Úřad pro ochranu osobních údajů

Přehled platných rozhodnutí Komise lze nalézt na webové stránce Evropské komise nebo na webové stránce Úřadu v rubrice Předávání založené na rozhodnutí o odpovídající úrovni ochrany osobních údajů. 

Z hlediska úrovně poskytované ochrany osobním údajům jsou tzv. bezpečné třetí země prakticky na úrovni členských států Evropské unie, resp. Evropského hospodářského prostoru, poněvadž předání do těchto zemí nevyžaduje ze strany předávajícího správce osobních údajů, příp. zpracovatele, přijetí žádných dodatečných opatření.   

Lze považovat země, které podepsaly a ratifikovaly Úmluvu č. 108 Rady Evropy o ochraně osob se zřetelem na automatizované zpracování osobních dat z roku 1981, za bezpečné země s odpovídající úrovní ochrany osobních údajů? 

Bezpečné třetí země, které zajišťují odpovídající úroveň ochrany osobních údajů, jsou podle čl. 45 odst. 1 obecného nařízení pouze ty země, které disponují platným rozhodnutím Evropské komise o odpovídající úrovni ochrany osobních údajů. 

Ratifikace Úmluvy č. 108 Rady Evropy proto sama o sobě neznamená, že daná země zajišťuje předávaným údajům odpovídající úroveň ochrany. 

Evropská komise pouze při rozhodování o tom, zda třetí země zajišťuje odpovídající úroveň ochrany, bude kromě jiných hledisek zohledňovat rovněž přistoupení dané třetí země k Úmluvě č. 108 a k jejímu dodatkovému protokolu [čl. 45 odst. 2 písm. c) GDPR a recitál 105].   

Je v souvislosti s rozsudkem Soudního dvora Evropské unie (SDEU) ve věci C-311/18 Data Protection Commissioner v. Facebook Ireland Limited a Maximillian Schrems (tzv. Schrems II) ze dne 16. července 2020, při předávání osobních údajů na základě standardních smluvních doložek, nutné používání těchto dokumentů hlásit Úřadu či žádat o jejich schválení?  

Nikoliv. Stále dle GDPR platí, že pokud správce nebo zpracovatel poskytl pro předávání do třetích zemí (USA) vhodné záruky pomocí standardních smluvních doložek není zapotřebí jakékoli zvláštní povolení dozorového úřadu ani není povinné tuto skutečnost oznamovat ÚOOÚ. Úřad rovněž neprovádí revizi či aprobaci smluvních doložek jednotlivých správců a zpracovatelů.  

Správce by měl vždy, když zamýšlí předat osobní údaje do třetí země, prověřit, zda vhodné záruky a ochranná opatření v doložkách skutečně zajišťují srovnatelnou úroveň ochrany zaručenou v Unii GDPR a Listinou. Zároveň je třeba vzít v úvahu i relevantní prvky právního řádu třetí země. Podrobněji v rubrice Rozsudek SDEU C-311/18 (Schrems II) a jeho důsledky. 

Správce by měl řešit s dovozcem údajů konkrétní dopady uvedeného rozsudku SDEU, navrhovat řešení (např. uložení dat včetně metadat pouze na území EU, šifrování bez zadních vrátek apod.). Přitom by neměl zapomenout na zásadu transparentnosti a informovat subjekt údajů o konkrétních opatřeních a postupech, komu a do jakých zemí jsou údaje zpřístupňovány/předány, za jakých podmínek, jak jsou jeho údaje chráněny, případně rizika s tím související. Bližší vyjádření k dané věci zveřejnil Úřad zde.      

Jsme orgán veřejné moci, za jakých podmínek můžeme předávat osobní údaje jinému orgánu veřejné moci ve třetí zemi? 

Pro každé předávání údajů do třetích zemí platí obecné pravidlo, že správce nebo zpracovatel musí poskytnout vhodné záruky, resp. zvolit vhodný nástroj pro předávání tak, aby úroveň ochrany osobních údajů předávaných do třetích zemí byla srovnatelná s úrovní ochrany poskytované právem EU. Vhodné záruky mohou být stanoveny pomocí právně závazného a vymahatelného nástroje mezi veřejnými subjekty (čl. 46 odst. 2 písm. a) GDPR) nebo s výhradou povolení od příslušného dozorového úřadu pomocí ustanovení určených k vložení do správních ujednání mezi veřejnými subjekty (čl. 46 odst. 3 písm. b) GDPR). Záruky by tedy měly být součástí mezinárodní smlouvy nebo správního ujednání, jakožto právně závazného a vymahatelného nástroje pro předání osobních údajů orgány veřejné moci nebo veřejnými subjekty v EU veřejným subjektům ve třetích zemích nebo mezinárodním organizacím. Jaké záruky by to měly být, objasňuje Evropský sbor v Pokynech Sboru 2/2020 k čl. 46 odst. 3 písm. b) a čl. 46 odst. 2 písm. a) obecného nařízení pro předání osobních údajů ze strany orgánů veřejné moci a veřejných subjektů států Evropského hospodářského prostoru orgánům veřejné moci a veřejným subjektům mimo Evropský hospodářský prostor. 

