ZÍSKEJTE ZDARMA PŘÍSTUP K
Sledujeme nepřetržitě legislativní úpravy a pravidelně informujeme o změnách, které mohou mít dopad na vaše podnikání. Chcete i vy dostávat zajímavé odborné články a studie, užitečné tipy, informace o novinkách a legislativních změnách přímo do vaší emailové schránky?
Na co se můžete těšit? Nahlédněte do našeho Newsroomu .
Zašleme vám pouze informace, které budeme pokládat za užitečné pro vás a vaši společnost. S vašimi osobními údaji nakládáme v souladu se zásadami Ochrany osobních údajů a Prohlášení ke GDPR.
Nemůžete se přihlásit? Zkuste tuto stránku.
Dnešní svět se stává čím dál více propojeným, a tak není divu, že předávání osobních údajů do zahraničí je stále běžnějším jevem – a to jak pro mezinárodní společnosti, tak i celou řadu menších společností. Rychlý rozvoj moderních technologií a přesouvání firemních aktivit do online prostoru umožňuje firmám sdílet data v reálném čase. Při takovém sdílení velmi často dochází k předávání osobních údajů do třetích zemí.
Obecné nařízení o ochraně osobních údajů (dále jen „GDPR“) stanovilo v roce 2018 standardy pro předávání osobních údajů do zahraničí. Od účinnosti GDPR se však Soudní dvůr Evropské unie (dále jen „SDEU“) musel vypořádat s celou řadou otázek týkajících se problematiky předávání osobních údajů do zahraničí a zajištění, aby zpracování osobních údajů ve třetích zemí mimo EU/EHS odpovídalo požadavkům GDPR. Rovněž Evropská komise (dále jen „Komise“) přijala rozhodnutí týkající se nových standardních smluvních doložek, které zohledňují požadavky stanovené GDPR.
Tento článek vám poskytne stručné shrnutí pravidel předávání osobních údajů do zahraničí s ohledem na rozhodovací praxi SDEU a rozhodnutí Evropské Komise. Přidáme také doporučení, jak danou problematiku efektivně řešit v praxi.
Hovoříme-li o mezinárodním předávání osobních údajů ve smyslu GDPR, jedná se o předávání do třetích zemí, tj. nečlenských států EU. Předávání dat v rámci EU není třeba specificky regulovat, neboť právní úprava ochrany osobních údajů je po přijetí GDPR v EU harmonizována. Předáním osobních údajů do třetí země je jakékoliv sdělení, zpřístupnění nebo jiné poskytnutí osobních údajů správci, zpracovateli či jinému příjemci ve třetí zemi mimo EU. Není přitom rozhodující, kde jsou data fyzicky uložena. Aby mohlo legálně docházet k předávání dat do třetích států, musí být splněny podmínky alespoň jednoho z právních důvodů vymezených v GDPR. Těmito právními důvody jsou:
Pokud Evropská komise rozhodne, že je v určité zemi zajištěna odpovídající úroveň ochrany, je možné do této země předávat osobní údaje prakticky bez dalšího omezení. V současné době lze v tomto režimu předávat osobní údaje pouze do Andorry, Argentiny, Japonska, Kanady, Švýcarska, Izraele, Uruguaye, na Nový Zéland, Faerské ostrovy a ostrovy Guernsey, Man a Jersey. Do této skupiny patřily i USA, avšak nedávným rozhodnutím SDEU ve věci Schrems II byly ze seznamu odebrány.
GDPR rozlišuje dvě kategorie vhodných záruk, na jejichž základě lze předávání do třetích států provádět. Do první kategorie patří takové záruky, na jejichž schválení nebo vzniku se podílí dozorový úřad nebo Evropská komise. Jakmile jsou tyto záruky schváleny, lze je bez dalšího použít. Jedná se o následující:
Závazná podniková pravidla jsou dokumentem, který stanoví závazná pravidla pro holdingové skupiny nebo skupiny společností provádějících společnou ekonomickou aktivitu. Tato vnitropodniková pravidla musí obsahovat především typové vymezení předávání údajů, které se mají provádět, uvedení třetích zemí, do nichž se budou osobní údaje předávat, odpovědnost jednotlivých společností a další záležitosti.
Standardní smluvní doložky jsou vzorovým textem smlouvy, kterou správce nebo zpracovatel z EU uzavře se správcem nebo zpracovatelem ve třetí zemi. Tento text je možné včlenit do jiné smlouvy či do obchodních podmínek nebo jej užít jako text samostatné smlouvy. Standardní smluvní doložky obsahují jednotlivé možnosti (moduly) pro předávání osobních údajů do třetích zemí a mají zajistit, aby zpracování osobních údajů ve třetích zemí odpovídalo požadavkům a standardům dodržovaným v EU/EHS. Správce a zpracovatel si tak z těchto možností mohou vybrat tu pro ně nejvhodnější. Standardní smluvní doložky jsou pro své relativně snadné použití také jedním z nejvyužívanějších nástrojů pro předávání osobních údajů do třetích zemí mimo EU/EHS.
