Časté dotazy našich uživatelů:
Přináší GDPR něco nového v oblasti přeshraničního předávání osobních údajů?
GDPR stojí na stejných principech jako současná právní úprava, pokud jde o volný tok osobních údajů v rámci Evropského hospodářského prostoru (EU + Norsko, Lichtenštejnsko a Island). To znamená, že pokud má nějaký správce nebo zpracovatel legitimní důvod předat osobní údaje do některého státu EHP, nebrání mu v tom žádná překážka.
V případě, že mají být osobní údaje předány do některého jiného státu, je třeba zjistit, jestli Evropská komise nevydala o tomto státu nebo jeho nějakém území rozhodnutí, že tento stát nebo území je pro osobní údaje bezpečné. Pokud takové rozhodnutí existuje (seznam tzv. bezpečných států je uveden na stránkách Úřadu pro ochranu osobních údajů www.uoou.cz), tak do těchto států je také možné předávat osobní údaje volně (např. Izrael, Nový Zéland, Švýcarsko, Argentina, nově také Japonsko).
V případě, že takové rozhodnutí neexistuje, je podle GDPR nutné poskytnout jednu ze záruk pro bezpečné zpracování osobních údajů ve třetí zemi, které GDPR upravuje (např. implementace standardních smluvních doložek vydaných Evropskou komisí do smlouvy s příjemcem ve třetí zemi, vytvoření závazných podnikových pravidel v rámci nadnárodní skupiny podniků, získání osvědčení o souladu s GDPR příjemcem v třetí zemi). Pokud není možné poskytnout záruky ze strany příjemce ve třetí zemi, pak je možné využít výjimek upravených v GDPR (např. získat výslovný informovaný souhlas subjektů údajů s předáním osobních údajů do nebezpečné země nebo prokázat, že tento přenos údajů je nutný pro splnění smlouvy uzavřené se subjektem údajů).
Podstatnou změnou oproti předchozí právní úpravě je zredukování případů, kdy je nutné žádat Úřad pro ochranu osobních údajů o povolení předat osobní údaje do třetí nebezpečné země. Zatímco podle zákona o ochraně osobních údajů bylo nutné žádat o povolení vždy, když neexistuje rozhodnutí Evropské komise nebo nejsou použity standardní smluvní doložky, podle GDPR bude nutné žádat o svolení Úřadu jen výjimečně (např. vývozce osobních údajů a jejich příjemce si uzavřou vlastní smluvní doložky o zajištění bezpečnosti údajů ve třetí zemi).