Potřebujete konzultaci?+420 720 153 593
Nabídka našich kurzů
% Slevy %DotacePRINCE2®ITIL®Artificial IntelligenceVíce
> > GDPR critical update! Předávání osobních údajů mimo Evropskou unii

GDPR critical update! Předávání osobních údajů mimo Evropskou unii

  • Datum: 31.01.2025
  • Autor: Petr Špatenka

Obecné nařízení o ochraně osobních údajů, GDPR, je účinné již více než tři roky. To ale v žádném případě neznamená, že pravidla související se zpracováním osobních údajů jsou neměnná a že dotčené organizace mohou po více či méně úspěšné implementaci GDPR již jen udržovat nastavený proces.

GDPR novinka tohoto léta: Předávání osobních údajů mimo Evropskou unii

Obecné nařízení o ochraně osobních údajů, GDPR, je účinné již více než tři roky. To ale v žádném případě neznamená, že pravidla související se zpracováním osobních údajů jsou neměnná a že dotčené organizace mohou po více či méně úspěšné implementaci GDPR již jen udržovat nastavený proces. GDPR totiž práva a povinnosti související se zpracováním osobních údajů upravuje do velké míry obecně. Proto je důležité sledovat i rozhodovací praxi jednotlivých národních úřadů pro ochranu údajů a evropských soudů, které výklad a jednotlivé povinnosti správců a zpracovatelů osobních údajů upřesňují. 
Jednou z oblastí, ve které je v poslední době živo, je předávání osobních údajů mimo Evropskou unii. Ačkoliv GDPR v porovnání s předchozí úpravou představuje o něco méně náročnou úpravu, Soudní dvůr Evropské unie předávání dat zejména do USA značně zkomplikoval. Na to reagoval Evropský sbor pro ochranu osobních údajů, který na konci června vydal doporučení k tomu, jaká dodatečná opatření při předávání dat mimo Evropskou unii zavést. 

Než si tato opatření a jejich dopad do praxe projdeme, přibližme si, co se v režimu GDPR rozumí předáváním osobních údajů do třetích zemí. 

O předávání osobních údajů se jedná tehdy, pokud organizace osobní údaje zpřístupní k dalšímu zpracování příjemci, který bude data zpracovávat za hranicemi Evropské unie. Není rozhodující, jestli je tento příjemce samostatným správcem, který bude údaje zpracovávat za vlastním účelem, nebo zpracovatelem, který bude pouze dodávat vývozci dat určitou službu, pro kterou je zpracování dat nezbytné. Klíčové je, že osobní data budou systematicky a cíleně zpřístupněna organizaci ve třetí zemi. 

