Digitální ekonomika prosperuje z dat, ale s tím přichází i nesmírná odpovědnost za ochranu osobních údajů. Rozhodnutí Schrems II, vydané Evropským soudním dvorem (ESD) 16. července 2020, významně přetvořilo krajinu mezinárodních přenosů dat, zejména mezi Evropskou unií (EU) a Spojenými státy (USA). Pro malé podniky není navigace v tomto složitém rozhodnutí pouze právní povinností, ale kritickou součástí udržování důvěry a vyhýbání se závažným sankcím.
Co je rozhodnutí Schrems II a proč je důležité?
Jádrem rozhodnutí Schrems II bylo zrušení rámce EU-US Privacy Shield, mechanismu, na který se dříve spoléhaly tisíce společností pro přenos osobních údajů z EU do USA. Toto rozhodnutí vycházelo z obav, že zákony USA o dohledu (jako je FISA Section 702 a Executive Order 12.333) neposkytovaly úroveň ochrany dat občanů EU „v podstatě rovnocennou“ té, kterou zaručuje právo EU, konkrétně Obecné nařízení o ochraně osobních údajů (GDPR).
Dopad se rozšířil za Privacy Shield a zpochybnil dostatečnost standardních smluvních doložek (SCC) – dalšího běžného nástroje pro přenos dat – bez dodatečných záruk. To znamená, že každý podnik, bez ohledu na velikost, který zpracovává osobní údaje z EU a přenáší je do USA, musí nyní provádět důkladnou náležitou péči, aby zajistil soulad.
Zánik Privacy Shield a jeho následky
Před Schrems II umožňoval Privacy Shield společnostem samocertifikovat své dodržování zásad ochrany dat EU, což zjednodušovalo transatlantické datové toky. Jeho zrušení zanechalo prázdnotu a donutilo podniky přehodnotit své strategie přenosu dat. ESD zjistil, že pravomoci amerických veřejných orgánů k přístupu k datům, bez účinného soudního opravného prostředku pro subjekty údajů z EU, zásadně podkopávají ochranu nabízenou Privacy Shield. To vytvořilo okamžitou nejistotu pro podniky spoléhající se na cloudové služby, CRM, HR platformy a další SaaS řešení se sídlem v USA, která zpracovávají osobní údaje z EU.
Vyvíjející se role standardních smluvních doložek (SCC)
Zatímco ESD potvrdil obecnou platnost SCC, objasnil, že nejsou všelékem. Exportéři dat (společnosti z EU) a importéři (společnosti mimo EU) musí nyní případ od případu posoudit, zda zákony přijímající země zajišťují úroveň ochrany „v podstatě rovnocennou“ té podle práva EU. Pokud ne, musí být implementována doplňková opatření k překlenutí případných mezer. Evropská komise následně v červnu 2021 aktualizovala SCC, čímž poskytla modulárnější a komplexnější rámec, ale povinnost náležité péče zůstává pevně na straně exportéra dat.
Proč je Schrems II důležitý pro malé podniky
Mnoho majitelů malých podniků se může mylně domnívat, že složitá rozhodnutí o ochraně osobních údajů ovlivňují pouze velké nadnárodní korporace. Pokud však vaše firma působí v EU, obsluhuje zákazníky z EU nebo zaměstnává obyvatele EU a používá jakoukoli cloudovou službu se sídlem v USA pro ukládání nebo zpracování osobních údajů, rozhodnutí Schrems II se vás přímo týká. To zahrnuje široce používané nástroje pro e-mail, řízení vztahů se zákazníky (CRM), lidské zdroje a dokonce i sledování pracovní doby zaměstnanců.
