Úřad pro ochranu osobních údajů


International


Vyhledávání

 

Základní odkazy

 

Cesta: Titulní stránka > Hlavní menu > Předávání osobních údajů do zahraničí > K problémům z praxe > Závazná podniková pravidla (Binding Corporate Rules) jako nástroj běžného předávání osobních údajů do třetích zemí

 

Závazná podniková pravidla (Binding Corporate Rules) jako nástroj běžného předávání osobních údajů do třetích zemí

 
 
 

V současném globalizovaném světě je mezinárodní předávání osobních údajů důležitou součástí fungování každé nadnárodní společnosti. Předávaní osobních údajů v rámci nadnárodních společností se stalo každodenní potřebou. Je v zájmu nejen podnikatelského sektoru, ale také dozorových úřadů, vytvořit fungující a životaschopný nástroj zajišťující dostatečnou ochranu osobních údajů při jejich zpracování a předání do třetích zemí. Takovým nástrojem mohou být i závazná podniková pravidla (tzv. Binding Corporate Rules – dále jen BCR).

Směrnice Evropského parlamentu a Rady 95/46/ES o ochraně jednotlivců v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen směrnice) v čl. 25 stanovila zásadu, že do třetích zemí mohou být osobní údaje předány pouze za předpokladu, že dotyčná třetí země zajistí odpovídající úroveň ochrany. V případě předání osobních údajů do třetí země, která nezajišťuje odpovídající úroveň ochrany, může být takové předání uskutečněno, pokud náležitá opatření směřující k ochraně osobních údajů poskytne sám správce. Jednou z možností, jak lze zajistit ochranu a legálnost zpracování a přenosu osobních údajů do třetích zemí je, v souladu s čl. 26 (2) směrnice, přijetí BCR.

V poslední době získává tento způsob zajištění legálnosti přenosu dat do třetích zemí ze strany nadnárodních společností stále více na oblibě. Zvláště velké nadnárodní společnosti tuto možnost vítají, neboť BCR pro ně představují nejschůdnější a nejlevnější cestu k legálnímu zpracování a přenosu dat v rámci celé společnosti. Podrobné informace o BCR poskytují doporučení Pracovní skupiny pro ochranu dat podle článku 29 (Working party 29), která jsou publikována v pracovních dokumentech WP 74, WP 107, WP 108 (1) WP 133, WP153, WP154 a WP155. Každá společnost, která se rozhodne vytvořit a následně předložit dozorovému úřadu ke schválení BCR, by se měla nejprve seznámit s těmito pracovními dokumenty a v dalším postupu z nich vycházet. Poskytují totiž návod, jakým způsobem dosáhnout toho, aby BCR mohly být skutečně považovány za nástroj poskytující dostatečná ochranná opatření. Obecně platí, že principy ochrany osobních údajů obsažené v BCR musejí být v souladu se základními principy zpracování osobních údajů, vyjádřenými ve směrnici a samozřejmě i s právními předpisy všech zemí EU, ve kterých má nadnárodní společnost své pobočky, poskytující osobní údaje k využití uvnitř společnosti. Výhodou BCR pro nadnárodní společnosti je skutečnost, že usnadňují vnitřní toky osobních údajů, obvykle buď zaměstnanců, nebo klientů, bez nadměrných rizik pro subjekty těchto údajů.

V této souvislosti je nutné zdůraznit, že BCR platí pouze pro přenos osobních údajů v rámci jedné nadnárodní společnosti, nikoli již pro předání mimo tuto společnost. Pro tyto případy (tzv. „onward transfer“) je možné použít např. standardní smluvní doložky. Společnost, která se rozhodne zavést BCR, se mj. musí zavázat, že stanovená pravidla ochrany osobních údajů budou přijata v celé společnosti (tedy všemi organizačními složkami), a že bude zajištěno jejich dodržování prostřednictvím zavedených dozorových mechanismů. Skutečná závaznost tj. vymahatelnost přijatých principů, je jedním z hlavních závazků a zároveň „stavebním kamenem“ každých BCR.

Vytvoření a konečné schválení BCR je poměrně složitý a časově náročný proces. V rámci zemí EU je určen dozorový úřad, který je nejvhodnější autoritou pro předložení žádosti (většinou se jedná o dozorový úřad země, která je zároveň sídlem mateřské společnosti), a která následně koordinuje celý schvalovací proces. Žadatel, na základě jednání s odpovědným dozorovým úřadem (tzv. lead authority), vytvoří návrh BCR, který je zaslán k připomínkám dozorovým úřadům v EU působícím v zemích, z nichž jsou data předávána. Přijaté připomínky jsou předány zpět žadateli k vyjádření. Po vypořádání připomínek je připraven finální návrh, který je schválen relevantními dozorovými úřady.

Zavedení BCR do praxe by mělo vést k vytvoření komplexní ochrany soukromí uvnitř organizace umožňující volnou výměnu osobních údajů mezi jednotlivými pobočkami této společnosti, aniž by přitom bylo porušeno právo na ochranu soukromí a základní práva a svobody subjektů údajů. Zároveň je nutné, aby BCR byly „živé“, aplikovatelné pro každodenní obchodní praxi. Měly by zejména obsahovat praktické informace např. jakým způsobem jsou zaměstnanci informováni o závaznosti a nutnosti dodržovat přijatá pravidla (např. prostřednictvím speciálního vzdělávacího programu), jakým způsobem mohou subjekty údajů efektivně uplatňovat svá práva, jakým způsobem je kontrolováno dodržování závaznosti BCR v praxi (systém prováděných auditů) apod.

Dosavadní zkušenosti ze zemí EU hovoří ve prospěch zavádění BCR do praxe. Některé dozorové úřady (Nizozemí, Velká Británie, Španělsko) se velmi intenzivně věnují této problematice a v několika případech již přijaly roli tzv. vedoucí autority, která koordinuje celý schvalovací proces. Nejčastějším (nikoliv však jediným) kritériem pro přiznání úlohy vedoucí autority ostatními dozorovými orgány je umístění sídla nadnárodní společnosti v příslušném členském státě EU. Úřad zatím vystupoval pouze v roli připomínkového místa, kterému byly BCR předloženy ke schválení. Již nyní je možné předpokládat, že BCR bude postupně zavádět stále více společností a jejich význam a role v systému mezinárodního předávání bude narůstat.

Poznámka:

1Pracovní skupina pro ochranu jednotlivců s ohledem na zpracování osobních údajů (WP 29), je nezávislý poradní orgán Evropské komise sdružující zástupce národních dozorových orgánů jednotlivých členských států EU. Pracovní dokumenty WP 74 ze dne 3. června 2003, WP 107, WP 108 ze dne 14. dubna 2005, WP 133 ze dne 10. ledna 2007 a WP153, WP154 a WP155 ze dne 24. června 2008 jsou k dispozici na těchto webových stránkách.

 

Kontext

Umístění: Složky dokumentů > Mapa stránek > Hlavní menu > Předávání osobních údajů do zahraničí > K problémům z praxe > Závazná podniková pravidla (Binding Corporate Rules) jako nástroj běžného předávání osobních údajů do třetích zemí

Zobrazit aktuální dokumenty | archiv dokumentů | dokumenty včetně archivu

 
 

Nacházíte se v módu "Bez grafiky", takže vidíte tuto stránku bez zdobné grafiky a pokročilého formátování. Pokud váš prohlížeč podporuje CSS2, můžete se přepnout do grafického módu.


Copyright © 2013 Úřad pro ochranu osobních údajů. Všechna práva vyhrazena.
web & design , redakční systém