ÚOOÚ doplnil často kladené otázky o předávání osobních údajů do třetích zemí

Úřad pro ochranu osobních údajů doplnil časté otázky o oblast předávání osobních údajů do třetích zemí. V nové podrubrice Častých otázek podle oblastí naleznete například odpověď, kde lze najít přehled zemí, které jsou považovány za bezpečné, či do kterých zemí je možné předávat údaje bez omezení.

Ve zmíněné podrubrice dohledáte odpovědi na otázky týkající se zvláštních případů, kdy musí správce před předáním osobních údajů do třetích zemí žádat Úřad o povolení. „Dále jsou zde k dispozici informace pro předání osobních údajů zpracovateli do třetí země s nedostatečnou úrovní ochrany osobních údajů, ale také, jak je to s předáváním zpracovávaných osobních údajů soudům nebo úřadům třetích zemí," uvedl mluvčí ÚOOÚ Tomáš Paták."

Kde najdu přehled zemí, které jsou považovány za bezpečné z hlediska úrovně poskytované ochrany a do kterých mohu předávat údaje bez jakéhokoliv omezení?

Přehled platných rozhodnutí Komise lze nalézt na webové stránce Evropské komise nebo na webové stránce Úřadu v rubrice „Předávání osobních údajů do třetích zemí“.

Z hlediska úrovně poskytované ochrany osobním údajům jsou tzv. bezpečné třetí země prakticky na úrovni členských států Evropské unie, resp. Evropského hospodářského prostoru, poněvadž předání do těchto zemí nevyžaduje ze strany předávajícího správce osobních údajů, příp. zpracovatele, přijetí žádných dodatečných opatření.

Lze považovat země, které podepsaly a ratifikovaly Úmluvu č. 108 Rady Evropy o ochraně osob se zřetelem na automatizované zpracování osobních dat z roku 1981, za bezpečné země s odpovídající úrovní ochrany osobních údajů?

Bezpečné třetí země, které zajišťují odpovídající úroveň ochrany osobních údajů, jsou podle čl. 45 odst. 1 obecného nařízení pouze ty země, které disponují platným rozhodnutím Evropské komise o odpovídající úrovni ochrany osobních údajů.

Ratifikace Úmluvy č. 108 Rady Evropy proto sama o sobě neznamená, že daná země zajišťuje předávaným údajům odpovídající úroveň ochrany.

Evropská komise pouze při rozhodování o tom, zda třetí země zajišťuje odpovídající úroveň ochrany, bude kromě jiných hledisek zohledňovat rovněž přistoupení dané třetí země k Úmluvě č. 108 a k jejímu dodatkovému protokolu [čl. 45 odst. 2 písm. c) obecného nařízení a recitál 105].

Ve kterých zvláštních případech musí správce osobních údajů před předáním osobních údajů do třetích zemí žádat Úřad o povolení předání nebo Úřad o předání informovat?

Povolení Úřadu k předání osobních údajů je  nutné pouze v případech, kdy správce hodlá předání realizovat na základě nestandardních nástrojů pro vytvoření vhodných záruk podle čl. 46 odst. 3 písm. a) a b) obecného nařízení (tzn. nestandardní smluvní doložky; správní ujednání mezi orgány veřejné moci nebo veřejnými subjekty, která zahrnují vymahatelná a účinná práva subjektů údajů). I v těchto neobvyklých případech se spíše než o povolení předání jedná o schválení nestandardního nástroje pro předávání osobních údajů, které vyžaduje plné uplatnění mechanismu jednotnosti včetně vydání kladného stanoviska Evropským sborem pro ochranu osobních údajů. 

Povinnost informovat Úřad stanoví čl. 49 odst. 1 druhý pododstavec obecného nařízení pro případy jednorázového předání osobních údajů do třetích zemí omezeného počtu subjektů údajů, pokud je to nezbytné pro účely závažných oprávněných zájmů správce, jež nepřeváží nad zájmy nebo právy a svobodami subjektů údajů, a pokud nelze uplatnit žádnou z výjimek podle čl. 49 odst. 1 písm. a) až g) obecného nařízení. 

Jsou původní standardní smluvní doložky nadále platné? Je třeba v jejich textu nahradit odkazy na směrnici 95/46/ES novými odkazy na obecné nařízení? Kdy Evropská komise vydá nové standardní smluvní doložky odpovídající režimu nařízení?

Ano, standardní smluvní doložky přijaté rozhodnutími Evropské komise ještě v režimu směrnice 95/46/ES nadále platí a poskytují tedy pro předání osobních údajů  vhodné záruky podle čl. 46 odst. 2 písm. c) obecného nařízení.

Rozhodnutí Komise o standardních smluvních doložkách zůstávají v platnosti na základě ustanovení čl. 46 odst. 5 obecného nařízení, dokud Komise nerozhodne jinak. 

Zároveň v textech standardních smluvních doložek uvedené odkazy na zrušenou směrnici 95/46/ES jsou považovány za odkazy na obecné nařízení, takže tyto texty není nutné z tohoto důvodu jakkoliv upravovat (čl. 94 odst. 2 obecného nařízení).

Evropská komise si uvědomuje urgentní potřebu přizpůsobit standardní smluvní doložky novému nařízení. Nicméně i z důvodu dosud nerozhodnuté předběžné otázky, kterou nedávno předložil irský Nejvyšší soud Evropskému soudnímu dvoru v kauze známé pod názvem Schrems II, a jejíž řešení může výrazně ovlivnit výklad odpovídající úrovně ochrany osobních údajů a standardních smluvních doložek, nelze před vyřešením této předběžné otázky očekávat od Komise v tomto směru žádnou akci.

Bližší informace lze nalézt na webové stránce Úřadu v rubrice „Standardní smluvní doložky“.

Musíme při předání osobních údajů zpracovateli do třetí země s nedostatečnou úrovní ochrany osobních údajů podepsat vedle standardních smluvních doložek ještě zpracovatelskou smlouvu?


Smluvní vztah, který ošetří předání osobních údajů zpracovateli do třetí země s nedostatečnou úrovní ochrany osobních údajů, musí zahrnovat jak standardní smluvní doložky podle Rozhodnutí Komise ze dne 5. února 2010 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle směrnice Evropského parlamentu a Rady 95/46/ES, tak i zpracovatelskou smlouvu se všemi náležitostmi vyžadovanými ustanoveními čl. 28 obecného nařízení.

Může jít přitom buď o dva oddělené smluvní dokumenty, nebo o jeden integrovaný smluvní dokument.

Musejí závazná podniková pravidla (Binding Corporate Rules, BCR) schválená ještě před účinností obecného nařízení znovu projít novým schvalovacím řízením?

Závazná podniková pravidla schválená vedoucím dozorovým úřadem ještě v režimu směrnice 95/46/ES zůstávají v platnosti, dokud je daný vedoucí dozorový úřad nezmění, nenahradí nebo nezruší (čl. 46 odst. 5 obecného nařízení).

Skupina podniků je přitom povinna k datu účinnosti obecného nařízení uvést schválená závazná podniková pravidla do souladu s nařízením a informovat všechny členy skupiny a prostřednictvím vedoucího dozorového úřadu i dozorové úřady všech členských zemí Evropské unie o relevantních provedených změnách. 

Takto upravená závazná podniková pravidla lze používat jako vhodné záruky bez nutnosti absolvování nové schvalovací kooperační procedury.

Bližší informace a odkazy na jednotlivá stanoviska WP29 lze nalézt také na webové stránce Úřadu v rubrice „Závazná podniková pravidla“.

Je potřeba schválená závazná podniková pravidla (Binding Corporate Rules, BCR) předložit ke schválení dozorovému úřadu v každé členské zemi Evropské unie zvlášť, jak by mohlo vyplývat z čl. 47 odst. 1 obecného nařízení?

Nikoliv. Příslušným dozorovým úřadem uvedeným v čl. 47 odst. 1 obecného nařízení se míní vedoucí dozorový úřad pro závazná podniková pravidla (BCR Lead). V rámci Evropské unie jeden jediný dozorový úřad, určený k vedení schvalovací kooperační procedury a další komunikaci s danou skupinou podniků, jehož navržení je prvním krokem, který musí skupina podniků učinit v rámci žádosti o schválení svých závazných podnikových pravidel.

Schvalovací kooperační procedura je definována stanoviskem WP263 „Pracovní dokument vykládající schvalovací proceduru závazných podnikových pravidel pro správce a pro zpracovatele v režimu obecného nařízení o ochraně osobních údajů“. 

Výsledkem této schvalovací kooperační procedury je rozhodnutí vedoucího dozorového úřadu pro závazná podniková pravidla o schválení daných závazných podnikových pravidel. Takto schválená závazná podniková pravidla představují vhodné záruky podle čl. 46 odst. 2 písm. b) obecného nařízení a již nevyžadují žádné zvláštní povolení jiných dotčených dozorových úřadů.

Může správce usazený v Evropské unii předat zpracovávané osobní údaje soudním nebo správním orgánům třetí země na základě jejich přímé žádosti?


Správce osobních údajů nemůže předávat osobní údaje z Evropské unie do třetích zemí soudním nebo správním orgánům třetí země, a to ani na základě čl. 48, ani na základě čl. 49 odst. 1 písm. d) obecného nařízení.

Pokud má proběhnout předání osobních údajů v souladu s čl. 48 obecného nařízení, musí být žádost soudního nebo správního orgánu třetí země o předání osobních údajů adresována v souladu s úmluvami o vzájemné právní pomoci nebo jinými mezinárodními dohodami příslušným soudním nebo správním orgánům Evropské unie nebo členského státu Evropské unie, případně jiným subjektům, stanoveným těmito mezinárodními dohodami, které jediné jsou oprávněny v souladu s těmito mezinárodními dohodami k zajištění nezbytných osobních údajů a jejich předání do třetí země.

Stejně tak není možné zaměňovat na jedné straně veřejný zájem, který musí být uznán právem Evropské unie nebo členského státu Evropské unie, a na druhé straně veřejný zájem třetí země. Proto je možné výjimku podle čl. 49 odst. 1 písm. d) obecného nařízení aplikovat opět pouze v případech, kdy lze veřejný zájem vyvodit z práva Evropské unie nebo členského státu Evropské unie, resp. z mezinárodních dohod, které jsou součástí tohoto práva. Předání osobních údajů pak může být realizováno pouze způsobem daným těmito mezinárodními dohodami.

Bližší informace lze nalézt v Pokynech Evropského sboru pro ochranu osobních údajů k derogacím čl. 49 obecného nařízení, str. 5 a 10. 

Může správce osobních údajů, resp. jeho právní zástupce, předat zpracovávané osobní údaje do Spojených států amerických advokátní kanceláři protistrany v rámci tzv. discovery procesu?


V daném případě stejně jako v jiných případech právních úkonů spojených se soudními a správními procesy ve třetích zemích přichází pro předání osobních údajů do třetí země v úvahu pouze výjimka daná ustanovením čl. 40 odst. 1 písm. e) obecného nařízení, podle níž je předání možné, pokud „je nezbytné pro určení, výkon nebo obhajobu právních nároků“.

Daná výjimka je přitom určena pro případy, ve kterých správce, resp. jeho advokátní kancelář, hodlá předat jím zpracovávané osobní údaje pro obranu svých vlastních zájmů, pro odvrácení hrozby pokuty a v jiných podobných případech, takže předání osobních údajů na základě této výjimky nemůže být vynuceno protistranou, resp. její advokátní kanceláří, ani soudními nebo správními orgány třetí země. 

Blíže viz Pokyny Evropského sboru pro ochranu osobních údajů k derogacím čl. 49 obecného nařízení, str. 11.