Podle těchto pokynů by každá mezinárodní dohoda měla obsahovat výčet a naplňování základních zásad ochrany osobních údajů (např. by měla jasně uvádět dotčené kategorie osobních údajů a jejich způsob zpracování, které jsou podle dohody předávány a zpracovávány, závazek stran přijmout vhodná technická a organizační opatření na ochranu osobních údajů, povinnost stran zachovávat transparentnost apod.). Dále by měla zajistit vymahatelná a účinná práva subjektů údajů. V dohodě by měla být uvedena práva, která subjekty údajů požívají, včetně konkrétních závazků stran taková práva zajistit (právo na přístup k osobním údajům, jejich opravu, výmaz, omezení zpracování subjektům údajů apod.), stanovit mechanismy, které zajišťují jejich uplatňování v praxi a vhodné nápravy v případě jejich porušení. Chybět by nemělo ani nastavení podmínek pro další předávání a sdílení údajů přijímacím veřejným subjektem příjemcům, kteří nejsou vázáni dohodou nebo zajištění mechanismu dohledu, zda jsou závazky vytvořené mezinárodní dohodou dodržovány.   

Jsou stále v platnosti původní standardní doložky sjednané před přijetím nových standardních doložek nebo musím uzavřít nové? 

Od 27. června 2021 je možné používat nové standardní smluvní doložky podle rozhodnutí Komise 2021/914. Starší smluvní doložky podle rozhodnutí Komise 200/497/ES a 2010/87/ES bylo možné uzavírat do 27. září 2021. Původní doložky jsou považovány za poskytující vhodné záruky do 27. prosince 2022, za předpokladu, že operace zpracování, které jsou předmětem této smlouvy, zůstávají beze změny a že spoléhání se na tyto doložky zajistí, že se na předávání osobních údajů budou vztahovat vhodné záruky. Nejpozději tedy do 27. prosince 2022 bude nutné starší doložky nahradit novými. 

Správce nebo zpracovatel, který zamýšlí předávat osobní údaje do třetích zemí bude nicméně výhodnější nespoléhat na starší znění doložek, byť je možné je i nadále využívat, ale zvolit doložky nové, které reagují na rozhodnutí ESD z července 2020, který zrušil Štít soukromí (Schrems II), a poskytují propracovanější záruky pro bezpečné předávání do třetích zemí.   

Pokud pro předávání osobních údajů do třetích zemí zvolím nové standardní smluvní doložky, je to dostatečné nebo musí ještě přijmout nějaké dodatečné záruky? 

Nové standardní smluvní doložky podle rozhodnutí Komise 2021/914 jsou jedním z nástrojů pro vytvoření vhodných záruk ochrany osobních údajů ve třetí zemi s nedostatečnou úrovní ochrany osobních údajů. Pokud tedy vývozce údajů uzavře s dovozcem údajů standardní doložky, splní tak svou povinnost vybrat pro předávání do třetí země některý z bezpečných nástrojů. Nicméně to samo o sobě nezbavuje smluvní strany povinnosti provést předem analýzu přiměřenosti s cílem řešit případné dopady právních předpisů třetí země na dodržování doložek ze strany dovozce, zejména to, jak vyřídit závazné žádosti orgánů veřejné moci třetí země týkající se zpřístupnění předávaných osobních údajů. Proto i Komise vybízí ve svém rozhodnutí o standardních smluvních doložkách správce a zpracovatele k poskytování dodatečných záruk prostřednictvím smluvních závazků, které standardní smluvní doložky doplní. Přijetí dodatečných záruk, pokud to bude nezbytné, budou muset být určeny případ od případu. Evropský sbor přijal doporučení 1/2020 poskytující vývozcům návod, podle kterého by měly postupovat při určování konkrétních doplňujících opatření včetně některých příkladů opatření, která by mohla být zavedena.   

