Předávání osobních údajů mimo EU podle nových vodítek
Předávání do třetích zemí je citlivé téma, zvláště po zrušení tzv. Privacy Shieldu v roce 2020. Koncem února vydal Evropský sbor pro ochranu osobních údajů (EDBP) dvě vodítka týkající se předávání osobních údajů do třetích zemí, vodítka 05/2021 o souhře mezi použitím čl. 3 a ustanovení o mezinárodních převodech podle kapitoly V GDPR a vodítka 7/2022 o certifikaci jako nástroji pro převod.
První z vodítek se týká konceptu předávání osobních údajů jako takového. EDPB analyzuje, kdy se jedná o předávání osobních údajů, kdy se na správce nebo zpracovatele mimo EU vztahuje GDPR, ale o předávání údajů se nejedná, a kdy se na subjekt zpracovávající údaje nebude GDPR vůbec vztahovat.
Pro připomenutí, GDPR se na správce nebo zpracovatele vztahuje ve dvou případech:
- Správce nebo zpracovatel má sídlo v EU a zpracování osobních údajů probíhá v souvislosti s činností této provozovny. Zpracování samotné nemusí probíhat v EU (čl. 3 odst. 1 GDPR).
- Správce nebo zpracovatel není usazen v EU, ale zpracování souvisí s nabídkou zboží nebo služeb v EU nebo s monitorováním chování subjektů údajů v EU (čl. 3 odst. 2 GDPR).
Pokud dochází k předání osobních údajů do třetí země, musí toto předání probíhat podle pravidel pro předávání obsažených v kapitole 5 GDPR.
Pro posouzení, zda se jedná o předávání osobních údajů do třetí země, uvádí EDPB tři kritéria, která musí být splněna kumulativně:
- Na správce nebo zpracovatele (vývozce údajů) se vztahuje GDPR,
- Vývozce předává nebo zpřístupňuje údaje dalšímu správci nebo zpracovateli (dovozci údajů) a
- Vývozce se nachází ve třetí zemi (nebo je mezinárodní organizací) bez ohledu na to, jestli se na něho vztahuje GDPR.
První kritérium je splněno, pokud se na vývozce vztahuje GDPR podle čl. 3. Pro druhé a třetí kritérium uvádí EDPB řadu příkladů. EDPB nejprve připomíná, že se nejedná o předání údajů, pokud údaje dává k dispozici sám subjekt údajů, např. sám si rezervuje hotel v USA na webových stránkách hotelu. Na provozovatele hotelu se GDPR nevztahuje. Předání osobních údajů se nekoná ani v situaci, kdy si subjekt údajů objedná zboží v e-shopu, jehož provozovatel je ku příkladu v USA, ale e-shop cílí na kupující v EU. Na provozovatele e-shopu by se na rozdíl od hotelu GDPR podle čl. 3 odst. 2 vztahovalo. O předání do třetí země by se jednalo, pokud by tento provozovatel (vývozce) využil zpracovatele také ze třetí země (dovozce).
Osobní údaje zaměstnanců, které posílá dceřiná společnost své matce mimo EU, podléhají pravidlům pro předání osobních údajů. O předání se jedná i v situaci, kdy společnost se sídlem mimo EU využívá zpracovatele v EU. Na společnost mimo EU se GDPR nevztahuje. Na zpracovatele v EU však ano a předání údajů zpět správci je předání podle GDPR.
O předání osobních údajů se nejedná, je-li zaměstnanec na služební cestě mimo EU a vzdáleně se připojí k údajům na severech svého zaměstnavatele v EU. Pokud by tyto osobní údaje zpřístupnil během jednání osobám v zemi, kde je na služební cestě, o předání by se jednalo.
O předání osobních údajů nejde, pokud společnost v EU využívá jako zpracovatele společnost se sídlem v EU, která je ale dceřinou společnostní matky ze třetí země, za podmínky, že jsou osobní údaje zpracovávané v EU. Protože zpracovatelská společnost může podléhat zákonům platným v sídle své mateřské společnosti, mohla by mít povinnost za žádost zpřístupnit zpracovávané údaje orgánu veřejné moci v této zemi. Pak by se o předání mimo EU jednalo. EDPR radí, aby správci v případě zapojení zpracovatele, která je dceřinou společností společnosti mimo EU, zvážili při uzavírání zpracovatelské smlouvy i toto riziko.
Správce by měl 1) analyzovat procesy zpracování osobních údajů, 2) zjistit, zda se jedná o předání osobních údajů do třetí země, 3) posoudit, zda předání probíhá v souladu s GDPR a 4) přijmout opatření na ochranu osobních údajů. Možná rizika spojená s předáním osobních údajů do třetí země na žádost orgánů veřejné moci by měl správce zvážit, když využívá zpracovatele se sídlem v EU, který však může podléhat právním předpisům třetí země.
Druhá vodítka se týkají certifikace jako doložení vhodných záruk pro předání osobních údajů do třetí země podle čl. 46 odst. 2 písm. f) GDPR. Certifikovat se bude příjemce údajů ve třetí zemi, tedy dovozce údajů, a to pro jednu operaci zpracování nebo soubor operací.
Ani certifikace dovozce není pro vývozce sázka na jistotu. Vývozce musí ověřit, zda certifikace dopadá na příslušené zpracování, zda je certifikát platný a zda převod údajů spadá do rozsahu certifikace. Vývozce musí dále zkontrolovat, zda je certifikační orgán akreditován vnitrostátním akreditačním orgánem nebo příslušným dozorovým orgánem.
V některých případech bude muset dovozce, vývozce nebo oba provést další opatření předpokládaná certifikací, aby byla zajištěna rovnocenná úroveň ochrany osobních údajů ve srovnání s EU.
[1] Usnesení Evropského parlamentu ze dne 20. října 2020 obsahující doporučení Komisi k režimu občanskoprávní odpovědnosti za umělou inteligenci. Dostupné zde.
[2] Proposal for a directive of the European Parliament and of the Council on adapting non-contractual civil liability rules to artificial intelligence (AI Liability Directive). Dostupné zde.
[3] Návrh nařízení Evropského parlamentu a Rady, kterým se stanoví harmonizovaná pravidla pro umělou inteligenci (akt o umělé inteligenci) a mění určité legislativní akty unie. Dostupné zde.
[4] Proposal for a directive of the European Parliament and of the Council on liability for defective products. Dostupné zde.
Tento článek byl publikován na webu epravo.cz.