Jsme dceřiná společnost skupiny podniků, jejíž mateřská společnost sídlí ve Spojených státech amerických a požaduje, abychom jí předávali veškerou personální agendu našich zaměstnanců. Musíme mít souhlas zaměstnanců? Musíme uzavřít s mateřskou společností standardní smluvní doložky?


V prvé řadě si společnost předávající údaje jako správce osobních údajů musí vyjasnit, resp. stanovit, komu a za jakým účelem hodlá předat osobní údaje zaměstnanců do Spojených států amerických a zda se příjemce osobních údajů nachází v roli zpracovatele nebo nového správce osobních údajů. Co se týče souhlasu, lze obecně konstatovat, že pro většinu případů zpracování zaměstnaneckých údajů nemůže a neměl by být zaměstnancův souhlas právním důvodem zpracování, jinými slovy je nutné mít pro zpracování jiný právní základ.

Vlastní předání osobních údajů do třetích zemí se řídí ustanoveními čl. 44 až 50 obecného nařízení.

Speciálně v případě předání osobních údajů do Spojených států amerických společnosti, která se účastní programu štít soukromí, není třeba přijetí žádných zvláštních záruk ze strany českého správce. Předání proběhne v souladu s čl. 45 obecného nařízení, protože program štít soukromí zajišťuje odpovídající úroveň ochrany osobních údajů na základě Rozhodnutí Komise 2016/1250.

V případě předání osobních údajů do Spojených států amerických mimo program štítu soukromí je český správce povinen přijmout taková opatření, která zajistí předávaným osobním údajům ve Spojených státech amerických přiměřenou úroveň ochrany, podobnou té, která je jim garantována v rámci Evropské unie.  

Nejobvyklejším způsobem, kterým může český správce ošetřit předávání osobních údajů do třetí země, je uzavření smlouvy, jejíž nedílnou součástí budou standardní smluvní doložky podle některého z platných rozhodnutí Komise, přičemž tato smlouva bude uzavřena mezi českým správcem a dovozcem osobních údajů ve třetí zemi. Předání proběhne v souladu s čl. 46 odst. 2 písm. c) obecného nařízení.

Jiný způsob vytvoření vhodných záruk představují závazná podniková pravidla skupiny podniků (Binding Corporate Rules, BCR). Pokud je dovozce osobních údajů ve třetí zemi vázán takovými závaznými podnikovými pravidly, proběhne předání v souladu s čl. 46 odst. 2 písm. b) obecného nařízení. 

Bez vytvoření vhodných záruk je obecně možné předat osobní údaje do třetí země pouze ve výjimečných situacích daných čl. 49 obecného nařízení.

Přitom je třeba upozornit, že pokud dceřiná společnost hodlá předat osobní údaje svých zaměstnanců mateřské společnosti v rozsahu mzdové nebo personální agendy za účely centralizovaného řízení mzdové a personální agendy, řízení lidských zdrojů ve skupině apod., nelze uplatnit žádnou z výjimek uvedených v čl. 49, a to ani výjimku danou čl. 49 odst. 1 písm. b) obecného nařízení, poněvadž takové předání nemůže být klasifikováno jako nezbytné pro plnění pracovní smlouvy. (Pokyny Evropského sboru pro ochranu osobních údajů k derogacím čl. 49 obecného nařízení, str. 8).

Tuto výjimku lze uplatnit jen v případech příležitostných předání minimálního rozsahu osobních údajů zaměstnanců do třetích zemí. Jako příklad může být uvedeno předání nezbytných osobních údajů zaměstnance vyslaného na služební či pracovní cestu poskytovatelům dopravních a ubytovacích služeb anebo obchodním partnerům, k nimž je zaměstnanec vyslán, za účely organizace daného služebního či pracovního pobytu. Jiným příkladem může být předání formou sdílení údajů o zařazení v organizační struktuře a základních kontaktních údajů zaměstnanců v rámci skupiny, např. v rámci interního telefonního seznamu, typicky za účelem zajištění komunikace ve skupině.

