1.78
Předání osobních údajů třetím zemím a mezinárodním organizacím
Mgr. Mgr. Radana Burešová
Na předávání osobních údajů do zemí, které nejsou členy EU, tj. do třetích zemí, a mezinárodním organizacím se vztahují pravidla uvedená v § 27 ZOOÚ, resp. v článku 44 a následujících GDPR.
Předání osobních údajů do třetích zemí a mezinárodním organizacím je možné v několika režimech:
1. Na základě povolení vydaného podle § 27 odst. 4 ZOOÚ: Tato povolení zůstanou v platnosti i po zrušení zákona, a to do doby, než uplyne doba jejich platnosti nebo budou zrušena či změněna (čl. 46 odst. 5 GDPR).
2. Na základě mezinárodní smlouvy: v současné době je jedinou mnohostrannou smlouvou v této oblasti Úmluva Rady Evropy o ochraně osob se zřetelem na automatizované zpracování osobních dat (ETS 108, 1981). Seznam signatářů této úmluvy je dostupný zde https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108/signatures . Seznam signatářů jejího dodatkového protokolu je k nalezení zde . Pro Českou republiku je tato dohoda závazná jak ohledně automatizovaného, tak i neautomatizovaného zpracování dat. Do zemí, které tuto úmluvu ratifikovaly, lze osobní údaje předávat bez povolovacího řízení.
Osobní údaje mohou být do třetích zemí předávány i v souvislosti s vykonatelnými soudními a správními rozhodnutími vydanými soudy a jinými orgány těchto zemí, které jsou uznány a jsou vykonatelné v EU nebo v České republice. Smí se tak ale dít jen na základě příslušných mezinárodních dohod, obvykle na základě dvojstranných dohod o vzájemné právní pomoci (článek 48 GDPR). Správci osobních údajů (např. podnikatelé) nesmí osobní údaje na základě takových rozhodnutí předat, dokud nejsou splněny všechny věcné i formální podmínky stanovené v příslušné mezinárodní dohodě.
3. Na základě rozhodnutí Komise Evropské unie o tom, že příslušná třetí země, určité území nebo jedno či více konkrétních odvětví v této zemi nebo mezinárodní organizace zajišťují odpovídající úroveň ochrany osobních údajů (čl. 45 GDPR). Komise může své rozhodnutí kdykoli změnit nebo zrušit, pokud dojde k závěru, že ve třetí zemi apod. již není poskytován dostatečný stupeň ochrany.
Komise v minulosti přijala řadu rozhodnutí výše uvedeného druhu, a to na základě čl. 25 odst. 6 směrnice 95/46/ES, kterou GDPR ruší. Tato rozhodnutí však i nadále – s výhradou výše uvedených možných změn nebo dokonce zrušení – zůstanou na základě čl. 45 odst. 9 GDPR v platnosti.
Zatím vydaná rozhodnutí Komise se týkají následujících států/území: Argentiny, Faerských ostrovů, Guernsey, Jersey, Nového Zélandu, Ostrova Man, Švýcarska, Izraele (v souvislosti s automatizovaným zpracováním), Andorrského knížectví, Uruguaye (v souvislosti s automatizovaným zpracováním) a Kanady (ve vztahu k podnikatelským subjektům, na které se vztahuje kanadský zákon o ochraně osobních údajů Personal Information Protection and Electronic Documents Act).
Osobám se sídlem v těchto státech/územích mohou být osobní údaje předány bez speciálního povolovacího řízení. Je vhodné si vždy konkrétní rozhodnutí Komise prostudovat, neboť může obsahovat i zákaz předávat určitý druh osobních údajů, popř. vymezuje osoby, kterým se údaje smí předávat (viz výše uvedené omezení u Kanady).
Připravuje se vydání rozhodnutí o dostatečné ochraně pro Japonsko a Jižní Koreu.
