Kde
najdu přehled zemí, které jsou považovány za bezpečné z hlediska úrovně
poskytované ochrany a do kterých mohu předávat údaje bez jakéhokoliv
omezení?
Z
hlediska úrovně poskytované ochrany osobním údajům jsou tzv. bezpečné
třetí země
prakticky na úrovni členských států Evropské unie, resp.
Evropského hospodářského prostoru, poněvadž předání do těchto zemí
nevyžaduje ze strany předávajícího správce osobních údajů, příp.
zpracovatele,
přijetí žádných dodatečných opatření.
Lze
považovat země, které podepsaly a ratifikovaly Úmluvu č. 108 Rady
Evropy o ochraně osob se zřetelem na automatizované zpracování osobních
dat z roku 1981, za bezpečné země s odpovídající úrovní ochrany osobních
údajů?
Bezpečné třetí země, které zajišťují odpovídající
úroveň ochrany osobních údajů, jsou podle čl. 45 odst. 1 obecného
nařízení pouze ty země, které disponují platným rozhodnutím Evropské
komise o odpovídající úrovni ochrany osobních údajů.
Ratifikace
Úmluvy č. 108 Rady Evropy proto sama o sobě neznamená, že daná země
zajišťuje předávaným údajům odpovídající úroveň ochrany.
Evropská
komise pouze při rozhodování o tom, zda třetí země zajišťuje
odpovídající úroveň ochrany, bude kromě jiných hledisek zohledňovat
rovněž přistoupení dané třetí země k Úmluvě č. 108 a k jejímu
dodatkovému protokolu [čl. 45 odst. 2 písm. c) GDPR a
recitál 105].
Je v souvislosti s rozsudkem Soudního dvora Evropské unie (SDEU) ve věci C-311/18 Data Protection Commissioner v. Facebook Ireland Limited a Maximillian Schrems (tzv. Schrems II) ze dne 16. července 2020, při předávání osobních údajů na základě standardních smluvních doložek, nutné používání těchto dokumentů hlásit Úřadu či žádat o jejich schválení?
Nikoliv. Stále dle GDPR platí, že pokud správce nebo zpracovatel poskytl pro předávání do třetích zemí (USA) vhodné záruky pomocí standardních smluvních doložek není zapotřebí jakékoli zvláštní povolení dozorového úřadu ani není povinné tuto skutečnost oznamovat ÚOOÚ. Úřad rovněž neprovádí revizi či aprobaci smluvních doložek jednotlivých správců a zpracovatelů.
Správce by měl vždy, když zamýšlí předat osobní údaje do třetí země, prověřit, zda vhodné záruky a ochranná opatření v doložkách skutečně zajišťují srovnatelnou úroveň ochrany zaručenou v Unii GDPR a Listinou. Zároveň je třeba vzít v úvahu i relevantní prvky právního řádu třetí země.
Správce by měl řešit s dovozcem údajů konkrétní dopady uvedeného rozsudku SDEU, navrhovat řešení (např. uložení dat včetně metadat pouze na území EU, šifrování bez zadních vrátek apod.). Přitom by neměl zapomenout na zásadu transparentnosti a informovat subjekt údajů o konkrétních opatřeních a postupech, komu a do jakých zemí jsou údaje zpřístupňovány/předány, za jakých podmínek, jak jsou jeho údaje chráněny, případně rizika s tím související. Bližší vyjádření k dané věci zveřejnil Úřad zde.
Jak bude Úřad postupovat dle očekávání SDEU týkající se povinnosti regulátora dočasně nebo trvale zakázat předávání osobních údajů do třetí země, jestliže dospěje k závěru, že ochrana předaných údajů není, ani přes sjednané standardní doložky, ve třetí zemi dostatečná?
Článek 4 rozhodnutí Komise 2010/87 o standardních smluvních doložkách ve spojení s bodem 11 odůvodnění tohoto rozhodnutí dává kompetenci dozorovému úřadu dočasně nebo trvale zakázat nebo pozastavit předání údajů na základě standardních smluvních doložek v konkrétních případech, kdy by předání mohlo mít nepříznivý dopad na práva jednotlivců v souvislosti se zpracováním jejich osobních údajů. Článek 58 odst. 2 písm. f) a j) GDPR, pravomoci dozorového úřadu potvrzují. Na tuto skutečnost upozorňuje i rozsudek SDEU (odst. 113, 114, 115).