Skrytá rizika v každodenních operacích
Představte si malou restauraci v Berlíně, která používá poskytovatele mezd se sídlem v USA, nebo úklidovou společnost v Paříži, která spravuje docházku zaměstnanců prostřednictvím cloudové aplikace se servery v USA. V obou scénářích jsou osobní údaje (jména, adresy, bankovní údaje, záznamy o docházce) přenášeny přes Atlantik. Bez řádných záruk po Schrems II by tyto přenosy mohly být považovány za nezákonné, což by podnik vystavilo značným rizikům. Složitost spočívá v identifikaci všech takových datových toků a zajištění, že každý z nich splňuje přísnější požadavky na dodržování předpisů.
Potenciální sankce a narušení podnikání
Nedodržování GDPR, umocněné rozhodnutím Schrems II, s sebou nese značné sankce. Pokuty mohou dosáhnout až 4 % ročního globálního obratu společnosti nebo 20 milionů EUR, podle toho, která částka je vyšší. Kromě finančních sankcí hrozí podnikům poškození pověsti, ztráta důvěry zákazníků a provozní narušení, pokud regulační orgány nařídí zastavení přenosu dat. Pro malý podnik by takový výsledek mohl být katastrofální. Proaktivní dodržování předpisů je mnohem nákladově efektivnější a udržitelnější strategie než reaktivní řízení škod.
Klíčové principy pro dodržování přenosu dat po Schrems II
Navigace v prostředí po Schrems II vyžaduje strukturovaný přístup. Důraz se přesunul od spoléhání se výhradně na rámce k podrobnějšímu posouzení každého přenosu dat na základě rizik. Zde jsou základní principy:
Nepostradatelná role posouzení dopadu přenosu (TIA)
TIA je nyní povinným krokem pro jakýkoli přenos dat mimo EU na základě SCC. Zahrnuje posouzení zákonů a praktik třetí země (umístění importéra dat) s cílem zjistit, zda podkopávají ochranu poskytovanou SCC. To zahrnuje posouzení pravděpodobnosti přístupu veřejných orgánů k datům bez řádného procesu. Pokud TIA odhalí rizika, jsou vyžadována doplňková opatření.
Implementace robustních doplňkových opatření
Pokud TIA zjistí nedostatečnou ochranu, musí být implementována doplňková opatření. Ta mohou být technická, organizační nebo smluvní:
- Technická opatření: End-to-end šifrování, pseudonymizace nebo anonymizace dat před přenosem. Například zajištění, že i když jsou data zachycena, nelze je snadno dešifrovat.
- Organizační opatření: Vnitřní zásady, zprávy o transparentnosti od importérů dat, pravidelné audity a přísné kontroly přístupu k datům.
- Smluvní opatření: Silnější doložky v rámci SCC, které vyžadují, aby importér dat zpochybnil žádosti o přístup od veřejných orgánů nebo aby informoval exportéra dat o takových žádostech.
Cílem je dosáhnout úrovně ochrany „v podstatě rovnocenné“ standardu požadovaného právem EU.
Jak navigovat v ochraně osobních údajů: Praktické kroky pro malé podniky
Dodržování Schrems II, i když se zdá být skličující, je dosažitelné systematickým přístupem. Zde jsou praktické kroky pro malé podniky:
- Inventarizujte své přenosy dat: Vytvořte komplexní mapu všech osobních údajů, které vaše firma shromažďuje, odkud pocházejí (např. zaměstnanci EU, zákazníci), kde jsou uloženy a do kterých třetích zemí jsou přenášeny. Identifikujte všechny své poskytovatele SaaS a jejich umístění serverů.
- Zkontrolujte a aktualizujte smlouvy s poskytovateli služeb: Zajistěte, aby všechny smlouvy týkající se mezinárodních přenosů dat obsahovaly nejnovější standardní smluvní doložky (prováděcí rozhodnutí EK 2021/914).
- Proveďte posouzení dopadu přenosu (TIA): Pro každý identifikovaný přenos dat do třetí země proveďte TIA. Zdokumentujte své posouzení místních zákonů a praktik a zjištěných rizik.
