Řešení hostingu pro whistleblowing: Proč si vybrat Evropu?

Důvěryhodnost a bezpečnost dat jsou v případě whistleblowingu zásadní. Systémy whistleblowingu často pracují s citlivými informacemi týkajícími se činnosti jednotlivců nebo společnosti. Po zavedení obecného nařízení o ochraně osobních údajů (GDPR) a zrušení štítu na ochranu soukromí (více o tom níže) je nyní ochrana oznamovatelů v centru pozornosti. Externí subjekty mimo EU by v žádném případě neměly mít možnost získat informace v případech whistleblowingu. Z tohoto důvodu je stále důležitější zvolit v řešení pro oznamování nekalého jednání evropský hosting.

V tomto článku nastíníme důsledky zneplatnění štítu na ochranu soukromí mezi EU a USA i rozsudku Schrems II pro evropské společnosti používající hosting u mezinárodních firem. Zmíníme také některé důležité body, které je třeba zvážit při výběru řešení pro oznamovatele, které hostuje a spravuje osobní údaje

1. Co jsou to osobní údaje?
2. Předávání údajů mimo EU/EHP
3. Štít na ochranu soukromí
4. Rozsudek Schrems II: Důsledky
5. Jaké jsou standardní smluvní doložky EU?
6. Mohou americké společnosti zpracovávat evropské osobní údaje?
7. Dlouhodobá řešení pro předávání údajů

1. Co jsou osobní údaje?

Osobní údaje zahrnují veškeré informace o identifikované nebo identifikovatelné osobě, mimo jiné:

• jméno a adresu
• Číslo občanského průkazu a číslo pasu
• Roční příjem a plat
• kulturní profil
• IP adresa

Citlivé údaje vyžadují zvláštní ochranu, protože jejich zveřejnění by mohlo vést k významnému ohrožení základních práv a svobody jednotlivce. Patří sem informace o etnickém původu, sexualitě, politickém a náboženském přesvědčení, informace o zdravotní péči, genetické a biometrické údaje, jakož i sociální poměry a informace týkající se soukromého života osoby.

Od zavedení obecného nařízení o ochraně osobních údajů (GDPR) mohou všichni občané členských států EU požívat stejné úrovně ochrany osobních údajů. To také znamená, že můžete bezpečně předávat osobní údaje v rámci prostoru EU/EHP. Vzhledem k tomu, že mimo EU neexistují srovnatelné zákony, jsou pravidla předávání údajů do třetích zemí velmi přísná a předávání osobních údajů je povoleno pouze v určitých specifických případech.

2. Předávání údajů mimo EU: Co je to „třetí země“?

V této souvislosti se za „třetí země“ považují všechny země mimo EU / EHP. Obecně platí, že osobní údaje nesmí být předávány do třetích zemí. To platí i pro využívání externího dodavatele ke zpracování nebo ukládání údajů, včetně hostování řešení pro oznamovatele.

Podle GDPR se ochrana evropských občanů podle musí uplatňovat i při předávání osobních údajů do zemí mimo EU. Vaše organizace smí exportovat údaje do třetích zemí pouze v případě, že splňujete následující kritéria:

• Zpracování osobních údajů je v dané situaci povoleno (například plnění smlouvy).
• Bylo zajištěno, že přijímající země má odpovídající úroveň ochrany údajů podle rozhodnutí Evropské komise o odpovídající ochraně. Seznam bezpečných třetích zemí, ale nezahrnuje třeba USA.
• Pokud žádné přijatelné rozhodnutí neexistuje, budete muset zajistit dostatečné záruky ochrany údajů. Například zvláštními ustanoveními ve smlouvě s neevropskou stranou (viz níže ohledně standardních smluvních doložek EU).
• Existuje však několik výjimek. Nejdůležitější je souhlas subjektu údajů.

3. Co je to štít na ochranu soukromí?

Štít soukromí je autocertifikace ve Spojených státech, kdy americké společnosti mohou potvrdit, že splňují určité požadavky. EU dříve souhlasila s tím, že rámec štítu na ochranu soukromí zajišťuje odpovídající úroveň ochrany a poskytuje platný základ pro předávání osobních údajů z EU do Spojených států.

Po přezkoumání dohody Evropským soudním dvorem (viz níže Schrems II) bylo zjištěno, že štít na ochranu soukromí neposkytuje odpovídající právní ochranu proti sledování dat a přístupu zpravodajských programů. Právní předpisy USA by mohly některým orgánům USA umožnit požadovat přístup k osobním údajům a datům občanů EU.

4. Co je rozsudek Schrems II a jaký má dopad na evropské organizace?? 

Privacy Shield umožnil evropským společnostem využívat americké cloudové služby bez ohledu na shromažďované a ukládané osobní údaje. Přibližně 5 000 amerických společností (včetně Facebooku) rovněž využívalo štít na ochranu soukromí k získávání osobních údajů od evropských uživatelů.

Maximilian Schrems, rakouský aktivista v oblasti ochrany osobních údajů, nesouhlasil s tím, aby Facebook předával jeho osobní údaje do Spojených států. Důvodem je skutečnost, že americké zákony neposkytují dostatečnou ochranu před zpravodajskými aktivitami. Schrems se obrátil na irský úřad pro ochranu údajů a v červenci 2020 Evropský soudní dvůr rozhodl, že dohoda o štítu na ochranu soukromí mezi EU a USA neposkytuje dostatečnou ochranu. V rozsudku se jasně uvádí, že obecné nařízení EU o ochraně osobních údajů (GDPR) se musí uplatnit i v případě, kdy obchodní subjekty předávají osobní údaje mimo prostor EU/EHP.

