Předávání osobních údajů do zemí mimo Evropský hospodářský prostor (EHP) je často nezbytné s ohledem na mezinárodní obchod nebo spolupráci. Váš malý nebo střední podnik může být nucen předat osobní údaje do země mimo EHP v rámci své činnosti, například pokud potřebujete sdílet osobní údaje se svými obchodními partnery nebo s vašimi dodavateli, kteří mají sídlo mimo EHP.
Obecné nařízení o ochraně osobních údajů obsahuje zvláštní ustanovení pro takové předávání. Těmito ustanoveními má obecné nařízení o ochraně osobních údajů zaručit rovnocennou úroveň ochrany osobních údajů, které jsou předávány na úroveň, které požívají v rámci EHP.
Kdy dochází k předávání osobních údajů mimo EHP?
Obecné nařízení o ochraně osobních údajů (GDPR) takové předávání nedefinuje. EDPB však určuje následující tři kumulativní kritéria pro identifikaci předání mimo EHP:
- na správce nebo zpracovatele se pro dané zpracování vztahuje nařízení GDPR
- tento správce nebo zpracovatel předává nebo jinak zpřístupňuje osobní údaje jiné organizaci (správci nebo zpracovateli)
- tato jiná organizace se nachází v zemi mimo EHP nebo je mezinárodní organizací.
Jak předávat osobní údaje mimo EHP?
Nařízení GDPR ukládá omezení pro předávání osobních údajů mimo EHP, do zemí mimo EHP nebo mezinárodním organizacím, aby bylo zajištěno, že úroveň ochrany fyzických osob poskytovaná nařízením GDPR zůstane stejná.
Osobní údaje mohou být předávány mimo EHP pouze v souladu s podmínkami pro takové předávání stanovenými v kapitole V. obecného nařízení o ochraně osobních údajů (GDPR).
Kromě obecného souladu s ostatními pravidly obecného nařízení o ochraně osobních údajů musí být dodrženy podmínky pro předávání osobních údajů. Tyto podmínky například představují dodatečný požadavek k základním zásadám zpracování, které je třeba dodržovat i v souvislosti s mezinárodním předáváním. Při předávání osobních údajů se musíte ujistit, že máte odpovídající právní základ pro zpracování; že jsou prováděna nezbytná bezpečnostní opatření; že zpracováváte pouze osobní údaje nezbytné pro tuto konkrétní činnost zpracování (zásada minimalizace údajů) atd.
Pokud příjemce osobních údajů jedná jako zpracovatel údajů, jste stále ze zákona povinni uzavřít smlouvu. Stejně jako byste to udělali se zpracovatelem v rámci EHP.
Podle obecného nařízení o ochraně osobních údajů existují v zásadě dva hlavní způsoby předávání osobních údajů do země mimo EHP nebo mezinárodní organizaci. Předání se může uskutečnit na základě rozhodnutí o odpovídající ochraně, nebo pokud takové rozhodnutí neexistuje, na základě vhodných záruk, včetně vymahatelných práv a opravných prostředků pro fyzické osoby. V případě neexistence rozhodnutí o odpovídající ochraně nebo vhodných záruk umožňuje obecné nařízení o ochraně osobních údajů v určitých situacích určité odchylky. Více informací o různých možnostech naleznete zde.
Předávání údajů na základě rozhodnutí o odpovídající ochraně
Evropská komise má možnost přijmout rozhodnutí o odpovídající ochraně tak, aby formálně potvrdila (se závazným účinkem pro země EHP), že úroveň ochrany údajů v zemi mimo EHP nebo v mezinárodní organizaci je v zásadě rovnocenná s úrovní ochrany osobních údajů v Evropském hospodářském prostoru.
Při posuzování přiměřenosti úrovně ochrany bere Evropská komise v úvahu prvky, jako je právní stát, dodržování lidských práv a základních svobod, jakož i to, zda jsou práva subjektů údajů účinná a vymahatelná, existence a účinné fungování nezávislého orgánu pro ochranu údajů v zemi mimo EHP a mezinárodní závazky, které tato země nebo mezinárodní organizace přijala.
