Zpět na novinky
Whistleblowing: přehledně o ochraně oznamovatelů
Prohlédnout e-book
Mailchimp - subscribe form sidebar

Předávání osobních údajů do zahraničí

23. září 2021
Tento článek je dostupný také v
angličtině

Dnešní svět se stává čím dál více propojeným, a tak není divu, že předávání osobních údajů do zahraničí je stále běžnějším jevem – a to jak pro mezinárodní společnosti, tak i celou řadu menších společností. Rychlý rozvoj moderních technologií a přesouvání firemních aktivit do online prostoru umožňuje firmám sdílet data v reálném čase. Při takovém sdílení velmi často dochází k předávání osobních údajů do třetích zemí.

Stáhnout článek jako PDF

Obecné nařízení o ochraně osobních údajů (dále jen „GDPR“) stanovilo v roce 2018 standardy pro předávání osobních údajů do zahraničí. Od účinnosti GDPR se však Soudní dvůr Evropské unie (dále jen „SDEU“) musel vypořádat s celou řadou otázek týkajících se problematiky předávání osobních údajů do zahraničí a zajištění, aby zpracování osobních údajů ve třetích zemí mimo EU/EHS odpovídalo požadavkům GDPR. Rovněž Evropská komise (dále jen „Komise“) přijala rozhodnutí týkající se nových standardních smluvních doložek, které zohledňují požadavky stanovené GDPR.

Tento článek vám poskytne stručné shrnutí pravidel předávání osobních údajů do zahraničí s ohledem na rozhodovací praxi SDEU a rozhodnutí Evropské Komise. Přidáme také doporučení, jak danou problematiku efektivně řešit v praxi.

Úvod

Hovoříme-li o mezinárodním předávání osobních údajů ve smyslu GDPR, jedná se o předávání do třetích zemí, tj. nečlenských států EU. Předávání dat v rámci EU není třeba specificky regulovat, neboť právní úprava ochrany osobních údajů je po přijetí GDPR v EU harmonizována. Předáním osobních údajů do třetí země je jakékoliv sdělení, zpřístupnění nebo jiné poskytnutí osobních údajů správci, zpracovateli či jinému příjemci ve třetí zemi mimo EU. Není přitom rozhodující, kde jsou data fyzicky uložena. Aby mohlo legálně docházet k předávání dat do třetích států, musí být splněny podmínky alespoň jednoho z právních důvodů vymezených v GDPR. Těmito právními důvody jsou:

  • předání založené na rozhodnutí o odpovídající ochraně,
  • předání založené na vhodných zárukách,
  • předání založené na čerpání výjimky pro specifické situace.

Předání založené na rozhodnutí o odpovídající ochraně

Pokud Evropská komise rozhodne, že je v určité zemi zajištěna odpovídající úroveň ochrany, je možné do této země předávat osobní údaje prakticky bez dalšího omezení. V současné době lze v tomto režimu předávat osobní údaje pouze do Andorry, Argentiny, Japonska, Kanady, Švýcarska, Izraele, Uruguaye, na Nový Zéland, Faerské ostrovy a ostrovy Guernsey, Man a Jersey. Do této skupiny patřily i USA, avšak nedávným rozhodnutím SDEU ve věci Schrems II byly ze seznamu odebrány.

Předání založené na vhodných zárukách

GDPR rozlišuje dvě kategorie vhodných záruk, na jejichž základě lze předávání do třetích států provádět. Do první kategorie patří takové záruky, na jejichž schválení nebo vzniku se podílí dozorový úřad nebo Evropská komise. Jakmile jsou tyto záruky schváleny, lze je bez dalšího použít. Jedná se o následující:

  • závazná podniková pravidla,
  • standardní smluvní doložky,
  • schválený kodex chování,
  • schválený mechanismus pro vydání osvědčení.

Závazná podniková pravidla jsou dokumentem, který stanoví závazná pravidla pro holdingové skupiny nebo skupiny společností provádějících společnou ekonomickou aktivitu. Tato vnitropodniková pravidla musí obsahovat především typové vymezení předávání údajů, které se mají provádět, uvedení třetích zemí, do nichž se budou osobní údaje předávat, odpovědnost jednotlivých společností a další záležitosti.

Standardní smluvní doložky jsou vzorovým textem smlouvy, kterou správce nebo zpracovatel z EU uzavře se správcem nebo zpracovatelem ve třetí zemi. Tento text je možné včlenit do jiné smlouvy či do obchodních podmínek nebo jej užít jako text samostatné smlouvy. Standardní smluvní doložky obsahují jednotlivé možnosti (moduly) pro předávání osobních údajů do třetích zemí a mají zajistit, aby zpracování osobních údajů ve třetích zemí odpovídalo požadavkům a standardům dodržovaným v EU/EHS. Správce a zpracovatel si tak z těchto možností mohou vybrat tu pro ně nejvhodnější. Standardní smluvní doložky jsou pro své relativně snadné použití také jedním z nejvyužívanějších nástrojů pro předávání osobních údajů do třetích zemí mimo EU/EHS.

