Přeshraniční přenosy osobních údajů

Přinášíme čtvrtý ze série populárně-naučných článků, kterými Svaz průmyslu a dopravy ČR vysvětluje nejčastější mýty a omyly o GDPR. Jste exportéři? A jste si jistí, že pracujete s GDPR správně? Seznamte se se dvěma nejčastějšími omyly i s tím, jak se dají napravit.

Omyl první: GDPR se aplikuje pouze na území EU – a o to je pak zahraniční obchod jednodušší

Není to pravda. GDPR se vztahuje na veškerý pohyb osobních dat občanů, rezidentů, ale i osob, které se jen pohybují na území EU, ať jsou tato data kdekoli ve světě. Je tedy jedno, zda je zpracovává správce nebo zpracovatel usídlený nebo působící na území Evropské unie, nebo zda je jeho sídlo mimo EU. Není nutné, aby sám subjekt údajů aktuálně cestoval po světě, důležité je, že putují jeho osobní data. Ať už je zpracovává správce působící v EU nebo mimo ni, vždy se jedná o zpracování osobních údajů, které podléhá GDPR a stejná pravidla by tedy měla platit kdekoli ve světě. Toto pravidlo si však ne vždy firmy nebo organizace uvědomují, a to ani ty evropské. O těch ze třetích zemích ani nemluvě.

GDPR v tomto ohledu totiž ve svém článku 3 stanoví:

1. Toto nařízení se vztahuje na zpracování osobních údajů v souvislosti s činnostmi provozovny správce nebo zpracovatele v Unii bez ohledu na to, zda zpracování probíhá v Unii či mimo ni.
2. Toto nařízení se vztahuje na zpracování osobních údajů subjektů údajů, které se nacházejí v Unii, správcem nebo zpracovatelem, který není usazen v Unii, pokud činnosti zpracování souvisejí:

• s nabídkou zboží nebo služeb těmto subjektům údajů v Unii, bez ohledu na to, zda je od subjektů údajů požadována platba; nebo
• s monitorováním jejich chování, pokud k němu dochází v rámci Unie.

V médiích se dokonce objevují „zaručené“ informace, že při zahraničním obchodu a přenosu dat mimo EU si firmy mohou „ulevit“, protože se zbaví přísných pravidel, která stanovuje GDPR pro zpracování údajů v Unii. Jak již sami můžete z řečeného odhadovat, nezakládá se tato domněnka na pravdě – pokud jsou totiž při zahraničním obchodu zpracovávány osobní údaje zaměstnanců nebo subdodavatelů, kteří bydlí nebo sídlí v EU, je třeba aplikovat GDPR i mimo hranice EU.

Omyl druhý: GDPR se vůbec netýká zahraničního obchodu firmy

Právě naopak. Pro oblast zahraničního obchodu (myšleno pro obchod se třetími zeměmi, mimo EU a EHP) platí poměrně přísná omezení, které si firmy obvykle neuvědomují. Evropská komise totiž svým rozhodnutím vymezuje pravidelně doplňovaný výčet třetích zemí, které považuje z pohledu ochrany osobních údajů za země poskytující ochranu srovnatelnou, jako je tomu v EU. Těmi je pouhých 12 států, teritorií nebo i částečně oborově nebo jinak vymezených území, a to: Andorra, Argentina, Faerské ostrovy, jurisdikce Guernsey, Izrael, Jersey, Kanada, ostrov Man, Nový Zéland, Švýcarsko, Uruguay, USA (pouze Privacy Shield) a aktuálně je v jednání obohacení tohoto seznamu o Japonsko.

Pokud pohyb osobních dat probíhá mimo státy EU (a EHP), je nutné splnit některou z dodatečných podmínek, kterými jsou vhodné záruky či výjimky.

Vhodné záruky ve formě:

• závazných vnitropodnikových pravidel, která lze ovšem využít pouze v prostředí nadnárodních korporací,
• standardních smluvních doložek, které kopírují znění doporučené rozhodnutím Evropské komise.

Výjimky spočívající v:

• udělení informovaného výslovného souhlasu subjektu údajů s takovým přenosem.
• tom, že k předání dochází z veřejně přístupného rejstříku.
• tom, že předání je nezbytné:
  • pro plnění smlouvy nebo předsmluvních opatření mezi subjektem údajů a správcem,
  • pro uzavření nebo splnění smlouvy uzavřené se správcem osobou odlišnou od subjektu údajů a v jejím zájmu,
  • z důležitých důvodů veřejného zájmu,
  • pro určení, výkon nebo obhajobu právních nároků,
  • k ochraně životně důležitých zájmů subjektu/jiných osob v situacích, kdy subjekt není způsobilý udělit souhlas.

