Jaká pravidla platí, pokud naše organizace předává osobní údaje mimo EU?

Odpověď

V dnešním globalizovaném světě dochází k mnoha přeshraničním předáním osobních údajů, které jsou někdy uloženy na serverech v různých zemích. Ochrana, kterou poskytuje obecné nařízení o ochraně osobních údajů (angl. General Data Protection Regulation neboli GDPR), cestuje i s údaji, což znamená, že pravidla chránící osobní údaje platí i nadále bez ohledu na to, kde údaje skončí. To platí i v případě předání údajů do státu, který není členským státem EU (dále jen „třetí země“).

GDPR poskytuje různé nástroje pro koncipování předání údajů z EU do třetí země:

• Někdy může být na základě rozhodnutí Evropské komise prohlášeno, že určitá třetí země nabízí přiměřenou úroveň ochrany („rozhodnutí o odpovídající ochraně“), což znamená, že údaje mohou být předány jiné společnosti v této třetí zemi, aniž by bylo nutné žádat vývozce údajů o další záruky nebo bylo nutné podřídit se dalším podmínkám. Jinými slovy převody do „odpovídající“ třetí země budou srovnatelné s  převodem údajů v rámci EU.
• Při absenci rozhodnutí o odpovídající ochraně lze převod provést na základě poskytnutí vhodných záruk a pod podmínkou, že fyzickým osobám budou k dispozici vymahatelná práva a účinná právní ochrana. Mezi takové vhodné záruky patří:
  • v případě skupiny podniků nebo skupiny společností vykonávajících společnou hospodářskou činnost mohou společnosti předávat osobní údaje na základě tzv. závazných podnikových pravidel,
  • smluvní ujednání s příjemcem osobních údajů například za použití standardních smluvních ustanovení schválených Evropskou komisí,
  • dodržování kodexu chování nebo mechanismu pro vydávání osvědčení společně se získáním závazných a vymahatelných závazků od příjemce pro uplatnění vhodných záruk na ochranu předaných osobních údajů.
• A konečně pokud je plánováno předání osobních údajů do třetí země, na niž se nevztahuje rozhodnutí o přiměřenosti, a pokud chybí vhodné záruky, lze předání provést na základě řady výjimek pro specifické situace, například když fyzická osoba dostala všechny nezbytné informace o možných rizicích spojených s předáním, a následně k navrhovanému předání vydala svůj výslovný souhlas.

Příklad

Jste francouzská společnost a plánujete rozšířit své služby do Jižní Ameriky, zejména do Argentiny, Uruguaye a Brazílie. Jako první krok by se mělo zjistit, zda se na uvedené země vztahuje rozhodnutí o odpovídající ochraně. V tomto případě Argentina a Uruguay byly prohlášeny za odpovídající. Do těchto dvou třetích zemí byste mohli předávat osobní údaje bez jakýchkoli dodatečných záruk, ale pokud jde o předávání do Brazílie, na kterou se rozhodnutí o odpovídající ochraně nevztahuje, budete muset koncipovat předání osobních údajů poskytnutím vhodných záruk.

Odkazy

• Kapitola V (články 44 až 50); odůvodnění 101–116 GDPR
• Nejnovější pracovní dokumenty EDPB o mezinárodním předávání
  • Pokyny EDPB o odpovídající ochraně
  • Pokyny EDPB o závazných podnikových pravidlech pro správce
  • Pokyny EDPB o závazných podnikových pravidlech pro zpracovatele
• Pro informaci viz také sdělení Evropské komise o výměně a ochraně osobních údajů v globalizovaném světě, 10. ledna 2017

Example

You're a French company intending to expand its services to South America, notably Argentina, Uruguay and Brazil. The first step would be to check whether those third countries are subject to an Adequacy Decision. In this case, both Argentina and Uruguay have been declared adequate. You’d be able to transfer personal data to those two third countries without any additional safeguards while for transfers to Brazil which is not the subject of Adequacy Decision, you’ll have to frame your transfers by providing appropriate safeguards.