Úřad pro ochranu osobních údajů


International


Vyhledávání

 

Základní odkazy


Cesta: Titulní stránka > Hlavní menu > Poradna

 

K předávání osobních údajů do třetích zemí

Sekce: Často kladené otázky

 
 
 
Kde najdu přehled zemí, které jsou považovány za bezpečné z hlediska úrovně poskytované ochrany a do kterých mohu předávat údaje bez jakéhokoliv omezení?

Přehled platných rozhodnutí Komise lze nalézt na webové stránce Evropské komise nebo na webové stránce Úřadu v rubrice Předávání založené na rozhodnutí o odpovídající úrovni ochrany osobních údajů.

Z hlediska úrovně poskytované ochrany osobním údajům jsou tzv. bezpečné třetí země prakticky na úrovni členských států Evropské unie, resp. Evropského hospodářského prostoru, poněvadž předání do těchto zemí nevyžaduje ze strany předávajícího správce osobních údajů, příp. zpracovatele, přijetí žádných dodatečných opatření.

Lze považovat země, které podepsaly a ratifikovaly Úmluvu č. 108 Rady Evropy o ochraně osob se zřetelem na automatizované zpracování osobních dat z roku 1981, za bezpečné země s odpovídající úrovní ochrany osobních údajů?

Bezpečné třetí země, které zajišťují odpovídající úroveň ochrany osobních údajů, jsou podle čl. 45 odst. 1 obecného nařízení pouze ty země, které disponují platným rozhodnutím Evropské komise o odpovídající úrovni ochrany osobních údajů.

Ratifikace Úmluvy č. 108 Rady Evropy proto sama o sobě neznamená, že daná země zajišťuje předávaným údajům odpovídající úroveň ochrany.

Evropská komise pouze při rozhodování o tom, zda třetí země zajišťuje odpovídající úroveň ochrany, bude kromě jiných hledisek zohledňovat rovněž přistoupení dané třetí země k Úmluvě č. 108 a k jejímu dodatkovému protokolu [čl. 45 odst. 2 písm. c) GDPR a recitál 105].

Je v souvislosti s rozsudkem Soudního dvora Evropské unie (SDEU) ve věci C-311/18 Data Protection Commissioner v. Facebook Ireland Limited a Maximillian Schrems (tzv. Schrems II) ze dne 16. července 2020, při předávání osobních údajů na základě standardních smluvních doložek, nutné používání těchto dokumentů hlásit Úřadu či žádat o jejich schválení?  

Nikoliv.
Stále dle GDPR platí, že pokud správce nebo zpracovatel poskytl pro předávání do třetích zemí (USA) vhodné záruky pomocí standardních smluvních doložek není zapotřebí jakékoli zvláštní povolení dozorového úřadu ani není povinné tuto skutečnost oznamovat ÚOOÚ. Úřad rovněž neprovádí revizi či aprobaci smluvních doložek jednotlivých správců a zpracovatelů

Správce by měl vždy, když zamýšlí předat osobní údaje do třetí země, prověřit, zda vhodné záruky a ochranná opatření v doložkách skutečně zajišťují srovnatelnou úroveň ochrany zaručenou v Unii GDPR a Listinou. Zároveň je třeba vzít v úvahu i relevantní prvky právního řádu třetí země. 

Správce by měl řešit s dovozcem údajů konkrétní dopady uvedeného rozsudku SDEU, navrhovat řešení (např. uložení dat včetně metadat pouze na území EU, šifrování bez zadních vrátek apod.). Přitom by neměl zapomenout na zásadu transparentnosti a informovat subjekt údajů o konkrétních opatřeních a postupech, komu a do jakých zemí jsou údaje zpřístupňovány/předány, za jakých podmínek, jak jsou jeho údaje chráněny, případně rizika s tím související. Bližší vyjádření k dané věci zveřejnil Úřad zde

Jak bude Úřad postupovat dle očekávání SDEU týkající se povinnosti regulátora dočasně nebo trvale zakázat předávání osobních údajů do třetí země, jestliže dospěje k závěru, že ochrana předaných údajů není, ani přes sjednané standardní doložky, ve třetí zemi dostatečná?