Role Úřadu v celém procesu předání údajů mezi vývozcem a dovozcem údajů na základě standardních smluvních doložek je však pouze sekundární. Rovněž rozsudek SDEU klade větší důraz na odpovědnost vývozců a dovozů údajů za předávané osobní údaje. Z rozhodnutí Komise o standardních smluvních doložkách pak přímo vyplývá, že pokud vývozce a dovozce údajů dojdou k závěru, že standardní smluvní doložky nemohou být ve třetí zemi dodrženy, měly by být doplněny o další opatření nebo přenos údajů zastaven.
Pokud tedy vývozce obdrží od dovozce údajů nebo případného dílčího zpracovatele oznámení podle doložky 5 písm. b) rozhodnutí Komise 2010/87 (že má důvod se domnívat, že mu právní předpisy, kterým podléhá, brání plnit pokyny vývozce údajů a jeho povinnosti vyplývající ze smlouvy) a doložky 8 odst. 3 citovaného rozhodnutí (povinnost dovozce údajů okamžitě informovat vývozce údajů o existenci právních předpisů, kterým on nebo dílčí zpracovatel podléhá, jež brání provést přezkoumání dovozce údajů nebo dílčího zpracovatele), a nepřijme spolu s dovozcem opatření zajišťující ochranu údajů, a přesto se rozhodne pokračovat v předání nebo odvolat jeho pozastavení, musí toto rozhodnutí oznámit orgánu dozoru.
Pokud by Úřad obdržel takové oznámení od vývozce údajů, zahájil by řízení s cílem vyhodnotit případ předání v souladu s jeho dozorovou kompetencí, přičemž výsledek rozhodnutí v konkrétní věci logicky nelze předjímat. Obzvláště v situaci, kdy se hledá celoevropské řešení nastalé situace, a kdy i SDEU vybízí dozorové úřady ke koordinovanému postupu a spolupráci se Sborem. Rozhodnutí dozorového úřadu ve věci zrušení předání založeného na standardních smluvních doložkách by pravděpodobně předcházelo uplatnění mechanismu jednotnosti podle GDPR (žádost o posouzení dané věci Sborem).
Ve kterých zvláštních
případech musí správce osobních údajů před předáním osobních údajů do
třetích zemí žádat Úřad o povolení předání nebo Úřad o předání
informovat?
Povolení Úřadu k předání osobních údajů je nutné
pouze v případech, kdy správce hodlá předání realizovat na základě
nestandardních nástrojů pro vytvoření vhodných záruk podle GDPR (tzn. nestandardní smluvní doložky;
správní ujednání mezi orgány veřejné moci nebo veřejnými subjekty, která
zahrnují vymahatelná a účinná práva subjektů údajů). I v těchto
neobvyklých případech se spíše než o povolení předání jedná o schválení
nestandardního nástroje pro předávání osobních údajů, které vyžaduje
plné uplatnění mechanismu jednotnosti včetně vydání kladného stanoviska
Evropským sborem pro ochranu osobních údajů.
Povinnost
informovat Úřad stanoví GDPR pro případy jednorázového předání osobních údajů do třetích
zemí omezeného počtu subjektů údajů, pokud je to nezbytné pro účely
závažných oprávněných zájmů správce, jež nepřeváží nad zájmy nebo právy a
svobodami subjektů údajů, a pokud nelze uplatnit žádnou z výjimek.
Jsou
původní standardní smluvní doložky nadále platné? Je třeba v jejich
textu nahradit odkazy na směrnici 95/46/ES novými odkazy na obecné
nařízení? Kdy Evropská komise vydá nové standardní smluvní doložky
odpovídající režimu nařízení?
Ano, standardní smluvní doložky
přijaté rozhodnutími Evropské komise ještě v režimu směrnice 95/46/ES
nadále platí a poskytují tedy pro předání osobních údajů vhodné záruky.
Rozhodnutí
Komise o standardních smluvních doložkách zůstávají v platnosti, dokud Komise
nerozhodne jinak.
Zároveň v textech standardních smluvních
doložek uvedené odkazy na zrušenou směrnici 95/46/ES jsou považovány za
odkazy na obecné nařízení, takže tyto texty není nutné z tohoto důvodu
jakkoliv upravovat.
