Předávání osobních údajů mimo EU podle nových vodítek

27. dubna 2023

Předávání do třetích zemí je citlivé téma, zvláště po zrušení tzv. Privacy Shieldu v roce 2020. Koncem února vydal Evropský sbor pro ochranu osobních údajů (EDBP) dvě vodítka týkající se předávání osobních údajů do třetích zemí, vodítka 05/2021 o souhře mezi použitím čl. 3 a ustanovení o mezinárodních převodech podle kapitoly V GDPR a vodítka 7/2022 o certifikaci jako nástroji pro převod.

První z vodítek se týká konceptu předávání osobních údajů jako takového. EDPB analyzuje, kdy se jedná o předávání osobních údajů, kdy se na správce nebo zpracovatele mimo EU vztahuje GDPR, ale o předávání údajů se nejedná, a kdy se na subjekt zpracovávající údaje nebude GDPR vůbec vztahovat.

Pro připomenutí, GDPR se na správce nebo zpracovatele vztahuje ve dvou případech:

Správce nebo zpracovatel má sídlo v EU a zpracování osobních údajů probíhá v souvislosti s činností této provozovny. Zpracování samotné nemusí probíhat v EU (čl. 3 odst. 1 GDPR).
Správce nebo zpracovatel není usazen v EU, ale zpracování souvisí s nabídkou zboží nebo služeb v EU nebo s monitorováním chování subjektů údajů v EU (čl. 3 odst. 2 GDPR).

Pokud dochází k předání osobních údajů do třetí země, musí toto předání probíhat podle pravidel pro předávání obsažených v kapitole 5 GDPR.

Pro posouzení, zda se jedná o předávání osobních údajů do třetí země, uvádí EDPB tři kritéria, která musí být splněna kumulativně:

Na správce nebo zpracovatele (vývozce údajů) se vztahuje GDPR,
Vývozce předává nebo zpřístupňuje údaje dalšímu správci nebo zpracovateli (dovozci údajů) a
Vývozce se nachází ve třetí zemi (nebo je mezinárodní organizací) bez ohledu na to, jestli se na něho vztahuje GDPR.

První kritérium je splněno, pokud se na vývozce vztahuje GDPR podle čl. 3. Pro druhé a třetí kritérium uvádí EDPB řadu příkladů. EDPB nejprve připomíná, že se nejedná o předání údajů, pokud údaje dává k dispozici sám subjekt údajů, např. sám si rezervuje hotel v USA na webových stránkách hotelu. Na provozovatele hotelu se GDPR nevztahuje. Předání osobních údajů se nekoná ani v situaci, kdy si subjekt údajů objedná zboží v e-shopu, jehož provozovatel je ku příkladu v USA, ale e-shop cílí na kupující v EU. Na provozovatele e-shopu by se na rozdíl od hotelu GDPR podle čl. 3 odst. 2 vztahovalo. O předání do třetí země by se jednalo, pokud by tento provozovatel (vývozce) využil zpracovatele také ze třetí země (dovozce).

Osobní údaje zaměstnanců, které posílá dceřiná společnost své matce mimo EU, podléhají pravidlům pro předání osobních údajů. O předání se jedná i v situaci, kdy společnost se sídlem mimo EU využívá zpracovatele v EU. Na společnost mimo EU se GDPR nevztahuje. Na zpracovatele v EU však ano a předání údajů zpět správci je předání podle GDPR.

O předání osobních údajů se nejedná, je-li zaměstnanec na služební cestě mimo EU a vzdáleně se připojí k údajům na severech svého zaměstnavatele v EU. Pokud by tyto osobní údaje zpřístupnil během jednání osobám v zemi, kde je na služební cestě, o předání by se jednalo.

O předání osobních údajů nejde, pokud společnost v EU využívá jako zpracovatele společnost se sídlem v EU, která je ale dceřinou společnostní matky ze třetí země, za podmínky, že jsou osobní údaje zpracovávané v EU. Protože zpracovatelská společnost může podléhat zákonům platným v sídle své mateřské společnosti, mohla by mít povinnost za žádost zpřístupnit zpracovávané údaje orgánu veřejné moci v této zemi. Pak by se o předání mimo EU jednalo. EDPR radí, aby správci v případě zapojení zpracovatele, která je dceřinou společností společnosti mimo EU, zvážili při uzavírání zpracovatelské smlouvy i toto riziko.

Správce by měl 1) analyzovat procesy zpracování osobních údajů, 2) zjistit, zda se jedná o předání osobních údajů do třetí země, 3) posoudit, zda předání probíhá v souladu s GDPR a 4) přijmout opatření na ochranu osobních údajů. Možná rizika spojená s předáním osobních údajů do třetí země na žádost orgánů veřejné moci by měl správce zvážit, když využívá zpracovatele se sídlem v EU, který však může podléhat právním předpisům třetí země.