- Implementujte doplňková opatření: Na základě vašich TIA implementujte nezbytné technické, organizační a smluvní záruky. To může zahrnovat výběr poskytovatelů, kteří nabízejí hostování dat v EU nebo robustní šifrování.
- Vyhodnoťte dodržování předpisů vašimi poskytovateli služeb: Spojte se se svými poskytovateli SaaS (např. pro sledování času, CRM, mzdy), abyste pochopili jejich strategie dodržování Schrems II, možnosti rezidence dat a bezpečnostní certifikace. Požádejte o jejich TIA nebo důkazy o doplňkových opatřeních.
- Upřednostněte minimalizaci dat: Shromažďujte a přenášejte pouze ty osobní údaje, které jsou pro vaše obchodní operace naprosto nezbytné. Méně dat znamená menší riziko.
- Vše dokumentujte: Udržujte důkladné záznamy o mapování dat, TIA, implementovaných opatřeních a komunikaci se zpracovateli dat. Tato dokumentace je klíčová pro prokázání odpovědnosti dozorovým orgánům.
Zde je rychlý kontrolní seznam, který vám pomůže udržet si přehled:
| Krok dodržování předpisů | Stav | Poznámky |
|---|---|---|
| Inventura dat dokončena | □ | Identifikovány všechny přenosy osobních údajů z EU |
| SCC aktualizovány | □ | Používají se nejnovější standardní smluvní doložky EK |
| TIA provedena | □ | Pro všechny přenosy dat mimo EU |
| Doplňková opatření implementována | □ | Technické, organizační, smluvní záruky zavedeny |
| Prověření dodavatelů dokončeno | □ | Potvrzena připravenost poskytovatelů SaaS na Schrems II |
| Minimalizace dat aplikována | □ | Shromažďována a přenášena pouze nezbytná data |
| Dokumentace udržována | □ | Záznamy o všech snahách o dodržování předpisů |
Výběr vyhovujících SaaS řešení pro data zaměstnanců
Pokud jde o citlivá data zaměstnanců – jako jsou záznamy o docházce, mzdové informace a osobní identifikátory – výběr vyhovujícího SaaS řešení je nanejvýš důležitý. Podniky musí jít nad rámec základní funkčnosti a pečlivě zkoumat postupy poskytovatele v oblasti ochrany dat, zejména s ohledem na rozhodnutí Schrems II. Upřednostněte transparentnost ohledně umístění zpracování dat, robustní bezpečnostní opatření a proaktivní přístup k dodržování GDPR.
Zde nabízí WorkTime One (worktime.one) zřetelnou výhodu. Jako automatické SaaS řešení pro sledování pracovní doby zaměstnanců WorkTime One využívá chytré zámky TTLock pro příchod/odchod. Zatímco fyzický příchod se děje lokálně u dveří vaší kanceláře pomocí RFID karet, otisků prstů, PIN kódů, Bluetooth nebo dočasných přístupových kódů, data o docházce jsou bezpečně zpracovávána a ukládána v cloudu. Chápeme kritickou důležitost ochrany dat pro záznamy zaměstnanců a jsme odhodláni k robustním postupům zabezpečení a ochrany dat, čímž zajišťujeme, že data o docházce vašich zaměstnanců jsou zpracovávána s péčí.
Na rozdíl od řešení, která se spoléhají na nepřetržité sledování GPS nebo příchody prostřednictvím mobilních aplikací, které by mohly shromažďovat více dat, než je nutné, se WorkTime One zaměřuje na základní data o docházce zachycená přímo v místě vstupu. Tento přístup ze své podstaty podporuje princip minimalizace dat. Náš systém poskytuje docházku v reálném čase, podrobné zprávy a automatické výpočty mezd, vše dostupné z bezpečného ovládacího panelu. WorkTime One používá standardní bezpečnostní opatření, včetně šifrování a kontrol přístupu, k ochraně vašich dat, v souladu s obecnými zásadami ochrany dat.
