Přeshraniční přenosy osobních údajů



Omyl první: GDPR se aplikuje pouze na území EU – a o to je pak zahraniční obchod jednodušší

Není to pravda. GDPR se vztahuje na veškerý pohyb osobních dat občanů, rezidentů, ale i osob, které se jen pohybují na území EU, ať jsou tato data kdekoli ve světě. Je tedy jedno, zda je zpracovává správce nebo zpracovatel usídlený nebo působící na území Evropské unie, nebo zda je jeho sídlo mimo EU.

Není nutné, aby sám subjekt údajů aktuálně cestoval po světě, důležité je, že putují jeho osobní data. Ať už je zpracovává správce působící v EU nebo mimo ni, vždy se jedná o zpracování osobních údajů, které podléhá GDPR a stejná pravidla by tedy měla platit kdekoli ve světě. Toto pravidlo si však ne vždy firmy nebo organizace uvědomují, a to ani ty evropské. O těch ze třetích zemích ani nemluvě.

Více čtěte ve SPECIÁLU: GDPR a jeho dopady na firmy

GDPR v tomto ohledu totiž ve svém článku 3 stanoví:

1. Toto nařízení se vztahuje na zpracování osobních údajů v souvislosti s činnostmi provozovny správce nebo zpracovatele v Unii bez ohledu na to, zda zpracování probíhá v Unii či mimo ni.
2. Toto nařízení se vztahuje na zpracování osobních údajů subjektů údajů, které se nacházejí v Unii, správcem nebo zpracovatelem, který není usazen v Unii, pokud činnosti zpracování souvisejí:

• s nabídkou zboží nebo služeb těmto subjektům údajů v Unii, bez ohledu na to, zda je od subjektů údajů požadována platba; nebo
• s monitorováním jejich chování, pokud k němu dochází v rámci Unie.

V médiích se dokonce objevují „zaručené“ informace, že při zahraničním obchodu a přenosu dat mimo EU si firmy mohou „ulevit“, protože se zbaví přísných pravidel, která stanovuje GDPR pro zpracování údajů v Unii. Jak již sami můžete z řečeného odhadovat, nezakládá se tato domněnka na pravdě – pokud jsou totiž při zahraničním obchodu zpracovávány osobní údaje zaměstnanců nebo subdodavatelů, kteří bydlí nebo sídlí v EU, je třeba aplikovat GDPR i mimo hranice EU.

Omyl druhý: GDPR se vůbec netýká zahraničního obchodu firmy

Právě naopak. Pro oblast zahraničního obchodu (myšleno pro obchod se třetími zeměmi, mimo EU a EHP) platí poměrně přísná omezení, které si firmy obvykle neuvědomují. Evropská komise totiž svým rozhodnutím vymezuje pravidelně doplňovaný výčet třetích zemí, které považuje z pohledu ochrany osobních údajů za země poskytující ochranu srovnatelnou, jako je tomu v EU.

Těmi je pouhých 12 států, teritorií nebo i částečně oborově nebo jinak vymezených území, a to: Andorra, Argentina, Faerské ostrovy, jurisdikce Guernsey, Izrael, Jersey, Kanada, ostrov Man, Nový Zéland, Švýcarsko, Uruguay, USA (pouze Privacy Shield) a aktuálně je v jednání obohacení tohoto seznamu o Japonsko.

Pokud pohyb osobních dat probíhá mimo státy EU (a EHP), je nutné splnit některou z dodatečných podmínek, kterými jsou vhodné záruky či výjimky.

Vhodné záruky ve formě:

• závazných vnitropodnikových pravidel, která lze ovšem využít pouze v prostředí nadnárodních korporací,
• standardních smluvních doložek, které kopírují znění doporučené rozhodnutím Evropské komise.

Výjimky spočívající v:

1. udělení informovaného výslovného souhlasu subjektu údajů s takovým přenosem.
2. tom, že k předání dochází z veřejně přístupného rejstříku.
3. tom, že předání je nezbytné:

• pro plnění smlouvy nebo předsmluvních opatření mezi subjektem údajů a správcem,
• pro uzavření nebo splnění smlouvy uzavřené se správcem osobou odlišnou od subjektu údajů a v jejím zájmu,
• z důležitých důvodů veřejného zájmu,
• pro určení, výkon nebo obhajobu právních nároků,
• k ochraně životně důležitých zájmů subjektu/jiných osob v situacích, kdy subjekt není způsobilý udělit souhlas.

V těch nejčastějších případech budou firmy pravděpodobně využívat až posledního záchranného právního titulu pro předávání do třetích zemí nebo mezinárodním organizacím a těmi jsou právě specifické výjimky. Mezi ty bude například spadat předávání dat klientů cestovních kanceláří v souvislosti s jejich dovolenými (plnění smlouvy mezi subjektem údajů a správcem) nebo vysílání zaměstnanců k výkonu práce do třetích zemí nebo mezinárodních organizací (buď plnění pracovní smlouvy s takovým zaměstnancem nebo, v případě, že ustanovení o možnosti vyslat zaměstnance na takovou služební cestu, udělení souhlasu zaměstnance s vysláním).

Pokud by ani žádnou z výjimek nebylo možné využít, je poslední únikovou možností jednorázový přenos osobních údajů s tím, že správce o něm současně musí informovat dozorový úřad – Úřad pro ochranu osobních údajů. To lze využít v situaci, kdy předání údajů:

• není opakované,
• týká se pouze omezeného počtu subjektů údajů,
• je nezbytné pro účely závažných oprávněných zájmů správce, které však nejsou převáženy zájmy nebo právy a svobodami subjektu údajů,
• pokud správce poskytl vhodné záruky pro ochranu osobních údajů.

Z dostupných informací je zřejmé, že Úřad pro ochranu osobních údajů žádné takové oznámení dosud nepřijal. To ovšem neznamená, že k podobným přenosům v praxi nedochází a je jen otázkou času, kdy si na tento prohřešek dozorový úřad v Česku či jinde v Evropě při některé ze svých kontrol posvítí.

Jak tyto omyly řešit v praxi

Spoléhejte jen na zaručené informace, publikované Úřadem pro ochranu osobních údajů na jeho webové stránce nebo ve spolupráci s ním.

Pokud si nejste jisti, čerpejte z výkladových stanovisek a informací ÚOOÚ nebo Evropského sboru pro ochranu osobních údajů. Mějte na paměti, že pokud jste aktivní ve vztahu k zemím mimo EU a EHP, měli byste kontinuálně sledovat rozhodovací činnost Evropské komise na poli vydávání tzv. rozhodnutí o adekvátní ochraně, protože právě jejich obsah pro Vás bude určující co do komplikovanosti nebo naopak jednoduchosti předání dat do třetí země.

K tematice předávání osobních údajů do třetích zemí nebo mezinárodním organizacím pro Vás mohou být užitečné následující odkazy:

• Informace Úřadu pro ochranu osobních údajů k tematice předávání osobních údajů do třetích zemí
• Webová stránka Evropské komise, na které jsou publikovány informace o rozhodnutích o srovnatelné míře ochrany soukromí ve třetích zemích

Redakčně upraveno