Rozsudek Schrems II

SDUE v červenci 2020 rozhodl ve věci C-311/18 („dále jen rozsudek Schrems II“) o neplatnosti tzv. Privacy Shield (štít EU-USA na ochranu soukromí), a to bez jakéhokoliv přechodného období. Privacy Shield představoval právní základ pro předávání osobních údajů do USA. Rozhodnutí Komise, kterým bylo konstatováno, že USA zajišťují odpovídající úroveň ochrany osobních údajů, bylo tímto rozsudkem zrušeno. Rozsudek Schrems II tak značně ztížil předávání osobních údajů do USA. SDEU v rozsudku Schrems II konstatoval, že osobním údajům předaným do třetích zemí musí být poskytnuta rovnocenná ochrana jako ochrana poskytovaná GDPR. V rozsudku Schrems II se SDEU rovněž zabýval otázkou platnosti rozhodnutí Komise o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemí dle směrnice 95/46/ES. SDEU došel k závěru, že rozhodnutí Komise je platné. Zdůraznil však, že pokud daná smlouva obsahující tyto doložky nezajišťuje předávaným osobním údajům ve třetí zemi rovnocennou ochranu jako poskytuje GDPR, je na odpovědnosti dovozce a vývozce osobních údajů, aby poskytli dodatečné záruky, které požadovanou ochranu zajistí.

Komise v návaznosti na tento rozsudek SDEU přijala v červenci 2021 rozhodnutí o nových standardních smluvních doložkách, které zohledňuje požadavky GDPR a nahrazuje staré standardní smluvní doložky s účinností od 27. září 2021. Využívat „staré“ standardní smluvní doložky bude možné až do 27. prosince 2022, avšak pouze za předpokladu, že dané operace zpracování zůstávají beze změny. Po 27. prosinci 2022 bude nezbytné nahradit „staré“ standardní smluvní doložky novými. Schválené kodexy chování a mechanismus pro vydání osvědčení jsou v tuto chvíli spíše mrtvou literou zákona. Aktuálně existuje kodex chování pouze pro cloudové služby a mechanismy pro vydávání osvědčení prozatím v praxi nefungují.

Do druhé kategorie vhodných záruk patří vlastní smluvní doložky, které si příslušné strany připraví samy. Ovšem i tyto doložky musí být nejprve schváleny dozorovým úřadem, aby bylo možné na jejich základě předávání do třetích států provádět.

Předání založené na čerpání výjimky

Pokud není vydáno rozhodnutí o odpovídající ochraně ani neexistují vhodné záruky popsané výše, může k předání do třetí země dojít pouze z následujících důvodů:

  • daný subjekt údajů byl informován o možných rizicích, která pro něj v důsledku absence rozhodnutí o odpovídající ochraně a vhodných záruk vyplývají, a následně k navrhovanému předání vydal svůj výslovný souhlas;
  • předání je nezbytné pro splnění smlouvy mezi subjektem údajů a správcem nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů;
  • předání je nezbytné pro uzavření nebo splnění smlouvy, která byla uzavřena v zájmu subjektu údajů mezi správcem a jinou fyzickou nebo právnickou osobou;
  • předání je nezbytné z důležitých důvodů veřejného zájmu;
  • předání je nezbytné pro určení, výkon nebo obhajobu právních nároků;
  • předání je nezbytné k ochraně životně důležitých zájmů subjektu údajů nebo jiných osob v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit svůj souhlas.

Jakým způsobem nejefektivněji řešit předávání do třetích zemí?

Odpověď na tuto otázku se bude odvíjet vždy od konkrétní situace. Využití jedné z výše uvedených výjimek bude na místě v případech, kdy organizace běžně osobní údaje do třetích zemí nepředává, ale vyskytne se u ní více méně ojedinělá situace, která předání do třetí země vyžaduje. Nicméně také v případech, kdy dochází k pravidelnému předávání do třetích zemí, které naplňuje znaky jedné z uvedených výjimek, je možné předání založit na tomto právním důvodu.

Ve většině případů však nebude předávání na základě výjimky možné nebo praktické. Nejjednodušším způsobem pak je založit předávání na použití výše zmíněných standardních doložek. S ohledem na nové rozhodnutí Komise rovněž doporučujeme zkontrolovat stávající smluvní dokumentaci týkající se předávání osobních údajů do třetích zemí a zjistit, jaké standardní smluvní doložky jsou využívány – a případně zajistit jejich změnu.

Přijetí závazných podnikových pravidel bude nejvhodnějším instrumentem v případě nadnárodních skupin, u nichž je předávání dat do zahraničí běžnou součástí jejich činnosti. V těchto případech dává určitě smysl mít unifikovaná, propracovaná a robustní pravidla, jimiž se bude předávání řídit. Vlastní smluvní doložky lze doporučit v těch případech, kdy standardní smluvní doložky nejsou vyhovující a přijetí podnikových pravidel by bylo zbytečně komplikované řešení.

Whistleblowing: přehledně o ochraně oznamovatelů
Prohlédnout e-book
Mailchimp - subscribe form sidebar
downloadcrosschevron-leftarrow-leftarrow-right linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram