Proč řešit předávání osobních údajů mimo EU?
Obecné nařízení o ochraně osobních údajů (GDPR) vychází z toho, že v rámci Evropské unie jsou pravidla pro ochranu fyzických osob při zpracování údajů nastavena jednotně. Proto není důvodu toku dat v rámci EU bránit.
Za hranicemi Evropské unie, resp. Evropského hospodářského prostoru, už to neplatí. Organizace, která data předává do tzv. třetí země, musí zajistit, aby byla v odpovídajícím rozsahu zajištěna práva a svobody dotčených lidí. Bez ohledu na to, jestli osobní údaje předává ve skupině, využívá dodavatele ze třetí země nebo je sama dodavatelem, zpracovatelem údajů, který shromažďuje údaje pro správce se sídlem někde za mořem.
Typické nástroje pro ochranu dat
Pro zajištění dostatečné úrovně ochrany osobních údajů ve třetí zemi nabízí GDPR několik základních nástrojů:
Rozhodnutí o odpovídající ochraně osobních údajů
Evropská komise může rozhodnout, že určitá země, území nebo konkrétní odvětví ve třetí zemi má nastavena pravidla, která jsou rovnocenná naší úrovni ochrany osobních údajů. Mezi tyto bezpečné státy či oblasti patří např. Velká Británie, Švýcarsko, Japonsko, Jižní Korea, komerční sektor v Kanadě nebo USA, resp. ty americké společnosti, které se účastní programu Data Privacy Framework.
Závazná podniková pravidla
Skupina podniků, která má pobočky či dceřiné společnosti jak v EU, tak mimo ni, může přijmout vnitřní pravidla, jak si bude data předávat a jak bude zajišťovat ochranu práv subjektu údajů. Pokud jim pravidla schválí vedoucí dozorový orgán v EU, mohou na jejich základě údaje také předávat.
Smluvní nastavení práv a povinností
V praxi jednou z nejvyužívanějších možností je detailní úprava práv a povinností mezi vývozcem dat z EU a jeho dovozcem ve třetí zemi prostřednictvím smlouvy. Komise k tomu vydala vzorové standardní smluvní doložky, které pokrývají takřka všechny varianty předání osobních údajů a vztahů obou hlavních aktérů. Správce předává údaje správci mimo EU, správce využívá zpracovatele osobních údajů s místem zpracování mimo EU, naopak v Evropské unii sídlí zpracovatel a správce jinde atd.
Pro jistotu doplňme: Žádné z těchto opatření není samospasitelné. Před zahájením předávání osobních údajů mimo EU, stejně jako u každého komplexnějšího zpracování dat, byste měli zvážit, zda i přes přijaté opatření (smlouva, závazná podniková pravidla atd.) nejsou dotčené osoby a jejich práva vystavena nepřiměřeným rizikům. A pokud ano, tak přijmout dostatečná opatření, abyste tato rizika snížili. Například omezit rozsah předávaných údajů, chránit data šifrováním či pseudonymizací, doplnit další smluvní ujednání, posílit informační povinnost vůči subjektům údajů atd.
Kdo využije nové smluvní doložky?
Evropská komise oznámila, že připravuje další smluvní doložky pro bezpečné předávání osobních údajů do třetích zemí. V tuto chvíli čekáme na zveřejnění návrhu, který by měl být předložen k veřejné konzultaci v posledním čtvrtletí tohoto roku. Schválení nových vzorových doložek se očekává do poloviny roku 2025.
V jakých situacích budou nové smluvní doložky použitelné?
Nové doložky cílí na poměrně specifickou variantu, kdy příjemce dat sice sídlí mimo EU, ale GDPR se na něj, resp. na jím prováděné zpracování, i tak přímo vztahuje.
Jak je to možné?
Jedná se o tzv. extrateritoriální působnost GDPR, která se uplatní zejména tehdy, pokud správce nebo zpracovatel usazený mimo EU provádí zpracování osobních údajů, které souvisí s:
nabídkou zboží nebo služeb subjektům údajů v Unii, bez ohledu na to, zda je od nich požadována platba; nebo
monitorováním chování fyzických osob, pokud k němu dochází v rámci Unie.
Popišme si to blíže na 2 příkladech:
Příklad první: Provozovatel e-shopu se sídlem v Číně provozuje několik jazykových mutací svého online obchodu. Mezi nimi i českou. Popis zboží je česky, česky lze objednat, do České republiky lze zboží doručit. Je zjevné, že čínská firma cíleně nabízí zboží či služby obyvatelům České republiky. Přestože nikde v Evropě nemá žádnou pobočku, i tak je toto zpracování v režimu GDPR.
Příklad druhý: Americká společnost provozuje aplikaci pro monitorování pohybu cyklistů po městech. V ostrém provozu ji nabízí pouze v USA a Kanadě. Pro vylepšování aplikace ale čas od času sbírá data z různých velkých měst po celém světě, včetně Evropské unie. Pokud jsou tato data charakteru osobních údajů (dají se přímo či nepřímo přiřadit ke konkrétní fyzické osobě), GDPR se na tuto společnost, resp. dané zpracování, opět přímo uplatní.
Nové standardní smluvní doložky už v roce 2025
Spolupracujete s mimoevropským subjektem, který nějakým způsobem nabízí své produkty v EU, nebo naopak využívá data evropských obyvatel? Je to váš obchodní partner, dodavatel, nebo naopak odběratel vašich služeb? Pak budou tyto smluvní doložky určeny právě pro vás!