Pokud Evropská komise rozhodne, že daná země poskytuje odpovídající úroveň ochrany, a je přijato rozhodnutí o odpovídající ochraně, mohou být osobní údaje předány jiné společnosti nebo organizaci v této zemi mimo EHP, aniž by vývozce údajů, tj. subjekt předávající údaje, musel poskytnout další záruky nebo podléhal dodatečným podmínkám souvisejícím s mezinárodním předáváním. Jinými slovy, předávání údajů do „přiměřené“ země mimo EHP bude srovnatelné s předáváním údajů v rámci EHP. Vaše organizace však bude muset i nadále dodržovat ostatní základní zásady obecného nařízení o ochraně osobních údajů, jak je vysvětleno výše.
Rozhodnutí o přiměřenosti se mohou vztahovat na zemi jako celek nebo mohou být omezena na její část (tj. na region). Rozhodnutí o přiměřenosti se mohou vztahovat na veškeré předávání údajů do země nebo mohou být omezena na některé druhy předávání (např. v jednom odvětví).
Evropská komise dosud přijala rozhodnutí o odpovídající ochraně pro:
- Andorra
- Argentina
- Kanada (obchodní organizace)
- Faerské ostrovy
- Guernsey
- Izrael
- Ostrov Man
- Japonsko
- Jersey
- Nový Zéland
- Korejská republika
- Švýcarsko
- Spojené království
- Spojené státy (komerční organizace účastnící se rámce EU-USA pro ochranu údajů)
- Uruguay
Evropská komise zveřejňuje seznam svých rozhodnutí o odpovídající ochraně na svých internetových stránkách.
Vývozci údajů odpovídají za sledování toho, zda jsou rozhodnutí o odpovídající ochraně týkající se jejich předávání stále v platnosti, a nikoli v procesu rušení nebo zneplatňování. Vezměte prosím na vědomí, že rozhodnutí o odpovídající ochraně nebrání fyzickým osobám podat stížnost. Nebrání ani úřadům pro ochranu osobních údajů ve výkonu jejich pravomocí podle obecného nařízení o ochraně osobních údajů.
Předávání údajů na základě vhodných záruk
Pokud neexistuje rozhodnutí o odpovídající ochraně, mohou organizace rovněž předávat osobní údaje, pokud mohou být vůči organizaci přijímající osobní údaje poskytnuty vhodné záruky.
Kromě toho musí mít fyzické osoby možnost uplatňovat svá práva a mít k dispozici účinné opravné prostředky. Článek 46 obecného nařízení o ochraně osobních údajů uvádí řadu nástrojů pro předávání, které obsahují „vhodné záruky“, které můžete použít k předávání osobních údajů do zemí mimo EHP v případě neexistence rozhodnutí o odpovídající ochraně. Hlavními typy nástrojů předávání podle článku 46 obecného nařízení o ochraně osobních údajů, které jsou relevantní pro soukromé organizace, jsou:
- standardní doložky o ochraně údajů
- Závazná podniková pravidla (BCR)
- kodexy chování
- mechanismy pro vydávání osvědčení
- Ad hoc smluvní doložky
Standardní smluvní doložky
Standardní smluvní doložky jsou souborem standardizovaných smluv, které vývozcům údajů umožňují poskytnout vhodná ochranná opatření. Jedná se o nástroj běžně používaný mnoha organizacemi. Evropská komise má pravomoc přijmout standardní smluvní doložky jako vhodnou záruku pro předávání osobních údajů do zemí mimo EHP podle čl. 46 odst. 2 písm. c) obecného nařízení o ochraně osobních údajů.
Dne 4. června 2021 přijala Evropská komise prováděcí rozhodnutí o standardních smluvních doložkách pro předávání osobních údajů do zemí mimo EHP podle obecného nařízení o ochraně osobních údajů. Evropská komise rovněž na svých internetových stránkách uvádí soubor standardních smluvních doložek.
Zde najdete více informací o standardních smluvních doložkách.