Článek 4 rozhodnutí Komise 2010/87 o standardních smluvních doložkách ve spojení s bodem 11 odůvodnění tohoto rozhodnutí dává kompetenci dozorovému úřadu dočasně nebo trvale zakázat nebo pozastavit předání údajů na základě standardních smluvních doložek v konkrétních případech, kdy by předání mohlo mít nepříznivý dopad na práva jednotlivců v souvislosti se zpracováním jejich osobních údajů. Článek 58 odst. 2 písm. f) a j) GDPR, pravomoci dozorového úřadu potvrzují. Na tuto skutečnost upozorňuje i rozsudek SDEU (odst. 113, 114, 115). 

Role Úřadu v celém procesu předání údajů mezi vývozcem a dovozcem údajů na základě standardních smluvních doložek je však pouze sekundární. Rovněž rozsudek SDEU klade větší důraz na odpovědnost vývozců a dovozů údajů za předávané osobní údaje. Z rozhodnutí Komise o standardních smluvních doložkách pak přímo vyplývá, že pokud vývozce a dovozce údajů dojdou k závěru, že standardní smluvní doložky nemohou být ve třetí zemi dodrženy, měly by být doplněny o další opatření nebo přenos údajů zastaven

Pokud tedy vývozce obdrží od dovozce údajů nebo případného dílčího zpracovatele oznámení podle doložky 5 písm. b) rozhodnutí Komise 2010/87 (že má důvod se domnívat, že mu právní předpisy, kterým podléhá, brání plnit pokyny vývozce údajů a jeho povinnosti vyplývající ze smlouvy) a doložky 8 odst. 3 citovaného rozhodnutí (povinnost dovozce údajů okamžitě informovat vývozce údajů o existenci právních předpisů, kterým on nebo dílčí zpracovatel podléhá, jež brání provést přezkoumání dovozce údajů nebo dílčího zpracovatele), a nepřijme spolu s dovozcem opatření zajišťující ochranu údajů, a přesto se rozhodne pokračovat v předání nebo odvolat jeho pozastavení, musí toto rozhodnutí oznámit orgánu dozoru. 

Pokud by Úřad obdržel takové oznámení od vývozce údajů, zahájil by řízení s cílem vyhodnotit případ předání v souladu s jeho dozorovou kompetencí, přičemž výsledek rozhodnutí v konkrétní věci logicky nelze předjímat. Obzvláště v situaci, kdy se hledá celoevropské řešení nastalé situace, a kdy i SDEU vybízí dozorové úřady ke koordinovanému postupu a spolupráci se Sborem. Rozhodnutí dozorového úřadu ve věci zrušení předání založeného na standardních smluvních doložkách by pravděpodobně předcházelo uplatnění mechanismu jednotnosti podle GDPR (žádost o posouzení dané věci Sborem). 

Ve kterých zvláštních případech musí správce osobních údajů před předáním osobních údajů do třetích zemí žádat Úřad o povolení předání nebo Úřad o předání informovat?

Povolení Úřadu k předání osobních údajů je  nutné pouze v případech, kdy správce hodlá předání realizovat na základě nestandardních nástrojů pro vytvoření vhodných záruk podle GDPR (tzn. nestandardní smluvní doložky; správní ujednání mezi orgány veřejné moci nebo veřejnými subjekty, která zahrnují vymahatelná a účinná práva subjektů údajů). I v těchto neobvyklých případech se spíše než o povolení předání jedná o schválení nestandardního nástroje pro předávání osobních údajů, které vyžaduje plné uplatnění mechanismu jednotnosti včetně vydání kladného stanoviska Evropským sborem pro ochranu osobních údajů.

Povinnost informovat Úřad stanoví GDPR pro případy jednorázového předání osobních údajů do třetích zemí omezeného počtu subjektů údajů, pokud je to nezbytné pro účely závažných oprávněných zájmů správce, jež nepřeváží nad zájmy nebo právy a svobodami subjektů údajů, a pokud nelze uplatnit žádnou z výjimek.

Jsou původní standardní smluvní doložky nadále platné? Je třeba v jejich textu nahradit odkazy na směrnici 95/46/ES novými odkazy na obecné nařízení? Kdy Evropská komise vydá nové standardní smluvní doložky odpovídající režimu nařízení?

Ano, standardní smluvní doložky přijaté rozhodnutími Evropské komise ještě v režimu směrnice 95/46/ES nadále platí a poskytují tedy pro předání osobních údajů  vhodné záruky.

Rozhodnutí Komise o standardních smluvních doložkách zůstávají v platnosti, dokud Komise nerozhodne jinak.

Zároveň v textech standardních smluvních doložek uvedené odkazy na zrušenou směrnici 95/46/ES jsou považovány za odkazy na obecné nařízení, takže tyto texty není nutné z tohoto důvodu jakkoliv upravovat.