5. Nové standardní smluvní doložky EU 

Rozsudek Schrems II zdůrazňuje, že na předávání osobních údajů se musí vztahovat ochrana fyzických osob podle GDPR. Proto je zakázáno předávat údaje do zemí s nižší ochranou osobních údajů, než jakou zaručuje EU. Předávání údajů je možné pouze v případě, že byla přijata dostatečná ochranná opatření.

V červnu 2021 přijala Evropská komise nový soubor tzv. standardních smluvních doložek. To mělo zachovat stejnou úroveň ochrany osobní svobody a základních práv, která platí v rámci EU, a usnadnit dodržování rozsudku Schrems II. Aby byly splněny všechny požadavky na bezpečné předávání osobních údajů, může být ještě nutné tyto doložky doplnit o další ochranná opatření. O tom rozhoduje správce osobních údajů organizace případ od případu.

6. Je vůbec možné, aby americké společnosti zpracovávaly evropské osobní údaje?

Velké americké společnosti poskytující cloudové služby, například Microsoft (Azure a Microsoft 365), ujistily své zákazníky, že všechny údaje budou zpracovávat a ukládat v rámci EU, a dodrží tak GDPR.

Kromě procesu vytváření paralelních struktur neexistuje žádná záruka, že tyto společnosti budou schopny obejít americkou legislativu. FISA – Foreign Intelligence Surveillance Act – je federální zákon, který umožňuje americkým orgánům přístup k evropským osobním údajům, i když se servery společnosti fyzicky nacházejí na území EU.

Maximilian Schrems je zakladatelem neziskové organizace None of Your Business (Noyb). Cílem organizace je sledovat dodržování GDPR a dalšího zpracování údajů, které by mohlo narušit soukromí. Podle něj velké americké společnosti stále podléhají zákonu FISA a na požádání musí vyhovět americkým úřadům. Švédský úřad pro ochranu soukromí IMY rovněž zahájil několik vyšetřování poté, co Noyb podal stížnosti na švédské společnosti.

7. Jaká jsou dlouhodobá řešení pro hostování služby pro oznamovatele?

V současné době neexistuje jediné, snadné a komplexní řešení pro legální zpracování osobních údajů v USA ani v žádné jiné zemi mimo EU. Pokud se správce údajů rozhodne použít standardní smluvní doložky, musí ještě v každém jednotlivém případě určit, zda je zapotřebí nějaký typ dodatečných bezpečnostních opatření.

Na vytvoření evropského digitálního ekosystému a cloudu pro ukládání dat se průběžně pracuje, což však bude vyžadovat čas. V současné době je pro evropské společnosti, které zpracovávají osobní údaje, nejlepším řešením zvolit si evropského dodavatele. Tím můžete zaručit, že všechna data jsou uložena na serverech v EU/EHP a že jsou splněny všechny požadavky podle GDPR. To platí i v případě, že předávání řídí subdodavatel.

Hostování řešení pro whistleblowery: Soukromí uživatelů musí být zaručeno procesy zpracování a zabezpečení dat

Je nesmírně důležité, aby si soukromé společnosti i veřejné organizace uvědomovaly, jaké údaje shromažďují a jak je spravují a uchovávají. Musíte vědět, v jakém prostředí váš poskytovatel služeb spravuje organizační údaje, protože mimo EU/EHP nemusí mít žádný právní základ pro zpracování osobních údajů. Výběrem evropského poskytovatele pro hosting vašeho řešení pro oznamovatele je možné se vyhnout zpracování údajů, které nezaručuje soukromí uživatelů. Je také mnohem snazší splnit všechny požadavky obecného nařízení o ochraně osobních údajů.

Pokud jde o hosting našich řešení pro whistleblowery, Whistlelink dlouhodobě spolupracuje se společností GleSYS. GleSYS je skandinávská společnost se zabezpečenými, nejmodernějšími datovými centry, která splňují všechny zákonné požadavky. Díky certifikaci ISO 27001 v oblasti systémů řízení bezpečnosti informací splňuje společnost GleSYS všechny bezpečnostní požadavky, zejména pokud jde o důvěrnost, přesnost a dostupnost, jakož i platné zákony.

Naší vizí je poskytovat všem organizacím nejlepší, nejbezpečnější a uživatelsky nejpřívětivější systém pro oznamování na trhu a bezpečnost dat bereme velmi vážně. Díky dlouhodobé spolupráci se společností GleSYS vám můžeme nabídnout kompletní službu pro oznamovatele, kde jsou všechny citlivé údaje uloženy na evropských (švédských) serverech.

Máte zájem dozvědět se více o službě whistleblowingu a bezpečných interních
oznamovacích kanálech? Více informací o směrnici EU o whistleblowingu naleznete zde
a na stránkách EUR-Lex.

Hledáte bezpečné a spolehlivé řešení pro whistleblowing? Přečtěte si více zde.

Chcete diskutovat o systému whistleblowingu pro vaši organizaci?
Kontaktujte nás nebo si objednejte bezplatnou ukázku!