Evropská
komise si uvědomuje urgentní potřebu přizpůsobit standardní smluvní
doložky novému nařízení. Nicméně i z důvodu dosud nerozhodnuté předběžné
otázky, kterou nedávno předložil irský Nejvyšší soud Evropskému
soudnímu dvoru v kauze známé pod názvem Schrems II, a jejíž řešení může
výrazně ovlivnit výklad odpovídající úrovně ochrany osobních údajů a
standardních smluvních doložek, nelze před vyřešením této předběžné
otázky očekávat od Komise v tomto směru žádnou akci.
Musíme
při předání osobních údajů zpracovateli do třetí země s nedostatečnou
úrovní ochrany osobních údajů podepsat vedle standardních smluvních
doložek ještě zpracovatelskou smlouvu?
Smluvní vztah, který
ošetří předání osobních údajů zpracovateli do třetí země s nedostatečnou
úrovní ochrany osobních údajů,
musí zahrnovat jak standardní smluvní
doložky podle
Rozhodnutí Komise ze dne 5. února 2010
o standardních smluvních doložkách pro předávání osobních údajů
zpracovatelům usazeným ve třetích zemích podle směrnice Evropského
parlamentu a Rady 95/46/ES, tak i zpracovatelskou smlouvu se všemi
náležitostmi vyžadovanými ustanoveními z GDPR.
Může jít přitom buď o dva oddělené smluvní dokumenty, nebo o jeden integrovaný smluvní dokument.
Musejí
závazná podniková pravidla (Binding Corporate Rules, BCR) schválená
ještě před účinností obecného nařízení znovu projít novým schvalovacím
řízením?
Závazná podniková pravidla schválená vedoucím
dozorovým úřadem ještě v režimu směrnice 95/46/ES
zůstávají v platnosti,
dokud je daný vedoucí dozorový úřad nezmění, nenahradí nebo nezruší.
Skupina podniků je přitom
povinna k datu účinnosti GDPR uvést schválená závazná
podniková pravidla do souladu s nařízením a informovat všechny členy
skupiny a prostřednictvím vedoucího dozorového úřadu i dozorové úřady
všech členských zemí Evropské unie o relevantních provedených změnách.
Takto
upravená závazná podniková pravidla lze používat jako vhodné záruky bez
nutnosti absolvování nové schvalovací kooperační procedury.
Bližší informace a odkazy na jednotlivá stanoviska WP29 lze nalézt také na webové stránce Úřadu v rubrice
Závazná podniková pravidla.
Je
potřeba schválená závazná podniková pravidla (Binding Corporate Rules,
BCR) předložit ke schválení dozorovému úřadu v každé členské zemi
Evropské unie zvlášť, jak by mohlo vyplývat z čl. 47 odst. 1 GDPR?Nikoliv. Příslušným dozorovým úřadem uvedeným v čl.
47 odst. 1 GDPR se míní
vedoucí dozorový úřad pro závazná
podniková pravidla (BCR Lead). V rámci Evropské unie jeden jediný
dozorový úřad, určený k vedení schvalovací kooperační procedury a další
komunikaci s danou skupinou podniků, jehož navržení je prvním krokem,
který musí skupina podniků učinit v rámci žádosti o schválení svých
závazných podnikových pravidel.
Schvalovací kooperační procedura je definována stanoviskem
WP263 Pracovní dokument vykládající schvalovací proceduru závazných
podnikových pravidel pro správce a pro zpracovatele v režimu obecného
nařízení o ochraně osobních údajů.
Výsledkem této schvalovací
kooperační procedury je rozhodnutí vedoucího dozorového úřadu pro
závazná podniková pravidla o schválení daných závazných podnikových
pravidel. Takto schválená závazná podniková pravidla představují vhodné
záruky podle obecného nařízení a již nevyžadují
žádné zvláštní povolení jiných dotčených dozorových úřadů.
Může
správce usazený v Evropské unii předat zpracovávané osobní údaje
soudním nebo správním orgánům třetí země na základě jejich přímé
žádosti?Správce osobních údajů
nemůže předávat osobní údaje z
Evropské unie do třetích zemí soudním nebo správním orgánům třetí země,
a to ani na základě GDPR.
