Nová evropská úprava ochrany osobních údajů: předávání osobních údajů do třetích zemí

Mezinárodní obchody jsou často spojeny s předáváním osobních údajů za hranice jednoho státu. Příkladem jsou situace, kdy jsou údaje ukládány na serveru ve třetí zemi, tzn. zemi mimo EHP, nebo když má k údajům evropské společnosti v rámci poskytování služeb přístup IT-společnost ze třetí země. Pokud by mělo dojít k předávání dat do třetí země, musí být dodržena ustanovení GDPR.

ROZHODNUTÍ O ODPOVÍDAJÍCÍ OCHRANĚ

Evropská komise může rozhodnutím o odpovídající ochraně rozhodnout, zda je v konkrétní přijímající zemi dostatečně vysoká úroveň ochrany osobních údajů. Doposud Komise takovýto status přiznala Andoře, Argentině, Faerským ostrovům, Guernsey, Jersey, Kanadě, Izraeli, Isle of Man, Švýcarsku, Novému Zélandu a Uruguayi. Na předávání osobních údajů do těchto zemí je tedy nahlíženo jako na předávání uvnitř EU.

Předávat osobní údaje do USA v souladu s ochranou osobních údajů je možné v rámci programu „EU-US Privacy Shield“. Pokud americká společnost získá v tomto programu osvědčení, může předávání osobních údajů této společnosti probíhat v podstatě bez zvláštního povolení.

OSTATNÍ VHODNÉ ZÁRUKY

Pokud nebylo uděleno rozhodnutí o odpovídající ochraně, může předávání osobních údajů do třetích zemí probíhat bez zvláštního povolení jen tehdy, pokud budou dány vhodné záruky a subjektům údajů budou příslušet vymahatelná práva a účinná právní ochrana. Jinak je z pravidla nutné získat zvláštní povolení dozorového úřadu. Vhodnými zárukami jsou například:

Závazná podniková pravidla na ochranu osobních údajů

Závazná podniková pravidla (Binding Corporate Rules ‘BCR‘) jsou pravidla, která jsou uplatňována v podnicích spojených do jedné skupiny podniků v jedné nebo více třetích zemích. BCR musí být právně závazná a platná pro všechny dotčené členy dané skupiny podniků, musí být schválena příslušným dozorovým úřadem a splňovat minimální nároky na právní ochranu údajů.

Standardní doložky na ochranu údajů

Předávání osobních údajů do třetí země může probíhat také na základě vzorových smluvních ujednání, která (i) byla vydána Komisí nebo (ii) byla vydána dozorovým úřadem a schválena Komisí. Komise již v letech 2001, 2004 a 2010 zveřejnila tyto vzorové smlouvy pro předávání údajů mezi správci osobních údajů nebo mezi správci a zpracovatelem osobních údajů, které ovšem ne zcela splňují nové požadavky GDPR.

Schválené kodexy chování

Spolky a jiné instituce mohou vydat kodexy chování pro jimi zastupované podniky, které mohou také sloužit jako základ pro předávání osobních údajů, pokud je schválí dozorový úřad.

Schválený mechanismus pro vydání osvědčení

Nařízení GDPR podporuje vytváření mechanismů pro vydání osvědčení chránících osobní údaje prostřednictvím zřizování grémií, které budou akreditovaná pro audit a vydávání osvědčení o souladu s GDPR.

VÝJIMKY

Navzdory chybějícímu rozhodnutí o odpovídající ochraně nebo nedostačujícím zárukám, mohou být údaje předávány i tehdy, když byl subjekt údajů poučen o možných rizicích předávání údajů a výslovně s nimi souhlasil. Další výjimku tvoří případ, kdy předávání osobních údajů je nezbytné pro uzavření nebo splnění smlouvy uzavřené se subjektem údajů nebo v jeho zájmu, nebo pokud je nezbytné pro dosažení podstatných zájmů subjektu údajů, jako základ žalob nebo jejich uplatnění nebo obhajoba.

Kolegové z našich poboček Vám budou kdykoli rádi k dispozici a zodpoví Vám veškeré případné další dotazy.