Evropská komise si uvědomuje urgentní potřebu přizpůsobit standardní smluvní doložky novému nařízení. Nicméně i z důvodu dosud nerozhodnuté předběžné otázky, kterou nedávno předložil irský Nejvyšší soud Evropskému soudnímu dvoru v kauze známé pod názvem Schrems II, a jejíž řešení může výrazně ovlivnit výklad odpovídající úrovně ochrany osobních údajů a standardních smluvních doložek, nelze před vyřešením této předběžné otázky očekávat od Komise v tomto směru žádnou akci.

Bližší informace lze nalézt na webové stránce Úřadu v rubrice Standardní smluvní doložky.

Musíme při předání osobních údajů zpracovateli do třetí země s nedostatečnou úrovní ochrany osobních údajů podepsat vedle standardních smluvních doložek ještě zpracovatelskou smlouvu?

Smluvní vztah, který ošetří předání osobních údajů zpracovateli do třetí země s nedostatečnou úrovní ochrany osobních údajů, musí zahrnovat jak standardní smluvní doložky podle Rozhodnutí Komise ze dne 5. února 2010 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle směrnice Evropského parlamentu a Rady 95/46/ES, tak i zpracovatelskou smlouvu se všemi náležitostmi vyžadovanými ustanoveními z GDPR.

Může jít přitom buď o dva oddělené smluvní dokumenty, nebo o jeden integrovaný smluvní dokument.

Musejí závazná podniková pravidla (Binding Corporate Rules, BCR) schválená ještě před účinností obecného nařízení znovu projít novým schvalovacím řízením?

Závazná podniková pravidla schválená vedoucím dozorovým úřadem ještě v režimu směrnice 95/46/ES zůstávají v platnosti, dokud je daný vedoucí dozorový úřad nezmění, nenahradí nebo nezruší.

Skupina podniků je přitom povinna k datu účinnosti GDPR uvést schválená závazná podniková pravidla do souladu s nařízením a informovat všechny členy skupiny a prostřednictvím vedoucího dozorového úřadu i dozorové úřady všech členských zemí Evropské unie o relevantních provedených změnách.

Takto upravená závazná podniková pravidla lze používat jako vhodné záruky bez nutnosti absolvování nové schvalovací kooperační procedury.

Bližší informace a odkazy na jednotlivá stanoviska WP29 lze nalézt také na webové stránce Úřadu v rubrice Závazná podniková pravidla.

Je potřeba schválená závazná podniková pravidla (Binding Corporate Rules, BCR) předložit ke schválení dozorovému úřadu v každé členské zemi Evropské unie zvlášť, jak by mohlo vyplývat z čl. 47 odst. 1 GDPR?

Nikoliv. Příslušným dozorovým úřadem uvedeným v čl. 47 odst. 1 GDPR se míní vedoucí dozorový úřad pro závazná podniková pravidla (BCR Lead). V rámci Evropské unie jeden jediný dozorový úřad, určený k vedení schvalovací kooperační procedury a další komunikaci s danou skupinou podniků, jehož navržení je prvním krokem, který musí skupina podniků učinit v rámci žádosti o schválení svých závazných podnikových pravidel.

Schvalovací kooperační procedura je definována stanoviskem WP263 Pracovní dokument vykládající schvalovací proceduru závazných podnikových pravidel pro správce a pro zpracovatele v režimu obecného nařízení o ochraně osobních údajů.

Výsledkem této schvalovací kooperační procedury je rozhodnutí vedoucího dozorového úřadu pro závazná podniková pravidla o schválení daných závazných podnikových pravidel. Takto schválená závazná podniková pravidla představují vhodné záruky podle obecného nařízení a již nevyžadují žádné zvláštní povolení jiných dotčených dozorových úřadů.

Může správce usazený v Evropské unii předat zpracovávané osobní údaje soudním nebo správním orgánům třetí země na základě jejich přímé žádosti?

Správce osobních údajů nemůže předávat osobní údaje z Evropské unie do třetích zemí soudním nebo správním orgánům třetí země, a to ani na základě GDPR.

Pokud má proběhnout předání osobních údajů v souladu s GDPR, musí být žádost soudního nebo správního orgánu třetí země o předání osobních údajů adresována v souladu s úmluvami o vzájemné právní pomoci nebo jinými mezinárodními dohodami příslušným soudním nebo správním orgánům Evropské unie nebo členského státu Evropské unie, případně jiným subjektům, stanoveným těmito mezinárodními dohodami, které jediné jsou oprávněny v souladu s těmito mezinárodními dohodami k zajištění nezbytných osobních údajů a jejich předání do třetí země.

