Prakticky všechny lokální pobočky nadnárodních podniků sdílejí určité osobní údaje s dalšími pobočkami i s mateřskou společností, která řídí jejich činnost na globální úrovni. Vzhledem k tomu, že mezinárodní předávání dat je stále častější a v důsledku moderních technologií také sofistikovanější, bylo potřeba na tento vývoj zareagovat. To evropský zákonodárce učinil zpřesněním dřívějších pravidel pro toto předávání v obecném nařízením o ochraně osobních údajů (dále jen „GDPR“). Cílem tohoto článku je poskytnout stručné shrnutí těchto nových pravidel a doporučení, jak danou problematiku efektivně řešit v praxi.
Úvod
Pokud hovoříme o mezinárodním předávání osobních údajů ve smyslu GDPR, jedná se o předávání do třetích zemí, tj. nečlenských států EU. Předávání dat v rámci EU není třeba specificky regulovat, neboť právní úprava ochrany osobních údajů je po přijetí GDPR v EU harmonizována. Předáním osobních údajů do třetí země je jakékoliv sdělení, zpřístupnění nebo jiné poskytnutí osobních údajů správci, zpracovateli či jinému příjemci ve třetí zemi mimo EU. Není přitom rozhodující, kde jsou data fyzicky uložena. Aby mohlo legálně docházet k předávání dat do třetích států, musí být splněny podmínky alespoň jednoho z právních důvodů vymezených v GDPR. Těmito právními důvody jsou:
a) předání založené na rozhodnutí o odpovídající ochraně,
b) předání založené na vhodných zárukách,
c) předání založené na čerpání výjimky pro specifické situace.
a) předání založené na rozhodnutí o odpovídající ochraně
Pokud Evropská komise rozhodne, že je v určité zemi zajištěna odpovídající úroveň ochrany, je možné do této země předávat osobní údaje prakticky bez dalšího omezení. Výjimkou jsou Spojené státy americké, kde je nutné splnit dodatečné podmínky. V současné době lze v tomto režimu předávat osobní údaje pouze do Andory, Argentiny, Kanady, Švýcarska, Izraele, USA, Uruguaye, na Faerské ostrovy a ostrovy Guernsey, Man a Jersey.
b) předání založené na vhodných zárukách
GDPR rozlišuje dvě kategorie vhodných záruk, na jejichž základě lze předávání do třetích států provádět. Do první kategorie patří takové záruky, na jejichž schválení nebo vzniku se podílí dozorový úřad nebo Evropská komise. Jakmile jsou tyto záruky schváleny, lze je bez dalšího použít. Jedná se o následující:
- závazná podniková pravidla,
- standardní smluvní doložky,
- schválený kodex chování,
- schválený mechanismus pro vydání osvědčení.
Závazná podniková pravidla jsou dokumentem, který stanoví závazná pravidla pro holdingové skupiny nebo skupiny společností provádějících společnou ekonomickou aktivitu. Tato vnitropodniková pravidla musí obsahovat především typové vymezení předávání údajů, které se mají provádět, uvedení třetích zemí, do kterých se budou osobní údaje předávat, odpovědnost jednotlivých společností a další záležitosti.
Standardní smluvní doložky jsou vzorovým textem smlouvy, kterou správce nebo zpracovatel z EU uzavře se správcem nebo zpracovatelem ve třetí zemi. Tento text je možné včlenit do jiné smlouvy či do obchodních podmínek nebo jej užít jako text samostatné smlouvy. V současné době existují standardní doložky přijaté Evropskou komisí na základě dřívější směrnice o ochraně osobních údajů, které zůstávají v platnosti a je možné je použít. Je však třeba upozornit na to, že platnost těchto doložek je aktuálně přezkoumávána SDEU a je tak možné, že budou tímto soudem zneplatněny. V minulosti již SDEU zrušil dříve užívaná pravidla pro předávání osobních údajů do USA, a není proto vyloučeno, že k tomu dojde i v tomto případě. Schválené kodexy chování a mechanismus pro vydání osvědčení jsou v tuto chvíli spíše mrtvou literou zákona. Aktuálně existuje kodex chování pouze pro cloudové služby a mechanismy pro vydávání osvědčení prozatím v praxi nefungují.
Do druhé kategorie vhodných záruk patří vlastní smluvní doložky, které si příslušné strany připraví samy. Ovšem i tyto doložky musí být nejprve schváleny dozorovým úřadem, aby bylo možné na jejich základě předávání do třetích států provádět.
c) předání založené na čerpání výjimky pro specifické situace
Pokud není vydáno rozhodnutí o odpovídající ochraně ani neexistují vhodné záruky popsané výše, může k předání do třetí země dojít pouze z následujících důvodů:
-
daný subjekt údajů byl informován o možných rizicích, která pro něj v důsledku absence rozhodnutí o odpovídající ochraně a vhodných záruk vyplývají, a následně k navrhovanému předání vydal svůj výslovný souhlas;
-
předání je nezbytné pro splnění smlouvy mezi subjektem údajů a správcem nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů;
-
předání je nezbytné pro uzavření nebo splnění smlouvy, která byla uzavřena v zájmu subjektu údajů mezi správcem a jinou fyzickou nebo právnickou osobou;
-
předání je nezbytné z důležitých důvodů veřejného zájmu;
-
předání je nezbytné pro určení, výkon nebo obhajobu právních nároků;
-
předání je nezbytné k ochraně životně důležitých zájmů subjektu údajů nebo jiných osob v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit svůj souhlas.
Jakým způsobem nejefektivněji řešit předávání do třetích zemí?
Odpověď na tuto otázku se bude odvíjet vždy od konkrétní situace. Využití jedné z výše uvedených výjimek bude na místě v případech, kdy organizace běžně osobní údaje do třetích zemí nepředává, ale vyskytne se u ní více méně ojedinělá situace, která předání do třetí země vyžaduje. Nicméně také v případech, kdy dochází k pravidelnému předávání do třetích zemí, které naplňuje znaky jedné z uvedených výjimek, je možné předání založit na tomto právním důvodu.
Ve většině případů však nebude předávání na základě výjimky možné nebo praktické. Nejjednodušším způsobem pak je založit předávání na použití standardních doložek. Je však třeba upozornit na výše zmíněný probíhající přezkum ze strany SDEU. Pokud se organizace rozhodne použít současné standardní doložky a tyto budou následně zneplatněny, bude třeba smluvní vztahy nastavit znovu. To může být časově i administrativně náročné.
Přijetí závazných podnikových pravidel bude nejvhodnějším instrumentem v případě nadnárodních skupin, u kterých je předávání dat do zahraničí běžnou součástí jejich činnosti. V těchto případech dává určitě smysl mít unifikovaná, propracovaná a robustní pravidla, kterými se bude předávání řídit. Vlastní smluvní doložky lze doporučit v těch případech, kdy standardní smluvní doložky nejsou vyhovující a přijetí podnikových pravidel by bylo zbytečně robustní řešení.
Diskuze k článku ()