WorkTime One nabízí flexibilní a cenově dostupné plány, které zpřístupňují dodržování předpisů podnikům všech velikostí:
- Zdarma: Až pro 3 zaměstnance – není vyžadována kreditní karta.
- Starter: 2,99 $/zaměstnance/měsíc (až 15 zaměstnanců).
- Business: 1,99 $/zaměstnance/měsíc (až 50 zaměstnanců).
- Enterprise: 0,49 $/zaměstnance/měsíc (neomezený počet zaměstnanců).
Výběrem WorkTime One investujete do řešení, které nejen zefektivňuje vaše operace, ale také podporuje váš závazek k ochraně osobních údajů. Prozkoumejte transparentní ceny WorkTime One a najděte perfektní řešení pro vaše podnikání.
Často kladené otázky o Schrems II a ochraně osobních údajů
Pochopení nuancí mezinárodních přenosů dat může být náročné. Zde jsou některé běžné otázky, na které jsme odpověděli, abychom pomohli objasnit rozhodnutí Schrems II a jeho důsledky pro vaše podnikání.
Co přesně rozhodnutí Schrems II zneplatnilo?
Rozhodnutí Schrems II, vydané Evropským soudním dvorem 16. července 2020, zneplatnilo rámec EU-US Privacy Shield. Tento rámec byl dříve používán tisíci společností k legálnímu přenosu osobních údajů z EU do Spojených států.
Jsou standardní smluvní doložky (SCC) stále platné po Schrems II?
Ano, standardní smluvní doložky (SCC) zůstávají platným mechanismem pro mezinárodní přenosy dat. Rozhodnutí Schrems II však objasnilo, že samy o sobě nestačí. Exportéři dat musí nyní provést posouzení dopadu přenosu (TIA), aby zajistili, že zákony přijímající země poskytují „v podstatě rovnocennou“ úroveň ochrany dat jako právo EU, a v případě potřeby implementovat doplňková opatření.
Co je posouzení dopadu přenosu (TIA)?
Posouzení dopadu přenosu (TIA) je povinné posouzení, které musí exportéři dat provést před přenosem osobních údajů do třetí země na základě SCC. Zahrnuje posouzení právního rámce přijímající země, zejména s ohledem na pravomoci vládního dohledu, s cílem zjistit, zda podkopává ochranu nabízenou SCC. TIA pomáhá identifikovat rizika a určit, zda jsou potřebná doplňková opatření.
Jak rozhodnutí Schrems II ovlivňuje malé podniky využívající cloudové služby?
Pokud vaše malá firma používá jakéhokoli poskytovatele cloudových služeb, který zpracovává osobní údaje z EU na serverech umístěných v USA (nebo v jakékoli jiné třetí zemi bez rozhodnutí o odpovídající ochraně), jste přímo ovlivněni. Musíte zajistit, aby tyto přenosy dat splňovaly požadavky po Schrems II, včetně aktualizovaných SCC s vašimi poskytovateli, provádění TIA a implementace doplňkových opatření k ochraně dat.
Je WorkTime One v souladu s GDPR a principy Schrems II?
WorkTime One (worktime.one) se zavázal k robustním postupům zabezpečení a ochrany dat, v souladu s principy GDPR. Zatímco rozhodnutí Schrems II se primárně zabývá legalitou přenosů dat do třetích zemí, WorkTime One poskytuje bezpečnou platformu pro správu dat o docházce zaměstnanců. Zaměřujeme se na minimalizaci dat, shromažďování pouze nezbytných dat pro sledování času a mzdy. Naše cloudová infrastruktura je navržena s ohledem na bezpečnost, využívá šifrování a kontroly přístupu k ochraně vašich dat. Neustále pracujeme na tom, abychom zajistili, že naše operace a postupy nakládání s daty podporují úsilí našich zákazníků o dodržování předpisů, a pomáháme vám zodpovědně spravovat data zaměstnanců. Více o našem přístupu se dozvíte na našem blogu.