Odpoveď
V dnešnom globalizovanom svete sa uskutočňuje veľké množstvo cezhraničných prenosov osobných údajov, ktoré sa niekedy uchovávajú na serveroch v rôznych krajinách. Ochrana zabezpečená všeobecným nariadením o ochrane údajov (GDPR) cestuje s údajmi, čo znamená, že pravidlá, ktorými sa chránia osobné údaje, sa uplatňujú aj naďalej bez ohľadu na to, kde údaje skončia. Uplatňuje sa to aj vtedy, keď sú údaje prenesené do krajiny, ktorá nie je členom EÚ (ďalej len "tretia krajina").
GDPR poskytuje rôzne nástroje, ktoré zastrešujú prenos údajov z EÚ do tretej krajiny:
- tretiu krajinu niekedy možno prehlásiť za krajinu, ktorá ponúka primeranú úroveň ochrany, a to prostredníctvom rozhodnutia Európskej komisie („rozhodnutie o primeranosti“), čo znamená, že údaje možno prenášať do inej spoločnosti v danej tretej krajine bez toho, aby vývozca údajov bol povinný zabezpečiť dodatočné ochranné opatrenia alebo podliehal doplňujúcim podmienkam. Inými slovami, prenosy do „primeranej“ tretej krajiny budú porovnateľné s prevodom údajov v rámci EÚ.
- ak neexistuje rozhodnutie o primeranosti, prenos sa môže uskutočniť prostredníctvom ustanovenia primeraných ochranných opatrení a pod podmienkou, že jednotlivci majú k dispozícii vymožiteľné práva a účinnú právnu nápravu. Medzi takéto primerané ochranné opatrenia patria:
- v prípade skupiny podnikov alebo skupiny spoločností zapojených do spoločnej hospodárskej činnosti môžu spoločnosti prenášať osobné údaje na základe tzv. záväzných firemných pravidiel;
- zmluvné dohody s príjemcami osobných údajov s uplatnením napr. štandardných zmluvných doložiek schválených Európskou komisiou;
- pristúpenie ku kódexu správania alebo certifikačnému mechanizmu spoločne so získaním záväzných a vymožiteľných záväzkov od príjemcov o uplatnení primeraných ochranných opatrení v záujme ochrany prenášaných údajov;
- a napokon, ak sa plánuje prenos osobných údajov do tretej krajiny, na ktorú sa nevzťahuje rozhodnutie o primeranosti, a ak nie sú primerané ochranné opatrenia, prenos sa môže vykonať na základe niekoľkých výnimiek pre osobitné situácie, napr. keď jednotlivec výslovne súhlasil s navrhovaným prenosom po tom, ako mu boli poskytnuté všetky potrebné informácie o rizikách spojených s prenosom.
Príklad
Ste francúzska spoločnosť a plánujete rozšíriť svoje služby do Južnej Ameriky, konkrétne do Argentíny, Uruguaja a Brazílie. Prvým krokom by bolo overiť, či tieto tretie krajiny podliehajú rozhodnutiu o primeranosti. V tomto prípade Argentína aj Uruguaj boli vyhlásené za primerané. Do týchto dvoch tretích krajín by ste mohli preniesť osobné údaje bez akýchkoľvek dodatočných ochranných opatrení, zatiaľ čo prenosy do Brazílie, ktorá nepodlieha rozhodnutiu o primeranosti, budete musieť zastrešiť tak, že zabezpečíte primerané ochranné opatrenia.
Odkazy
- kapitola V (články 44 – 50) a odôvodnenia 101 – 116 GDPR
- najnovšie pracovné dokumenty Európskeho výboru pre ochranu údajov (EDPB) o medzinárodných prenosoch
- pozri aj oznámenie Európskej komisie o výmene a ochrane osobných údajov v globalizovanom svete z 10. januára 2017
Example
You're a French company intending to expand its services to South America, notably Argentina, Uruguay and Brazil. The first step would be to check whether those third countries are subject to an Adequacy Decision. In this case, both Argentina and Uruguay have been declared adequate. You’d be able to transfer personal data to those two third countries without any additional safeguards while for transfers to Brazil which is not the subject of Adequacy Decision, you’ll have to frame your transfers by providing appropriate safeguards.
References
- Chapter V, Articles (44 to 50) and Recitals (101) to (116) of the GDPR
- EDPB's latest guidelines on International transfers:
- See also for reference the European Commission Communication on Exchanging and Protecting Personal Data in a Globalised World1, 10 January 2017
1 COM(2017)7 final