Nová európska úprava ochrany osobných údajov: prevod osobných údajov do tretích krajín

Medzinárodné obchody sú často spojené s prevodom osobných údajov za hranice jedného štátu. Príkladom sú situácie, keď sú údaje ukladané na server v tretej krajine, tj. krajine mimo EHP, alebo keď má k údajom európskej spoločnosti v rámci poskytovania služieb prístup IT-spoločnosť z tretej krajiny. Pokiaľ by malo dôjsť k prevodu dát do tretej krajiny, musia byť dodržané ustanovenia GDPR.

 

ROZHODNUTA O PRÍSLUŠNEJ OCHRANE

Európska komisia môže rozhodnutím o príslušnej ochrane rozhodnúť, či je v konkrétnej prijímajúcej krajine dostatočne vysoká úroveň ochrany osobných údajov. Doposiaľ Komisia takýto status priznala Andore, Argentíne, Faerským ostrovom, Guernsey, Jersey, Kanade, Izraelu, Isle of Man, Švajčiarsku, Novému Zélandu a Uruguayu. Na prevod osobných údajov do týchto krajín sa teda prihliada ako na prevod vrámci EU.

Prevod osobných údajov do USA v súlade s ochranou osobných údajov je možné v rámci programu „EU-US Privacy Shield“. Pokiaľ americká spoločnosť získa v tomto programe osvedčenie, môže prevod osobných údajov tejto spoločnosti prebiehať v podstate bez ďalšieho špeciálneho povolenia.

 

OSTATNÉ VHODNÉ ZÁRUKY

Pokiaľ nebolo udelené rozhodnutie o príslušnej ochrane, môže prevod osobných údajov do tretích krajín prebiehať bez špeciálneho povolenia len vtedy, pokiaľ budú dané vhodné záruky a subjektom údajov budú prináležať vymáhateľné práva a účinná právna ochrana. Inak je spravidla nutné získať špeciálne povolenie dozorného úradu. Vhodnými zárukami sú napríklad:

Záväzné podnikové pravidlá na ochranu osobných údajov

Záväzné podnikové pravidlá (Binding Corporate Rules ‘BCR‘) sú pravidlá, ktoré sú uplatňované v podnikoch spojených do jednej skupiny podnikov v jednej alebo viacerých tretích krajinách. BCR musia byť právne záväzné a platné pre všetkých dotknutých členov danej skupiny podnikov, musia byť schválené príslušným dozorným úradom a spĺňať minimálne nároky na právnu ochranu údajov.

Štandardné doložky na ochranu údajov

Prevod osobných údajov do tretích krajín môže prebiehať tiež na základe vzorových zmluvných dojednaní, ktoré (i) boli vydané Komisiou alebo (ii) boli vydané dozorným úradom a schválené Komisiou. Komisia už v rokoch 2001, 2004 a 2010 zverejnila tieto vzorové zmluvy na prevod údajov medzi správcom osobných údajov alebo medzi správcom a spracovateľom osobných údajov, ktoré však nie úplne splňujú nové požiadavky GDPR.

Schválené kódexy chovania

Spolky a iné inštitúcie môžu vydať kódexy chovania pre nimi zastupované podniky, ktoré môžu taktiež slúžiť ako základ na prevod osobných údajov, pokiaľ ich schváli dozorný úrad.

Schválený mechanizmus na vydanie osvedčenia

Nariadenie GDPR podporuje vytváranie mechanizmu na vydanie osvedčení chrániacich osobné údaje prostredníctvom zriaďovania grémií, ktoré budú akreditované na audit a vydávenie osvedčení o konformite s GDPR.

 

VÝNIMKY

Napriek chýbajúcim rozhodnutiam o príslušnej ochrane alebo nedostatočným zárukám, môžu byť údaje prevádzané i vtedy, ak bol subjekt údajov poučený o možných rizikách prevodu údajov a výslovne s nimi súhlasil. Ďalšiu výnimku tvorí prípad, keď prevod osobných údajov je potrebný na uzavretie alebo splnenie zmluvy uzavretej so subjektom údajov alebo v jeho záujme, alebo pokiaľ to je nevyhnutné na dosiahnutie podstatných záujmov subjektu údajov, ako základ žalôb alebo na ich uplatnenie či obhajobu.

 

Kolegovia z našich pobočiek sú Vám kedykoľvek radi k dispozícii a zodpovedia Vám všetky prípadné ďalšie otázky