Musíme při předání osobních údajů zpracovateli do třetí země s nedostatečnou úrovní ochrany osobních údajů podepsat vedle standardních smluvních doložek ještě zpracovatelskou smlouvu? 

Nové standardní smluvní doložky podle rozhodnutí Komise 2021/914 zahrnují v příslušných modulech náležitosti zpracovatelské smlouvy podle čl. 28 obecného nařízení, takže uzavřená smlouva, jejíž součástí jsou uvedené standardní smluvní doložky s pečlivě vypracovanými odpovídajícími přílohami, je zároveň nástrojem pro vytvoření vhodných záruk předávání osobních údajů i zpracovatelskou smlouvou ve smyslu čl. 28 obecného nařízení.   

Ve kterých zvláštních případech musí správce osobních údajů před předáním osobních údajů do třetích zemí žádat Úřad o povolení předání nebo Úřad o předání informovat? 

Povolení Úřadu k předání osobních údajů je nutné pouze v případech, kdy správce hodlá předání realizovat na základě nestandardních nástrojů pro vytvoření vhodných záruk podle GDPR (tzn. nestandardní smluvní doložky; správní ujednání mezi orgány veřejné moci nebo veřejnými subjekty, která zahrnují vymahatelná a účinná práva subjektů údajů). I v těchto neobvyklých případech se spíše než o povolení předání jedná o schválení nestandardního nástroje pro předávání osobních údajů, které vyžaduje plné uplatnění mechanismu jednotnosti včetně vydání kladného stanoviska Evropským sborem pro ochranu osobních údajů. 

Povinnost informovat Úřad stanoví GDPR pro případy jednorázového předání osobních údajů do třetích zemí omezeného počtu subjektů údajů, pokud je to nezbytné pro účely závažných oprávněných zájmů správce, jež nepřeváží nad zájmy nebo právy a svobodami subjektů údajů, a pokud nelze uplatnit žádnou z výjimek.     

Musejí závazná podniková pravidla (Binding Corporate Rules, BCR) schválená ještě před účinností obecného nařízení znovu projít novým schvalovacím řízením? 

Závazná podniková pravidla schválená vedoucím dozorovým úřadem ještě v režimu směrnice 95/46/ES zůstávají v platnosti, dokud je daný vedoucí dozorový úřad nezmění, nenahradí nebo nezruší. 

Skupina podniků je přitom povinna k datu účinnosti GDPR uvést schválená závazná podniková pravidla do souladu s nařízením a informovat všechny členy skupiny a prostřednictvím vedoucího dozorového úřadu i dozorové úřady všech členských zemí Evropské unie o relevantních provedených změnách. 

Takto upravená závazná podniková pravidla lze používat jako vhodné záruky bez nutnosti absolvování nové schvalovací kooperační procedury. 

Bližší informace a odkazy na jednotlivá stanoviska WP29 lze nalézt také na webové stránce Úřadu v rubrice Závazná podniková pravidla.    

Je potřeba schválená závazná podniková pravidla (Binding Corporate Rules, BCR) předložit ke schválení dozorovému úřadu v každé členské zemi Evropské unie zvlášť, jak by mohlo vyplývat z čl. 47 odst. 1 GDPR? 

Nikoliv. Příslušným dozorovým úřadem uvedeným v čl. 47 odst. 1 GDPR se míní vedoucí dozorový úřad pro závazná podniková pravidla (BCR Lead). V rámci Evropské unie jeden jediný dozorový úřad, určený k vedení schvalovací kooperační procedury a další komunikaci s danou skupinou podniků, jehož navržení je prvním krokem, který musí skupina podniků učinit v rámci žádosti o schválení svých závazných podnikových pravidel. 

Schvalovací kooperační procedura je definována stanoviskem WP263 Pracovní dokument vykládající schvalovací proceduru závazných podnikových pravidel pro správce a pro zpracovatele v režimu obecného nařízení o ochraně osobních údajů. 

Výsledkem této schvalovací kooperační procedury je rozhodnutí vedoucího dozorového úřadu pro závazná podniková pravidla o schválení daných závazných podnikových pravidel. Takto schválená závazná podniková pravidla představují vhodné záruky podle obecného nařízení a již nevyžadují žádné zvláštní povolení jiných dotčených dozorových úřadů.   

Může správce usazený v Evropské unii předat zpracovávané osobní údaje soudním nebo správním orgánům třetí země na základě jejich přímé žádosti? 