Druhá vodítka se týkají certifikace jako doložení vhodných záruk pro předání osobních údajů do třetí země podle čl. 46 odst. 2 písm. f) GDPR. Certifikovat se bude příjemce údajů ve třetí zemi, tedy dovozce údajů, a to pro jednu operaci zpracování nebo soubor operací.

Ani certifikace dovozce není pro vývozce sázka na jistotu. Vývozce musí ověřit, zda certifikace dopadá na příslušené zpracování, zda je certifikát platný a zda převod údajů spadá do rozsahu certifikace. Vývozce musí dále zkontrolovat, zda je certifikační orgán akreditován vnitrostátním akreditačním orgánem nebo příslušným dozorovým orgánem.

V některých případech bude muset dovozce, vývozce nebo oba provést další opatření předpokládaná certifikací, aby byla zajištěna rovnocenná úroveň ochrany osobních údajů ve srovnání s EU.

[1] Usnesení Evropského parlamentu ze dne 20. října 2020 obsahující doporučení Komisi k režimu občanskoprávní odpovědnosti za umělou inteligenci. Dostupné zde.

[2] Proposal for a directive of the European Parliament and of the Council on adapting non-contractual civil liability rules to artificial intelligence (AI Liability Directive). Dostupné zde.

[3] Návrh nařízení Evropského parlamentu a Rady, kterým se stanoví harmonizovaná pravidla pro umělou inteligenci (akt o umělé inteligenci) a mění určité legislativní akty unie. Dostupné zde.

[4] Proposal for a directive of the European Parliament and of the Council on liability for defective products. Dostupné zde.

Tento článek byl publikován na webu epravo.cz.

Další novinky

Název cookie	Typ a funkce	Zdroj	Doba uložení
SERVERID	Nezbytně nutná cookie - Zajišťuje, aby uživatel během konkrétního návštěvy/sezení používal tentýž server. Cookie nastavuje poskytovatel infrastruktury a jedná se funkční nezbytně nutný prvek.	PRK Partners	Session
CMS-{ID}-FE	Nezbytně nutná cookie - ukládá unikátní identifikátor pro danou session na webu	PRK Partners	Session
CMS-{ID}-FE-language	Nezbytně nutná cookie - ukládá unikátní identifikátor pro zvolený jazyk webu	PRK Partners	1 den
CMS-{ID}-FE-cookies_allow_ac	Nezbytně nutná cookie - ukládá nastavení souhlasu návštěvníka se sběrem analytických údajů o jeho pohybu na webu.	PRK Partners	5 let
CMS-{ID}-FE-cookies_allow_mc	Nezbytně nutná cookie - ukládá nastavení souhlasu návštěvníka se sběrem údajů pro marketingové účely.	PRK Partners	5 let
CMS-{ID}-FE-cookies_notification	Nezbytně nutná cookie - ukládá informaci, zda byla již v minulosti potvrzena cookie lišta	PRK Partners	5 let

Název cookie	Typ a funkce	Zdroj	Doba uložení
_ga	Analytická cookie - Cookie slouží k rozlišení jedinečných uživatelů přiřazením náhodně vygenerovaného čísla jako identifikátoru. Je zahrnuta do každé žádosti o stránku na webu a používá se k výpočtu údajů o návštěvnících, relacích a kampaních pro analytické přehledy stránek.	Google	2 roky
_gat	Analytická cookie - Soubor cookie _gat se používá k omezení požadavků na analytiku k omezení požadavků odesílaných z vašeho prohlížeče do služeb Google. Soubory cookie mají několik omezení, která mohou způsobit nadměrné vykazování počtu uživatelů	Google	1 den
_gid	Analytická cookie - Registruje jedinečný identifikátor, který se používá ke generování statistických údajů o tom, jak návštěvník web používá	Google	1 den
_hjIncludedInSample	Analytická cookie - Slouží k webové analýze nástrojem HotJar, identifikuje návštěvníka během relace	HotJar	Session
_hjid	Analytická cookie - Ukládá unikátní identifikátor návštěvníka webu.	HotJar	1 rok
_dc_gtm_UA-*	Analytická cookie - Uplatňuje se, pokud jsou Google Analytics vložené přes Google Tag Manager. Má stejnou funkci jako _gat.	Google	Session

Název cookie	Typ a funkce	Zdroj	Doba uložení
_fbp	Marketingová cookie - Slouží k trackování návštěv napříč webovými stránkami	Facebook	3 měsíce
_gcl_au	Marketingová cookie - Zjišťování reklamní efektivity v rámci webů, které uživatel navštěvuje	Google Adsense	3 měsíce
NID	Marketingová cookie - Ukládá jedinečný identifikátor, který identifikuje vracejícího se uživatele a je využito pro cílení reklamy	Google	6 měsíců