SDUE v červenci 2020 rozhodl ve věci C-311/18 („dále jen rozsudek Schrems II“) o neplatnosti tzv. Privacy Shield (štít EU-USA na ochranu soukromí), a to bez jakéhokoliv přechodného období. Privacy Shield představoval právní základ pro předávání osobních údajů do USA. Rozhodnutí Komise, kterým bylo konstatováno, že USA zajišťují odpovídající úroveň ochrany osobních údajů, bylo tímto rozsudkem zrušeno. Rozsudek Schrems II tak značně ztížil předávání osobních údajů do USA. SDEU v rozsudku Schrems II konstatoval, že osobním údajům předaným do třetích zemí musí být poskytnuta rovnocenná ochrana jako ochrana poskytovaná GDPR. V rozsudku Schrems II se SDEU rovněž zabýval otázkou platnosti rozhodnutí Komise o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemí dle směrnice 95/46/ES. SDEU došel k závěru, že rozhodnutí Komise je platné. Zdůraznil však, že pokud daná smlouva obsahující tyto doložky nezajišťuje předávaným osobním údajům ve třetí zemi rovnocennou ochranu jako poskytuje GDPR, je na odpovědnosti dovozce a vývozce osobních údajů, aby poskytli dodatečné záruky, které požadovanou ochranu zajistí.
Komise v návaznosti na tento rozsudek SDEU přijala v červenci 2021 rozhodnutí o nových standardních smluvních doložkách, které zohledňuje požadavky GDPR a nahrazuje staré standardní smluvní doložky s účinností od 27. září 2021. Využívat „staré“ standardní smluvní doložky bude možné až do 27. prosince 2022, avšak pouze za předpokladu, že dané operace zpracování zůstávají beze změny. Po 27. prosinci 2022 bude nezbytné nahradit „staré“ standardní smluvní doložky novými. Schválené kodexy chování a mechanismus pro vydání osvědčení jsou v tuto chvíli spíše mrtvou literou zákona. Aktuálně existuje kodex chování pouze pro cloudové služby a mechanismy pro vydávání osvědčení prozatím v praxi nefungují.
Do druhé kategorie vhodných záruk patří vlastní smluvní doložky, které si příslušné strany připraví samy. Ovšem i tyto doložky musí být nejprve schváleny dozorovým úřadem, aby bylo možné na jejich základě předávání do třetích států provádět.
Pokud není vydáno rozhodnutí o odpovídající ochraně ani neexistují vhodné záruky popsané výše, může k předání do třetí země dojít pouze z následujících důvodů:
Odpověď na tuto otázku se bude odvíjet vždy od konkrétní situace. Využití jedné z výše uvedených výjimek bude na místě v případech, kdy organizace běžně osobní údaje do třetích zemí nepředává, ale vyskytne se u ní více méně ojedinělá situace, která předání do třetí země vyžaduje. Nicméně také v případech, kdy dochází k pravidelnému předávání do třetích zemí, které naplňuje znaky jedné z uvedených výjimek, je možné předání založit na tomto právním důvodu.
Ve většině případů však nebude předávání na základě výjimky možné nebo praktické. Nejjednodušším způsobem pak je založit předávání na použití výše zmíněných standardních doložek. S ohledem na nové rozhodnutí Komise rovněž doporučujeme zkontrolovat stávající smluvní dokumentaci týkající se předávání osobních údajů do třetích zemí a zjistit, jaké standardní smluvní doložky jsou využívány – a případně zajistit jejich změnu.
Přijetí závazných podnikových pravidel bude nejvhodnějším instrumentem v případě nadnárodních skupin, u nichž je předávání dat do zahraničí běžnou součástí jejich činnosti. V těchto případech dává určitě smysl mít unifikovaná, propracovaná a robustní pravidla, jimiž se bude předávání řídit. Vlastní smluvní doložky lze doporučit v těch případech, kdy standardní smluvní doložky nejsou vyhovující a přijetí podnikových pravidel by bylo zbytečně komplikované řešení.
Obchodní právo | Korporátní právo | Pracovněprávní poradenství | Compliance programy | Whistleblowing | GDPR | Právo nemovitostí | Veřejné zakázky | Právo duševního vlastnictví | Sporná agenda | Založení společnosti | Likvidace společnosti | Změny v obchodních společnostech | Virtuální sídlo a správa datové schránky | Korporátní dokumenty | Prodej ready-made společností | Registrace skutečných majitelů | Online poradenský portál
Naše služby si můžete pohodlně objednat také prostřednictvím e-shopu:
O Accace Česká republika
Accace je aktivním a spolehlivým partnerem společností, které hledají špičkové poradenské a outsourcingové služby. Na náročné potřeby klientů odpovídáme chytrými řešeními, moderními technologiemi, lidským přístupem a mezinárodním přesahem. V České republice je nás již téměř 270 a pracujeme pro více než 500 firem, od start-upů přes malé a střední podniky až k nadnárodním korporacím. V rámci skupiny Accace máme již přes 800 odborníků, kteří poskytují komplexní služby více než 2 000 zákazníků.
O Accace Circle
Celosvětově působí Accace pod značkou Accace Circle, což je obchodní uskupení profesionálních poradců a poskytovatelů BPO služeb. Spojuje nás zápal pro věc a důraz na špičkovou kvalitu poskytovaných služeb bez ohledu na státní hranice. Globální zastoupení máme ve více než 50 zemích a sdružujeme téměř 2 500 profesionálů. Naše klientela čítá více než 15 000 zákazníků z různých oborů, převážně středně velkých firem a mezinárodních společností z žebříčku Fortune 500. Měsíčně zpracováváme zhruba 200 000 výplatních pásek.
