude odpovědný za soulad předávání s GDPR a jak bude posuzováno, že opatření jsou stále dostatečná. „My s naším prvním posouzením strávili skoro měsíc,“ popisuje složitost této operace Lichnovský. Pomoci může Doporučení Evropského sboru pro ochranu údajů, ale mnohem jednodušší bude obrátit se na někoho, kdo už podobnou zkušenost má.
Pokud z posouzení vyjde, že k předání údajů na základě SCCs může dojít, je třeba ověřit, že v přílohách těchto dodatků jsou dobře popsány všechny okolnosti zpracování (kdo je správce a zpracovatel, jaké údaje jsou předávány, jak jsou údaje chráněny). I tady lze vyjít ze SCCs, které připravil poskytovatel nástroje jako součást smlouvy.
Reakce dozorových úřadů
Aby to nebylo tak jednoduché, zmínění technologičtí giganti jakožto poskytovatelé nástrojů navrhli opatření dostatečná ani ne tak k ochraně údajů, ale spíš k ochraně jejich byznys modelu. Rakouský a následně také francouzský dozorový úřad dovodily, že v případě Google Analytics nejsou SCCs a v nich popsaná opatření ochrany údajů dostatečná pro zajištění potřebné úrovně ochrany předávaných údajů. Podle regulátorů totiž navržená opatření nebrání americkým úřadům získat přístup ke zpracovávaným evropským údajům. Proto v dané konfiguraci došlo k zákazu užití tohoto nástroje.
Stále ale je možné tyto nástroje použít, budou-li přijata dostatečná opatření ochrany. Například u nástroje Google Analytics je možné zavést anonymizaci předávaných IP adres, vypnout možnosti „Data Sharing“ a „Signals“, nebo dokonce použít proprietární identifikátory osob. Díky nim je nebude možné zpětně ztotožnit. Tato provozovatelem webu přijatá opatření by přitom měla navazovat na opatření podle odst. 10.4 a přílohy č. 2 podmínek Google, která jsou ze strany Googlu přijata ve výchozím nastavení.
Tím je vyřešeno předávání dat v rámci Google Analytics. Jestliže ale web užívá více nástrojů, bude vhodnější provést posouzení dopadu předávání (TIA) v obecnější podobě s tím, že pro každý použitý nástroj se uvede, jaká konkrétní opatření ochrany údajů jsou přijata. Což je zčásti otázka právní (je třeba vědět, kde je riziko a čemu je třeba předejít), zčásti otázka technická (jak nástroj funguje a čím riziko omezit).
V případě citlivých údajů o zdravotním stavu, finančních údajů nebo údajů o přesné poloze subjektů by mělo proběhnout také posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment) podle čl. 35 GDPR. V tomto případě se nebude posuzovat, zda jsou opatření pro ochranu údajů dostatečná, ale to, zda vůbec je legitimní zvažovaná zpracování provádět.
Rady na závěr
Užívání globálních analytických a marketingových nástrojů, stejně jako sociálních sítí, je v dnešní době pro digitální business klíčové. Pro využití těchto nástrojů ale existují poměrně přísná pravidla, která by zejména větší organizace měly respektovat.
Asi nelze čekat, že český Úřad pro ochranu osobních údajů půjde po startupu, který začíná podnikat a chce vědět, kdo navštěvuje jeho stránky, případně si vytvoří základní profil na Facebooku. Pokud ale půjde o zavedenou korporaci podnikající v B2C segmentu a závislou na digitálním marketingu, s desetitisíci uživatelů, určitě se nevyplatí compliance v této oblasti podcenit a vystavit tak celé podnikání riziku stopky ze strany dozorových úřadů.
A ještě jedno důležité upozornění. Popsaná opatření se týkají zavedených nástrojů z USA. V případě, že si pohráváte s myšlenkou pracovat s nástrojem TikTok, je třeba být ještě o řád opatrnější. TikTok ani sám neuvádí, kam údaje předává. Vzhledem k zájmu regulačních úřadů, který si nejen tímto svým přístupem vysloužil, se zdá, že s nimi nejedná zrovna v rukavičkách. A to je věc, za niž byste určitě nechtěli být spoluodpovědní.
ČLÁNKY DO MAILU