Ve vztahu k USA Komise s USA vyjednala jiný přístup. Osobní údaje je možno na základě rozhodnutí Komise (prováděcí rozhodnutí Komise (EU) 2016/1250 ze dne 12. července 2016) předávat jen "organizacím" ve Spojených státech v rámci tzv. štítu EU-USA na ochranu soukromí (EU-US Privacy Shield). Jedná se o subjekty, především obchodní společnosti, které prošly autocertifikačním mechanismem v rámci Privacy Shield a zaregistrovaly se u federálního ministerstva obchodu (U.S. Department of Commerce). Seznam registrovaných společností je možno nalézt zde . Jak vyplývá z prvního ročního vyhodnocení fungování štítu , nebyly americké orgány při plnění svých závazků příliš důsledné. Privacy Shield nahradil dřívější systém Safe Harbor (bezpečný přístav), který byl zrušen v roce 2015.
4. Na základě vhodných záruk podle článku 46 GDPR: V případě, že není možno osobní údaje do třetího státu nebo mezinárodní organizaci předat podle některého z výše uvedených bodů, může k němu dojít pouze v případě, že správce nebo zpracovatel poskytl vhodné záruky a za podmínky, že jsou k dispozici vymahatelná práva subjektu údajů a účinná právní ochrana subjektů údajů.
GDPR rozlišuje mezi dvěma druhy záruk. V čl. 46 odst. 2 GDPR jsou uvedeny záruky, jež nevyžadují zvláštní povolení dozorového orgánu (Úřadu pro ochranu osobních údajů). Jedná se o případy, kdy jsou záruky poskytnuty formou:
a) právně závazného a vymahatelného nástroje mezi orgány veřejné moci nebo veřejnými subjekty;
b) závazných podnikových pravidel v souladu s článkem 47 GDPR (viz níže);
c) standardních doložek o ochraně osobních údajů přijatých Komisí přezkumným postupem podle čl. 93 odst. 2 GDPR;
d) standardních doložek o ochraně údajů přijatých dozorovým úřadem (Úřadem pro ochranu osobních údajů) a schválených Komisí přezkumným postupem podle čl. 93 odst. 2 GDPR;
e) schváleného kodexu chování podle článku 40 GDPR spolu se závaznými a vymahatelnými závazky správce nebo zpracovatele ve třetí zemi uplatňovat vhodné záruky, a to i ohledně práv subjektů údajů; nebo
g) schváleného mechanismu pro vydání osvědčení podle článku 42 GDPR spolu se závaznými a vymahatelnými závazky správce nebo zpracovatele ve třetí zemi uplatňovat vhodné záruky, a to i ohledně práv subjektů údajů.
Záruky mohou být poskytnuty též způsobem uvedeným v čl. 46 odst. 3 GDPR, ale pak předání osobních údajů podléhá povolení dozorového úřadu. Jedná se o případy, kdy jsou záruky poskytnuty pomocí:
a) smluvních doložek mezi správcem nebo zpracovatelem a správcem, zpracovatelem nebo příjemcem osobních údajů ve třetí zemi nebo v mezinárodní organizaci; nebo
b) ustanovení určených k vložení do správních ujednání mezi orgány veřejné moci nebo veřejnými subjekty, která zahrnují vymahatelná a účinná práva subjektu údajů.
Již v současné době se v praxi uplatňuje systém závazných podnikových pravidel. Seznam nadnárodních obchodních korporací, které mají v současné době schválená závazná podniková pravidla je dostupný zde . Na rozdíl od povolení vydaných dozorovými orgány nebo rozhodnutí Komise GDPR ohledně závazných podnikových pravidel neobsahuje ustanovení, na jehož základě by nadále zůstávala v platnosti závazná podniková pravidla schválená před účinností GDPR. Dotčené korporace tedy budou muset o schválení těchto pravidel požádat znovu, a to v souladu s článkem 47 GDPR.
Závazná podniková pravidla ve smyslu čl. 47 odst. 1 GDPR představují soubor pravidel, schválených příslušným orgánem, která:
a) jsou právně závazná a platná pro všechny a prosazovaná všemi dotčenými členy skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost, včetně jejich zaměstnanců;
b) subjektům údajů výslovně přiznávají vymahatelná práva v souvislosti se…