Standardní smluvní doložky se zabývají různými scénáři přenosu a složitostí moderních zpracovatelských řetězců. Správci a zpracovatelé údajů mohou v závislosti na konkrétních okolnostech předání využít několik možností, mezi něž patří:
- mezi správcem a správcem (C2C)
- mezi správcem a zpracovatelem (C2P)
- od zpracovatele ke zpracovateli (P2P)
- mezi zpracovatelem a správcem (P2C) přičemž zpracovatel se nachází v EU a správce ve třetí zemi
Mezi další důležité aspekty standardních smluvních doložek patří:
- možnost, aby doložky dodržovaly více než dvě strany
- možnost, s určitými výjimkami, používat standardní smluvní doložky při předávání osobních údajů dílčímu zpracovateli v zemi mimo EHP
- možnost, s určitými výjimkami, aby se fyzické osoby doložek dovolávaly jako oprávněné třetí strany
- pravidla týkající se odpovědnosti mezi stranami v případě porušení práv jednotlivců
- právo jednotlivců na náhradu škody utrpěné v případě porušení jejich práv jakožto oprávněné třetí strany
- požadavek provést „posouzení dopadů předání“, které zdokumentuje konkrétní okolnosti předání, právní předpisy v zemi určení a další záruky zavedené na ochranu osobních údajů
- povinnosti v případě přístupu orgánů veřejné moci k předávaným údajům, např. povinnost poskytnout informace vývozcům údajů a napadnout protiprávní žádosti
Závazná podniková pravidla (Binding Corporate Rules = BCR)
Závazná podniková pravidla pomáhají zajistit odpovídající úroveň ochrany údajů vyměňovaných v rámci skupiny společností se sídlem v EHP i mimo něj a jsou vhodnější pro nadnárodní skupinu společností, která provádí velký počet přenosů údajů.
Závazná podniková pravidla jsou vnitřní pravidla přijatá skupinou společností, která stanoví jejich globální politiku pro předávání osobních údajů. Tato pravidla musí být závazná a musí je dodržovat všechny subjekty skupiny bez ohledu na jejich hostitelské země. Kromě toho musí výslovně přiznat vymahatelná práva jednotlivcům v souvislosti se zpracováním jejich osobních údajů.
Podmínky, které musí být dodrženy, aby bylo možné získat závazná podniková pravidla schválená příslušným orgánem pro ochranu údajů, jsou uvedeny v článku 47 obecného nařízení o ochraně osobních údajů. Existují různé podmínky pro závazná podniková pravidla pro správce, která jsou stanovena v doporučeních EDPB BCR-C, a závazná podniková pravidla pro zpracovatele, která jsou stanovena v doporučeních přijatých pracovní skupinou zřízenou podle článku 29 a potvrzených EDPB
Přečtěte si více
Kodexy chování
Nařízení GDPR zavádí tento nový nástroj pro předávání údajů. Na rozdíl od závazných podnikových pravidel (BCR), která mohou být vypracována přímo jednotlivými skupinami společností, jsou kodexy chování odvětvové a vypracovávají je sdružení zastupující kategorie organizací. Musí být zaveden systém akreditovaných subjektů, které sledují dodržování kodexu chování. EDPB se ujal iniciativy s cílem vyjasnit podmínky, za nichž mohou příslušné orgány kodexy chování používat a schvalovat. Kromě toho je EDPB rovněž odpovědný za zajištění jednotnosti podmínek, za nichž mohou být subjekty pro monitorování akreditovány.
Osvědčení
Nařízení GDPR zavádí tento nový nástroj pro předávání údajů organizacím, které byly certifikovány certifikačními orgány nebo úřady pro ochranu osobních údajů v EHP. EDPB přijal pokyny k vyjasnění podmínek, za nichž lze zavést mechanismus pro vydávání osvědčení. Tento nástroj je stále ve vývoji. EDPB je rovněž odpovědný za zajištění konzistentnosti podmínek pro akreditaci subjektů pro vydávání osvědčení.
Ad hoc smluvní doložky
Pokud se správci nebo zpracovatelé údajů rozhodnou nepoužít standardní smluvní doložky Evropské komise, mohou navrhnout své vlastní smluvní doložky („doložky ad hoc“), které poskytují dostatečné záruky ochrany údajů. Před jakýmkoli předáním údajů musí být tato ad hoc smluvní ustanovení schválena příslušným vnitrostátním orgánem pro ochranu osobních údajů v souladu s čl. 46 odst. 3 písm. a) obecného nařízení o ochraně osobních údajů na základě stanoviska EDPB
Přečtěte si více
Doplňková opatření po rozhodnutí ve věci Schrems II
Soudní dvůr Evropské unie (SDEU) ve svém rozsudku C-311/18 (Schrems II) z roku 2020 zdůraznil případnou potřebu, aby organizace při předávání osobních údajů mimo EHP, kromě vhodných záruk, stanovily dodatečná opatření.