Typickými případy předávání osobních údajů v soukromém sektoru jsou např: 
- Využití dodavatele cloudových služeb, který provozuje úložiště mimo EU
- Využití služeb dodavatele se sídlem mimo EU, který k poskytované činnosti potřebuje osobní údaje, typicky podpora v oblasti marketingu, online komunikace, účetnictví, dodávání ITC služeb, služeb auditu, prověřování zaměstnanců (background check) atd.
- Předávání osobních údajů nezbytných k zajištění určité služby, např. v oblasti turistického ruchu, dopravy, pojištění nebo nákupu zboží či služeb koncovými spotřebiteli
- Sdílení dat v rámci skupiny podniků, když člen koncernu se sídlem mimo EU poskytuje celé skupině služby v oblasti personalistiky, IT podpory, archivace dat atd. 
- Využití online marketingových nástrojů a reklamních systémů, které zahrnují i uživatele mimo Evropskou unii. 
Aby i při předání osobních údajů byla zajištěna dostatečná míra ochrany dat, je podle GDPR možné využít některý z těchto právních institutů:
- Předání do země, kterou Evropská komise označí za bezpečnou. Pro toto předávání není nutné obecně přijímat žádná další opatření. Za bezpečné země byly označeny např. Švýcarsko, Japonsko, Izrael, Uruguay či nedávno Velká Británie. 
- Zavedení závazných vnitropodnikových pravidel pro zpracování dat v rámci koncernu. Pokud si koncern, skupina podniků s jednotným řízení, interně upraví dostatečná pravidla pro využití a ochranu osobních údajů a tato pravidla schválí příslušný dozorový úřad, mohou být údaje dalším členům skupiny předávány i pokud sídlí mimo Evropskou unii. 
- Standardní smluvní doložky, kterými se vývozce dat z EU a především příjemce ze třetí země zaváží k dodržování pravidel, která zajistí splnění požadavků GDPR. 
Otázka předávání osobních údajů mimo Evropskou unii získala na důležitosti zejména po té, kdy Soudní dvůr Evropské unie v loňském roce zrušil tzv. Privacy Shield. To byl právní institut uznaný Evropskou komisí jako dostatečné opatření k předávání údajů do Spojených států amerických. Od jeho zrušení je tak nutné i při předávání do USA využít některý z dalších nástrojů, v praxi se nejčastěji jedná o standardní smluvní doložky. 
Soudní dvůr Evropské unie však vyslovil jisté pochybnosti i o standardních smluvních doložkách. Na to reagovala jak Evropská komise, která 4. června 2021 vydala nová vzorová ujednání do smluv mezi vývozcem a příjemcem dat, tak Evropský sbor pro ochranu osobních údajů, který dne 21. června 2021 zase vydal řadu doporučení, jaká opatření při předávání dat ještě zavést. 
Pro úplnost dodejme, že organizaci, která při předávání osobních údajů mimo EU nezajistí jejich dostatečnou ochranu, hrozí nejen pokuta až do výše 20 milionů euro nebo 4 % z celosvětového ročního obratu celé skupiny, ale dozorový úřad mu může rovněž nařídit, aby dané předávání zastavil, změnil dodavatele služby, zavedl další opatření k ochraně dat atd. A dotčené osoby, ať už klienti nebo zaměstnanci, se navíc mohou u soudu domáhat náhrady újmy, která jim neoprávněným předáním jejich dat vznikla. 
Jak tedy otázce předávání osobních údajů mimo Evropskou unii postupovat v praxi? Evropský sbor doporučuje postupovat v těchto šesti krocích:
1) Zmapovat procesy, ve kterých jsou osobní údaje předávány mimo Evropskou unii. 

Ví organizace nebo její pověřenec pro ochranu osobních údajů o všech případech, kdy jsou data předávána mimo Evropskou unii, o všech využívaných službách a aplikacích, které jsou v organizaci nasazeny? Nepoužívá některý dodavatele dalšího subdodavatele, který vaše data zpracovává v cloudu s úložištěm v USA nebo Rusku?

2) Posoudit nástroj pro zajištění ochrany osobních údajů

Jsou data předávána do bezpečné země? Nebo jsou sdílena v rámci skupiny podniků, který má schválena podniková pravidla pro jejich zpracování? Anebo, což je nejčastější případ, je nutno související pravidla upravit pomocí standardních smluvních doložek a dalších dodatečných opatření?

3) Analyzovat právní režim země příjemce údajů

Existuje v zemi příjemce obdobný právní režim pro ochranu osobních údajů a uplatnění práv subjektů údajů, jaký zajišťuje GDPR? Mohou se dotčené osoby obrátit na místní soud nebo úřad pro ochranu dat? A jakým způsobem mohou přístup k datům vyžadovat místní úřady, včetně bezpečnostních složek?

4) Na základě provedené analýzy zavést dodatečná opatření k ochraně dat

Organizace by měla zhodnotit rizikovost každého předávání mimo EU vyplývající především s ohledem na kategorie předávaných údajů, kategorie dotčených osob, způsob zpracování a právní režim v zemi příjemce. Na základě této analýzy pak musí posoudit, jestli a jaké dodatečné opatření zavést. Evropský sbor uvádí například tato dodatečná opatření: 

o Šifrování dat před jejich přenosem do třetí země
o Technická ochrana dat při samotném přenosu
o Pseudonymizace dat a ochrana údajů nutných ke zpětné identifikaci dotčených osob
o Rozdělení datových souborů mezi více příjemců
o Smluvní zakotvení povinnosti příjemce dat k zavedení konkrétních bezpečnostních opatření
o Smluvní zakotvení práva vývozce dat na provedení auditu plnění smlouvy a zavedených opatření u příjemce dat
o Smluvní povinnost příjemce informovat vývozce dat o změně v relevantní právní úpravě, která by ochranu dat oslabila
o Organizační opatření na straně vývozce dat, která jednoznačně nastaví odpovědnost a povinnosti za předávání dat mimo Evropskou unii a za kontrolu dostatečné úrovně ochrany dat
o Důsledné zapojení pověřence pro ochranu osobních údajů, právního útvaru a auditora do procesu předávání osobních údajů a to již ve fázi záměru předávání zahájit

5) Dodatečná opatření také formálně upravit

Může se jednat o dodatek ke smlouvě, nastavení interních procesů v organizaci, zpracování rizikové analýzy související s konkrétním procesem předávání dat mimo EU a projednáním jejích výsledků a navržených opatření ze strany vedení organizace atd. 