V těch nejčastějších případech budou firmy pravděpodobně využívat až posledního záchranného právního titulu pro předávání do třetích zemí nebo mezinárodním organizacím a těmi jsou právě specifické výjimky. Mezi ty bude například spadat předávání dat klientů cestovních kanceláří v souvislosti s jejich dovolenými (plnění smlouvy mezi subjektem údajů a správcem) nebo vysílání zaměstnanců k výkonu práce do třetích zemí nebo mezinárodních organizací (buď plnění pracovní smlouvy s takovým zaměstnancem nebo, v případě, že ustanovení o možnosti vyslat zaměstnance na takovou služební cestu, udělení souhlasu zaměstnance s vysláním).

Pokud by ani žádnou z výjimek nebylo možné využít, je poslední únikovou možností jednorázový přenos osobních údajů s tím, že správce o něm současně musí informovat dozorový úřad – Úřad pro ochranu osobních údajů. To lze využít v situaci, kdy předání údajů:

• není opakované,
• týká se pouze omezeného počtu subjektů údajů,
• je nezbytné pro účely závažných oprávněných zájmů správce, které však nejsou převáženy zájmy nebo právy a svobodami subjektu údajů,
• pokud správce poskytl vhodné záruky pro ochranu osobních údajů.

Z dostupných informací je zřejmé, že Úřad pro ochranu osobních údajů žádné takové oznámení dosud nepřijal. To ovšem neznamená, že k podobným přenosům v praxi nedochází a je jen otázkou času, kdy si na tento prohřešek dozorový úřad v Česku či jinde v Evropě při některé ze svých kontrol posvítí.

Jak tyto omyly řešit v praxi

Spoléhejte jen na zaručené informace, publikované Úřadem pro ochranu osobních údajů na jeho webové stránce www.uoou.cz nebo ve spolupráci s ním.

Pokud si nejste jisti, čerpejte z výkladových stanovisek a informací ÚOOÚ nebo Evropského sboru pro ochranu osobních údajů. Mějte na paměti, že pokud jste aktivní ve vztahu k zemím mimo EU a EHP, měli byste kontinuálně sledovat rozhodovací činnost Evropské komise na poli vydávání tzv. rozhodnutí o adekvátní ochraně, protože právě jejich obsah pro Vás bude určující co do komplikovanosti nebo naopak jednoduchosti předání dat do třetí země.

K tematice předávání osobních údajů do třetích zemí nebo mezinárodním organizacím pro Vás mohou být užitečné následující odkazy:

• Informace Úřadu pro ochranu osobních údajů k tematice předávání osobních údajů do třetích zemí
• Webová stránka Evropské komise, na které jsou publikovány informace o rozhodnutích o srovnatelné míře ochrany soukromí ve třetích zemích

Svaz průmyslu a dopravy ČR se přípravě českých firem na GDPR věnuje soustavně již od počátku roku 2017. V prvním pololetí 2017 připravil sérii regionálních diskuzních fór pro firmy. Od června 2017 do dubna 2018 pak zorganizoval projekt Akademie GDPR. Spolu s partnery Svaz připravil celkem 22 tematických seminářů a workshopů věnovaných 17 tématům určených k praktické přípravě českých firem na účinnost GDPR. V roce 2018 také spustil e-learningovou platformu Vyškoleno CZ (www.vyskoleno.cz), kde mohou firmy absolvovat zevrubnou i základní verzi e-learningových kurzů k GDPR určeným jak pro vrcholový management firem a jejich pověřence nebo manažery pro ochranu osobních údajů, tak i pro běžné zaměstnance. Všechny tyto projekty Svaz realizuje v úzké partnerské spolupráci s Úřadem pro ochranu osobních údajů, který je také jejich odborným garantem.

Svaz publikuje sérii populárně-naučných článků, jejichž cílem je rozptýlit nejčastější dezinformace a dezinterpretace, které se ohledně GDPR na českém trhu vyskytují. Postupně se tak věnuje tématům:

1. Kontext a souvislosti GDPR
2. Souhlasy se zpracováním osobních údajů
3. Pověřenci pro ochranu osobních údajů
4. Přeshraniční přenosy osobních údajů
5. Procesy implementace GDPR ve firmách

 K 25. květnu letošního roku nabylo účinnosti obecné nařízení o ochraně osobních údajů (General Data Protection Regulation), takzvané GDPR. Firmy jsou vystaveny extrémnímu tlaku, aby zajistily, že se v jejich podniku budou uchovávat data a nakládat s nimi v souladu s tímto nařízením. Ne vždy k tomu však mají přesné a úplné informace. Výsledkem je obrovský chaos, který na trhu panuje. Podniky zavádí opatření, která je často stojí spoustu prostředků, aniž by vedla k zamýšlenému výsledku. Tím je slovy nařízení přijetí „takových technických a organizačních opatření firem jako správců údajů, která povedou k zabezpečení nakládání s osobními údaji a splnění povinností správců údajů i naplňování práv subjektů údajů“.

Přečtěte si i další ze seriálu článků

Mgr. Tereza Šamanová, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.