Stejně tak není možné zaměňovat na jedné straně veřejný zájem, který musí být uznán právem Evropské unie nebo členského státu Evropské unie, a na druhé straně veřejný zájem třetí země. Proto je možné výjimku podle GDPR aplikovat opět pouze v případech, kdy lze veřejný zájem vyvodit z práva Evropské unie nebo členského státu Evropské unie, resp. z mezinárodních dohod, které jsou součástí tohoto práva. Předání osobních údajů pak může být realizováno pouze způsobem daným těmito mezinárodními dohodami.

Bližší informace lze nalézt v Pokynech Evropského sboru pro ochranu osobních údajů k derogacím čl. 49 obecného nařízení, str. 5 a 10.

Může správce osobních údajů, resp. jeho právní zástupce, předat zpracovávané osobní údaje do Spojených států amerických advokátní kanceláři protistrany v rámci tzv. discovery procesu?

V daném případě stejně jako v jiných případech právních úkonů spojených se soudními a správními procesy ve třetích zemích přichází pro předání osobních údajů do třetí země v úvahu pouze výjimka daná ustanovením GDPR, podle níž je předání možné, pokud „je nezbytné pro určení, výkon nebo obhajobu právních nároků“.

Daná výjimka je přitom určena pro případy, ve kterých správce, resp. jeho advokátní kancelář, hodlá předat jím zpracovávané osobní údaje pro obranu svých vlastních zájmů, pro odvrácení hrozby pokuty a v jiných podobných případech, takže předání osobních údajů na základě této výjimky nemůže být vynuceno protistranou, resp. její advokátní kanceláří, ani soudními nebo správními orgány třetí země.

Blíže viz Pokyny Evropského sboru pro ochranu osobních údajů k derogacím čl. 49 obecného nařízení, str. 11.

Jsme cestovní kancelář a za účelem zajištění pobytu našich klientů v zahraničí předáváme osobní údaje klientů spolupracujícím cestovním kancelářím, leteckým společnostem a konkrétním hotelům. Kdo je v takových případech správce osobních údajů a kdo zpracovatel? Jak je třeba ošetřit předání osobních údajů klientů spolupracujícím cestovním kancelářím a hotelům ve třetí zemi?

V případě, že spolupracující cestovní kancelář zpracovává osobní údaje za svými účely a určuje prostředky zpracování, je v souladu s definicí podle GDPR správcem osobních údajů. Také incomingové cestovní kanceláře ve třetí zemi i konkrétní hotely obvykle zpracovávají nezbytné osobní údaje klientů za účely poskytnutí nasmlouvaných služeb v roli samostatných správců osobních údajů. Rovněž letecké společnosti jsou při zpracování nezbytných osobních údajů svých pasažérů za účelem zajištění letecké přepravy těchto pasažérů nepochybně v roli správce osobních údajů.

Obecně platí, že správci osobních údajů jsou při předání osobních údajů do třetích zemí s nedostatečnou úrovní ochrany osobních údajů povinni vytvořit vhodné záruky předávaným osobním údajům ve třetí zemi. Ve výjimečných případech mohou správci předání realizovat na základě některé z výjimek uvedených v čl. 49 odst. 1 písm. a) až g) GDPR.

V Pokynech Evropského sboru pro ochranu osobních údajů k derogacím čl. 49 obecného nařízení je na str. 9 přímo uvedeno, že na předání osobních údajů klientů cestovních kanceláří hotelům a jiným poskytovatelům služeb cestovního ruchu ve třetích zemích nezbytných pro plnění klientské smlouvy lze uplatnit výjimku podle čl. 49 odst. 1 písm. b) GDPR.
 

Kontext

Umístění: Složky dokumentů > Mapa stránek > Hlavní menu > Poradna > Často kladené otázky podle oblastí zpracování údajů > K předávání osobních údajů do třetích zemí

Zobrazit aktuální dokumenty | archiv dokumentů | dokumenty včetně archivu

 
 

Nacházíte se v módu "Bez grafiky", takže vidíte tuto stránku bez zdobné grafiky a pokročilého formátování. Pokud váš prohlížeč podporuje CSS2, můžete se přepnout do grafického módu.


Copyright © 2013 Úřad pro ochranu osobních údajů. Všechna práva vyhrazena.
web & design , redakční systém