Správce osobních údajů nemůže předávat osobní údaje z Evropské unie do třetích zemí soudním nebo správním orgánům třetí země, a to ani na základě GDPR. 

Pokud má proběhnout předání osobních údajů v souladu s GDPR, musí být žádost soudního nebo správního orgánu třetí země o předání osobních údajů adresována v souladu s úmluvami o vzájemné právní pomoci nebo jinými mezinárodními dohodami příslušným soudním nebo správním orgánům Evropské unie nebo členského státu Evropské unie, případně jiným subjektům, stanoveným těmito mezinárodními dohodami, které jediné jsou oprávněny v souladu s těmito mezinárodními dohodami k zajištění nezbytných osobních údajů a jejich předání do třetí země. 

Stejně tak není možné zaměňovat na jedné straně veřejný zájem, který musí být uznán právem Evropské unie nebo členského státu Evropské unie, a na druhé straně veřejný zájem třetí země. Proto je možné výjimku podle GDPR aplikovat opět pouze v případech, kdy lze veřejný zájem vyvodit z práva Evropské unie nebo členského státu Evropské unie, resp. z mezinárodních dohod, které jsou součástí tohoto práva. Předání osobních údajů pak může být realizováno pouze způsobem daným těmito mezinárodními dohodami. 

Bližší informace lze nalézt v Pokynech Evropského sboru pro ochranu osobních údajů k derogacím čl. 49 obecného nařízení, str. 5 a 10.   

Může správce osobních údajů, resp. jeho právní zástupce, předat zpracovávané osobní údaje do Spojených států amerických advokátní kanceláři protistrany v rámci tzv. discovery procesu? 

V daném případě stejně jako v jiných případech právních úkonů spojených se soudními a správními procesy ve třetích zemích přichází pro předání osobních údajů do třetí země v úvahu pouze výjimka daná ustanovením GDPR, podle níž je předání možné, pokud „je nezbytné pro určení, výkon nebo obhajobu právních nároků“. 

Daná výjimka je přitom určena pro případy, ve kterých správce, resp. jeho advokátní kancelář, hodlá předat jím zpracovávané osobní údaje pro obranu svých vlastních zájmů, pro odvrácení hrozby pokuty a v jiných podobných případech, takže předání osobních údajů na základě této výjimky nemůže být vynuceno protistranou, resp. její advokátní kanceláří, ani soudními nebo správními orgány třetí země. 

Blíže viz Pokyny Evropského sboru pro ochranu osobních údajů k derogacím čl. 49 obecného nařízení, str. 11. 

Jsme cestovní kancelář a za účelem zajištění pobytu našich klientů v zahraničí předáváme osobní údaje klientů spolupracujícím cestovním kancelářím, leteckým společnostem a konkrétním hotelům. Kdo je v takových případech správce osobních údajů a kdo zpracovatel? Jak je třeba ošetřit předání osobních údajů klientů spolupracujícím cestovním kancelářím a hotelům ve třetí zemi? 

V případě, že spolupracující cestovní kancelář zpracovává osobní údaje za svými účely a určuje prostředky zpracování, je v souladu s definicí podle GDPR správcem osobních údajů. Také incomingové cestovní kanceláře ve třetí zemi i konkrétní hotely obvykle zpracovávají nezbytné osobní údaje klientů za účely poskytnutí nasmlouvaných služeb v roli samostatných správců osobních údajů. Rovněž letecké společnosti jsou při zpracování nezbytných osobních údajů svých pasažérů za účelem zajištění letecké přepravy těchto pasažérů nepochybně v roli správce osobních údajů. 

Obecně platí, že správci osobních údajů jsou při předání osobních údajů do třetích zemí s nedostatečnou úrovní ochrany osobních údajů povinni vytvořit vhodné záruky předávaným osobním údajům ve třetí zemi. Ve výjimečných případech mohou správci předání realizovat na základě některé z výjimek uvedených v čl. 49 odst. 1 písm. a) až g) GDPR. 

V Pokynech Evropského sboru pro ochranu osobních údajů k derogacím čl. 49 obecného nařízení je na str. 9 přímo uvedeno, že na předání osobních údajů klientů cestovních kanceláří hotelům a jiným poskytovatelům služeb cestovního ruchu ve třetích zemích nezbytných pro plnění klientské smlouvy lze uplatnit výjimku podle čl. 49 odst. 1 písm. b) GDPR.