Při obchodu s Jižní Koreou nezapomínejte na ochranu osobních údajů

Jižní Korea je pro české společnosti lákavým obchodním partnerem. A sama se také snaží mezinárodní obchod podporovat, například už v roce 2011 uzavřela dohodu o volném obchodu s Evropskou unií.

S rozvíjejícím se obchodem se také zintenzivňují datové toky mezi Českou republikou a Jižní Koreou. Včetně předávání osobních údajů, ať už klientů, zaměstnanců nebo dalších osob.  Na tento aspekt není radno zapomínat, aby obchodní spolupráci nenarušily kontroly či pokuty od dozorových úřadů, stížnosti dotčených osob či reputační problémy.

Předávání osobních údajů je nutné řešit kvůli obecnému nařízení o ochraně osobních údajů (GDPR) a jeho pravidlům pro transfer dat mimo Evropskou unii, tak z pohledu jihokorejského práva. Korejská pravidla pro ochranu osobních údajů nejsou široce známa. Proto je nutné ocenit, že jihokorejský úřad pro ochranu osobních údajů vydal pro zahraniční firmy metodiku k základní orientaci v jihokorejské regulaci.

Předávání osobních údajů z EU do Jižní Koreje

Začněme tím, co známe lépe: Předáváním osobních údajů z Evropské unie, resp. Evropského hospodářského prostoru, do třetích zemí.

GDPR pro toto předávání požaduje přijetí dalších záruk, aby v zemi příjemce údajů byla zajištěna odpovídající míra ochrany práv dotčených osob. Přitom není rozhodující, jestli se při předávání dat jedná o vztah dvou správců, například samostatných společností připravujících obchodní spolupráci, nebo vztah správce a zpracovatele, tedy dodavatele, který se nějakým způsobem podílí na zpracování údajů pro správce.

Záruky při předávání dat mimo EU/EHS mohou mít různou podobu. Od smluvních doložek, přes závazná podniková pravidla přijatá v rámci skupiny podniků, přihlášení se dovozce dat ke kodexu chování, který zajistí dostatečnou ochranu práv obyvatel EU, až po rozhodnutí Evropské komise o dostatečné míře ochrany dat v konkrétní třetí zemi.

Při předávání osobních údajů do Jižní Koreje se uplatní právě posledně zmíněný nástroj. Evropská komise už v roce 2021 rozhodla, že Jižní Korea zajišťuje dostatečnou úroveň ochrany osobních údajů. Proto je považována za tzv. bezpečnou zemi a osobní údaje do ní lze předávat bez nutnosti dalších opatření.

Toto rozhodnutí není bianco šekem pro jakékoliv zpracování osobních údajů. Předání dat, ať už samostatnému správci, společnému správci či zpracovateli sídlícímu v Jižní Koreji, představuje zpracování ve smyslu základních definic obecného nařízení o ochraně osobních údajů (GDPR). A jako takové musí mít jasně definovaný účel a dostatečný právní titul (oprávněný zájem, plnění smlouvy, souhlas atd.). Při předání dat do bezpečné země musí být také plněny další povinnosti, ať už se jedná o vymezení minimálního nutného rozsahu předávaných dat, doby jejich uchování, plnění informační povinnosti vůči dotčeným osobám atd.

Působnost jihokorejského zákona a základní povinnosti při zpracování údajů

Pro usnadnění orientace v jihokorejských předpisech pro ochranu osobních údajů poslouží už zmíněná metodika místního dozorového úřadu.

Základní otázkou je, ve kterých situacích se vlastně jihokorejská regulace uplatní. Pravidla pro zpracování a ochranu dat by vás měla začít vážně zajímat v některém z těchto tří případů:

• Zahraniční společnost nabízí zboží či služby jihokorejským klientům, k čemuž nutně potřebuje zpracovávat jejich osobní data. Pro posouzení, zda je online služba cíleně nabízena i na jihokorejský trh, je důležitý zejména jazyk webových stránek, kde lze zboží či službu koupit, akceptovaná měna, pravidla pro doručení zboží atd.

• Zahraniční společnost se podílí na zpracování osobních údajů, které se týká subjektů údajů z Jižní Koreje. Jedná se o situace, kdy zahraniční firma na místním trhu sice přímo nenabízí zboží či služby, ale například shromažďuje data o obyvatelích Jižní Koreje a dále je využívá pro vlastní účely, případně je dále zveřejňuje či zpřístupňuje dalším příjemcům.

• A třetím případem, kdy je nutné řešit korejské předpisy o ochraně dat, je situace, kdy zahraniční společnost vytváří v Jižní Koreji pobočku, jejíž činnost bude mj. zahrnovat zpracování osobních údajů místních obyvatel.

V další části metodiky korejský úřad zdůrazňuje několik právních institutů a povinností podle místního zákona o ochraně osobních informací. Které to jsou? Odpověď naleznete v plném znění článku na GDPR.cz.