Pokud má proběhnout předání osobních údajů v
souladu s GDPR, musí být žádost soudního nebo
správního orgánu třetí země o předání osobních údajů
adresována v
souladu s úmluvami o vzájemné právní pomoci nebo jinými mezinárodními
dohodami příslušným soudním nebo správním orgánům Evropské unie nebo
členského státu Evropské unie, případně jiným subjektům,
stanoveným
těmito mezinárodními dohodami, které jediné jsou oprávněny v souladu s
těmito mezinárodními dohodami k zajištění nezbytných osobních údajů a
jejich předání do třetí země.
Stejně tak není možné zaměňovat na
jedné straně veřejný zájem, který musí být uznán právem Evropské unie
nebo členského státu Evropské unie, a na druhé straně veřejný zájem
třetí země. Proto je možné výjimku podle GDPR aplikovat opět pouze v případech, kdy
lze veřejný
zájem vyvodit z práva Evropské unie nebo členského státu Evropské unie,
resp. z mezinárodních dohod, které jsou součástí tohoto práva. Předání
osobních údajů pak může být realizováno pouze způsobem
daným těmito
mezinárodními dohodami.
Bližší informace lze nalézt v
Pokynech Evropského sboru pro ochranu osobních údajů k derogacím čl. 49 obecného nařízení, str. 5 a 10.
Může
správce osobních údajů, resp. jeho právní zástupce, předat zpracovávané
osobní údaje do Spojených států amerických advokátní kanceláři
protistrany v rámci tzv. discovery procesu?V daném případě
stejně jako v jiných případech právních úkonů spojených se soudními a
správními procesy ve třetích zemích přichází pro předání osobních údajů
do třetí země v úvahu
pouze výjimka daná ustanovením GDPR, podle níž je předání možné, pokud
„je
nezbytné pro určení, výkon nebo obhajobu právních nároků“.
Daná
výjimka je přitom určena pro případy, ve kterých správce, resp. jeho
advokátní kancelář, hodlá předat jím zpracovávané osobní údaje
pro
obranu svých vlastních zájmů, pro odvrácení hrozby pokuty a v jiných
podobných případech, takže předání osobních údajů na základě této
výjimky
nemůže být vynuceno protistranou, resp. její advokátní
kanceláří, ani soudními nebo správními orgány třetí země.
Blíže viz
Pokyny Evropského sboru pro ochranu osobních údajů k derogacím čl. 49 obecného nařízení, str. 11.
Jsme cestovní kancelář a za
účelem zajištění pobytu našich klientů v zahraničí předáváme osobní
údaje klientů spolupracujícím cestovním kancelářím, leteckým
společnostem a konkrétním hotelům. Kdo je v takových případech správce
osobních údajů a kdo zpracovatel? Jak je třeba ošetřit předání osobních
údajů klientů spolupracujícím cestovním kancelářím a hotelům ve třetí
zemi?V případě, že spolupracující cestovní kancelář
zpracovává osobní údaje za svými účely a určuje prostředky zpracování,
je v souladu s definicí podle GDPR správcem
osobních údajů. Také incomingové cestovní kanceláře ve třetí zemi i
konkrétní hotely obvykle zpracovávají nezbytné osobní údaje klientů za
účely poskytnutí nasmlouvaných služeb v roli samostatných správců
osobních údajů. Rovněž letecké společnosti jsou při zpracování
nezbytných osobních údajů svých pasažérů za účelem zajištění letecké
přepravy těchto pasažérů nepochybně v roli správce osobních údajů.
Obecně
platí, že
správci osobních údajů jsou při předání osobních údajů do
třetích zemí s nedostatečnou úrovní ochrany osobních údajů povinni
vytvořit vhodné záruky předávaným osobním údajům ve třetí zemi. Ve
výjimečných případech mohou správci předání realizovat na základě
některé z výjimek uvedených v čl. 49 odst. 1 písm. a) až g) GDPR.
V
Pokynech Evropského sboru pro ochranu osobních údajů k derogacím čl. 49 obecného nařízení
je na str. 9 přímo uvedeno, že na předání osobních údajů klientů
cestovních kanceláří hotelům a jiným poskytovatelům služeb cestovního
ruchu ve třetích zemích nezbytných pro plnění klientské smlouvy lze
uplatnit výjimku podle čl. 49 odst. 1 písm. b) GDPR.