Standardní smluvní doložky a jiné nástroje pro předávání uvedené v článku 46 obecného nařízení o ochraně osobních údajů nefungují ve vakuu. Evropský soudní dvůr uvedl, že správci nebo zpracovatelé osobních údajů, kteří jednají jako vývozci, jsou v jednotlivých případech odpovědní za ověření toho, zda právo nebo praxe země mimo EHP nezasahuje, například v důsledku právních předpisů ukládajících přístup k údajům, do účinnosti vhodných záruk obsažených v nástrojích pro předávání podle článku 46 nařízení GDPR.
S cílem pomoci vývozcům se složitým úkolem posoudit země, které údaje obdrží, a v případě potřeby určit vhodná doplňková opatření, přijal EDPB doporučení.
Předávání údajů na základě výjimek
Kromě rozhodnutí o odpovídající ochraně a nástrojů předávání podle článku 46 GDPR obsahuje obecné nařízení o ochraně osobních údajů třetí cestu, která v určitých situacích umožňuje předávání osobních údajů. Za určitých podmínek můžete i nadále předávat osobní údaje na základě výjimky uvedené v článku 49 obecného nařízení o ochraně osobních údajů.
Článek 49 GDPR má výjimečnou povahu. Odchylky musí být vykládány způsobem, který není v rozporu se samotnou povahou odchylek, jako výjimky z pravidla, že osobní údaje nesmějí být předány do země mimo EHP, pokud tato země nezajistí odpovídající úroveň ochrany osobních údajů nebo pokud nebudou zavedeny vhodné záruky. Výjimky se v praxi nemohou stát „pravidlem“, ale musí být omezeny na konkrétní situace.
Na základě článku 49 GDPR může být předání nebo soubor předání proveden, pokud je předání:
- učiněno s výslovným souhlasem fyzické osoby
- nezbytné pro plnění smlouvy mezi jednotlivcem a organizací nebo pro předsmluvní kroky učiněné na žádost jednotlivce
- nezbytné pro plnění smlouvy uzavřené v zájmu fyzické osoby mezi správcem osobních údajů a jinou osobou
- nezbytné z důležitých důvodů veřejného zájmu
- nezbytné pro určení, výkon nebo obhajobu právních nároků
- nezbytné pro ochranu životně důležitých zájmů dotyčné osoby nebo jiných osob, pokud tato osoba není fyzicky nebo právně způsobilá udělit souhlas nebo
- vytvořeno z rejstříku, který je podle vnitrostátního práva země EHP nebo práva EU určen k poskytování informací veřejnosti (a který je přístupný veřejnosti obecně nebo těm, kteří mohou prokázat oprávněný zájem na nahlížení do rejstříku).
K posouzení nezbytnosti převodu je třeba použít určitý ‚test nezbytnosti‘. Tento test vyžaduje vyhodnocení toho, zda lze předání osobních údajů považovat za nezbytné pro konkrétní účel dané odchylky.
Pokud se na konkrétní situaci nevztahuje žádná z výše uvedených odchylek, je možné předat údaje pro naléhavé oprávněné zájmy správce údajů.
Tyto převody jsou však povoleny pouze tehdy, pokud převod:
- není opakující se (obdobné převody se neprovádějí pravidelně);
- zahrnuje údaje týkající se pouze omezeného počtu osob;
- je nezbytné pro účely závažných oprávněných zájmů organizace (za předpokladu, že nad těmito zájmy nepřevažují zájmy jednotlivce);
- podléhá vhodným zárukám zavedeným organizací (na základě posouzení všech okolností souvisejících s předáním) za účelem ochrany osobních údajů; a
- není prováděna orgánem veřejné moci při výkonu jeho veřejných pravomocí.
V těchto případech jsou organizace povinny informovat příslušný orgán pro ochranu osobních údajů o předání a poskytnout fyzickým osobám další informace.
Obecně by odchylky měly být použity pouze jako poslední možnost pro vymezení předávání údajů – organizace by měly nejprve posoudit, zda není možné použít rozhodnutí o odpovídající ochraně nebo vhodnou záruku.
Pokud se opíráte o výjimky podle článku 49 nařízení GDPR, musíte mít na paměti, že organizace předávající údaje musí rovněž dodržovat další ustanovení nařízení GDPR (mají právní základ pro sdělování údajů, provádějí bezpečnostní opatření, minimalizaci údajů, podepisují smlouvu, je-li příjemcem zpracovatel osobních údajů atd.).