Jsme cestovní kancelář a za účelem zajištění pobytu našich klientů v zahraničí předáváme osobní údaje klientů spolupracujícím cestovním kancelářím, leteckým společnostem a konkrétním hotelům. Kdo je v takových případech správce osobních údajů a kdo zpracovatel? Jak je třeba ošetřit předání osobních údajů klientů spolupracujícím cestovním kancelářím a hotelům ve třetí zemi?


V případě, že spolupracující cestovní kancelář zpracovává osobní údaje za svými účely a určuje prostředky zpracování, je v souladu s definicí podle čl. 4 odst. 7 obecného nařízení správcem osobních údajů. Také incomingové cestovní kanceláře ve třetí zemi i konkrétní hotely obvykle zpracovávají nezbytné osobní údaje klientů za účely poskytnutí nasmlouvaných služeb v roli samostatných správců osobních údajů. Rovněž letecké společnosti jsou při zpracování nezbytných osobních údajů svých pasažérů za účelem zajištění letecké přepravy těchto pasažérů nepochybně v roli správce osobních údajů.

Obecně platí, že správci osobních údajů jsou při předání osobních údajů do třetích zemí s nedostatečnou úrovní ochrany osobních údajů povinni vytvořit vhodné záruky předávaným osobním údajům ve třetí zemi. Ve výjimečných případech mohou správci předání realizovat na základě některé z výjimek uvedených v čl. 49 odst. 1 písm. a) až g) obecného nařízení. 

Pokynech Evropského sboru pro ochranu osobních údajů k derogacím čl. 49 obecného nařízení je na str. 9 přímo uvedeno, že na předání osobních údajů klientů cestovních kanceláří hotelům a jiným poskytovatelům služeb cestovního ruchu ve třetích zemích nezbytných pro plnění klientské smlouvy lze uplatnit výjimku podle čl. 49 odst. 1 písm. b) nařízení.


Téma: GDPR a procesy, Zdroj: Úřad pro ochranu osobních údajů
Štítky: Dozorový úřad, Povinnosti správce, Vodítka k GDPR
15.10.2018 (autor Redakce)





Související

Pokud správce jedná čestně, lze mnohé napravit

O minulých i současných povinnostech a cílech ÚOOÚ hovořil jeho ředitel sekce správní Josef Prokeš na...

 vydáno 27.11.2018 
Téma: Zavedení GDPR

Poznatky Úřadu k používání GDPR

Úřad pro ochranu osobních údajů informoval ústy vrchního rady pro vládní agendy Miroslavy Matoušové...

 vydáno 12.11.2018 
Téma: Evidence zpracování

Hlídač státu odhalil pochybení při ochraně osobních údajů žáků ZŠ

Hlídač státu odhalil pochybení při ochraně osobních údajů žáků ZŠ, kdy dle jeho zjištění Česká školní...

 aktualizováno 09.11.2018 
Téma: GDPR a IT systémy



Související dotazy
Odpovídá Ing. Vladimír Paclík
Dobrý den, ano, chápete to správně. Jednak není třeba souhlas - existuje zákonný rámec - Zákoník práce, pak také smluvní rámec (samozřejmě ten by...

Odpovídá Ing. Vladimír Paclík
Dobrý den, dle Vašeho dotazu předpokládám, že pronajímáte byt jako soukromá (fyzická) osoba. Přestože jste fyzickou osobou, Obecné nařízení se v...

Odpovídá Ing. Vladimír Paclík
Dobrý den, vzhledem k tomu, že jak Vy, tak Vaši klienti zpracováváte osobní údaje v rámci podnikání, stáváte se dle Obecného nařízení správci osobní...



www.helpgdpr.cz
© Copyright 2000 - 2018, všechna práva vyhrazena - European Business Enterprise, a.s., Masarykovo nám. 14, Říčany
Firma je zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 8892, IČ 25130382, DIČ CZ25130382
E-mail: info@ebe.cz