Směrnice GDPR – otázky – 10. Předávání osobních údajů do jiných zemí

10. Předávání osobních údajů do jiných zemí

Jak lze předávat osobní údaje do zemí Evropské unie?

Platí zásada, že volný pohyb osobních údajů v Evropské unii není z důvodu ochrany fyzických osob v souvislosti se zpracováním osobních údajů omezen ani zakázán. Tuto premisu však nelze považovat za právní důvod k předávání osobních údajů jakémukoli správci či kdykoli. Možnost předávat osobní údaje bez omezení v Evropské unii se týká institucionálního zabezpečení, tj. je vyjádřeno to, že v zemích Evropské unie platí stejný vysoký standard právního rámce ochrany osobních údajů při jejich zpracování a není tak nutné zajišťovat jejich institucionální bezpečnost. K samotnému předání jinému správci musí mít správce právní důvod, jelikož i předání je jednou z činností zpracování. Právní důvod musí mít správce i tehdy, pokud předává osobní údaje do země mimo Evropskou unii, kdy ještě navíc musí být splněny podmínky pro předání osobních údajů i z hlediska jejich institucionálního zabezpečení.

Jaké jsou možnosti předávání osobních údajů do zemí mimo Evropskou unii?

Pokud správce chce předat jinému správci osobní údaje do země mimo Evropskou unii, musí k tomu mít nejen právní důvod (viz článek 6 odst. 1 Obecného nařízení), ale zároveň musí být zajištěna jejich institucionální ochrana, tj. nelze (až na výjimky) předávat osobní údaje do zemí, kde není zajištěna dostatečná právní ochrana osobních údajů, resp. správce nepřijal instrumenty, které tuto ochranu při předávání zajistí.

Možnosti předávání:

  • předání založené na rozhodnutí o odpovídající ochraně,
  • předání založené na vhodných zárukách,
  • závazná podniková pravidla,
  • výjimky pro specifické situace, kdy nelze aplikovat jeden ze tří shora uvedených bodů.

Co se rozumí předáním založeném na rozhodnutí o odpovídající ochraně?

Komise může rozhodnout, že konkrétní země zajišťuje odpovídající úroveň ochrany osobních údajů. V takovém případě se nevyžaduje zvláštní povolení a předání osobních údajů nejsou kladeny žádné administrativní překážky. Tato rozhodnutí jsou k dispozici na https://www.uoou.cz/prehled-pripadu-predavani-osobnich-udaju-do-zahranici-u-nichz-neni-nutne-zadat-urad-o-povoleni/ds-1649/archiv=0&p1=1633 v bodě 3.

Co se rozumí předáváním založeném na vhodných zárukách?

Pokud neexistuje rozhodnutí Komise o odpovídající ochraně osobních údajů v dané zemi, mohou být osobní údaje do třetí země předány, pouze pokud přijímající správce poskytl vhodné záruky a za podmínky, že jsou k dispozici vymahatelná práva subjektu údajů a účinná právní ochrana subjektu údajů.

Co jsou závazná podniková pravidla?

Závazná podniková pravidla je koncepce ochrany osobních údajů, kterou dodržuje správce nebo zpracovatel usazen na území členského státu při jednorázových nebo souborných předáních osobních údajů správci nebo zpracovateli v jedné nebo více třetích zemích v rámci skupiny podniků nebo uskupení vykonávající společnou hospodářskou činnost. Jde tak o pravidla platící uvnitř správců, tvořících skupinu podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost.


Viz také:


zdroj: Pracovní skupina WP29, www.uoou.cz, aktualizováno 26.6.2017

Košík