6) Pravidelné hodnocení nastavených opatření
Jako ve všech podobných oblastech, například bezpečnosti informací, compliance management systému či obecného řízení rizik, nestačí opatření jednorázově zavést. V pravidelných rozestupech je nezbytné každý proces předávání dat znovu hodnotit, posoudit, zda jsou související rizika stejná nebo se změnila a posoudit a případně upravit i nastavená dodatečná opatření k ochraně dat. 

Využívání řady dodavatelů pro zajištění procesu, jehož součástí jsou osobní údaje, je zcela běžné. V řadě případů bohužel organizace ani s jistotou neví, kdo má k osobním údajům jejich klientům, zaměstnanců či dalších osob přístup a kde se data vůbec nacházejí. Ke snížení souvisejících rizik, především pokuty a reputačních dopadů u klientů i obchodních partnerů, je tak nutné provést či aktualizovat analýzu operací zpracování osobních údajů, zmapovat další subjekty s přístupem k datům a zavést vhodná opatření k jejich ochraně. 

Štítky

Nejčtenější články

Štítky
comptia (1)Simulation (1)AI Act (13)Management (53)Data (23)BPMN (1)Program Manager (4)Compliance (78)Video MasteClass (1)ISO 27701 (1)ISO/IEC 27001 (3)Six Sigma (2)Whistleblowing (16)BOZP (1)Kanban (3)DPIA (1)Portfolio Manager (1)SCRUM (9)Compliance Officer (32)it4it (1)ePrivacy (25)Tip (1)ISO 20000 (1)IPMA (1)Business Continuity (1)Osobní údaje (39)Axelos (6)AI (21)ISO (15)IT Security (5)Marketing (11)ESG (5)Identifikace (3)Lean (3)MoP (7)CMS (1)GDPR (124)Gamification (1)TOPO (1)Byznys (1)TOGAF (6)ITIL (22)Mediální komunikace (2)EU (1)HR (5)Agile (6)Risk Manager (1)korporace (8)Ethical Hacking (2)business (1)POVEZ (2)DevOps (7)Artificial Intelligence (1)P3O (7)MSP (9)Komunikace (2)Data Protection Officer (52)Porsche (1)Biometrika (2)ISO45001 (3)MoR (4)EC Council (1)Digitalizace (14)Whistleblowing Officer (9)DORA (12)AI (1)ISO 27002 (1)PeopleCert (6)eIDAS (3)ArchiMate (5)Management of Risk (1)ITIL 4 (8)Media MasterClass (1)Business Analýza (1)Zpracovatel osobních údajů (3)Risk (2)BABOK (1)BCM (2)g2g3 (1)workshop (1)ITSM (11)PRINCE2 (28)OHSAS (1)ZoKB (7)Dotace (2)Kybernetická bezpečnost (19)Tisková zpráva (3)P3M3 (1)Business Simulation (4)gaming works (1)Správce osobních údajů (3)SAFe (2)ISO 37301 (2)AML (2)DPO (11)MasterClass (1)AgileSHIFT (3)PMI (1)ISMS (27)NIS2 (17)Kritická infrastruktura (4)IT (7)Pověřenec pro ochranu osobních údajů (59)IT Service (4)ISO42001 (1)Soukromí (8)Grab@Pizza (1)Media (2)Enterprise Architect (5)Business Analytik (1)Project Manager (16)ISO 22301 (1)Ochrana osobních údajů (38)Pokuta (16)Hospodářská soutěž (1)eGovernment (1)Regulace (26)PRINCE2® (1)ISO27701 (3)Risk Management (2)ITIL4 (1)ISO 27001 (1)ISO 9001 (3)

Chcete získat dárek k narozeninám?

Portfolio

Hlavní nabídka

Certifikace

TAYLLORCOX

Naše centrála

Křižíkova 2136/2a, Praha 1, Nové město, 110 00+420 720 153 593

Sledujte nás

Tayllorcox aplikace

Stáhněte si naši aplikaci

Stáhnout v App StoreStáhnout v Google Play