Předávání osobních údajů do třetích zemí v kontextu nových pravidel a vývoje v EU

Od účinnosti Nařízení GDPR (Obecné nařízení o ochraně osobních údajů) se stala ochrana osobních údajů palčivým tématem po celé Evropské unii a mimo ni. Předávání osobních údajů do třetích zemí se stalo záležitostí, kterou správci a zpracovatelé údajů musí řešit s maximální opatrností.

Rozhodnutí o odpovídající ochraně osobních údajů

Evropská komise vydává rozhodnutí o odpovídající úrovni ochrany osobních údajů pro třetí země, které buď jako celek, určitá odvětví nebo část území poskytují odpovídající úroveň ochrany. Tato rozhodnutí umožňují předávání osobních údajů do těchto zemí bez nadměrných administrativních překážek. Seznam těchto "bezpečných" zemí zveřejňuje Evropská komise na své webové stránce a v Úředním věstníku Evropské unie.

Mezi země, které byly vyhlášeny za bezpečné pro předávání osobních údajů, patří Izrael, Nový Zéland, Japonsko, Spojené království a nedávno také Korejská republika. Tyto země splňují normy právního státu, lidských práv a mezinárodních závazků stanovených Evropskou unií.

S účinností GDPR v roce 2018 a následnými změnami se však stala nutností přezkoumat rozhodnutí učiněná Evropskou komisí před tímto datem. Plánem je zveřejnit.

Předávání s vhodnými zárukami
Pokud neexistuje rozhodnutí o odpovídající ochraně pro danou třetí zemi, může předávání osobních údajů probíhat za splnění tří kritérií:

• Dostatečné záruky: Správce nebo zpracovatel musí poskytnout dostatečné záruky pro ochranu údajů při předávání.
• Vymahatelná práva subjektu údajů: Subjekt údajů musí mít k dispozici vymahatelná práva pro ochranu svých údajů.
• Existence účinné právní ochrany subjektu údajů: Musí existovat účinná právní ochrana pro subjekty údajů.
• K dosažení těchto záruk může správce nebo zpracovatel použít různé nástroje, přičemž nejčastěji se uplatňují standardní smluvní doložky a závazná vnitropodniková pravidla (BCR).

Standardní smluvní doložky jsou dokumenty, které obsahují standardní ochranné podmínky pro předávání osobních údajů. Jsou schvalovány Evropskou komisí a mohou být použity bez povolení od dozorového úřadu.

Závazná vnitropodniková pravidla (BCR) jsou souborem pravidel pro zpracování osobních údajů v rámci jedné organizace. Tato pravidla mají právní závaznost pro členy a zaměstnance této organizace, ale jejich přijetí je náročnější a trvá až 2 roky.

Nový rámec ochrany soukromí - Data Privacy Framework (DPF)

Jednou z klíčových změn v oblasti předávání osobních údajů do USA je nový rámec ochrany soukromí, nazývaný Data Privacy Framework (DPF). Tento rámec byl potvrzen Evropskou komisí v červenci 2023 a má zajistit odpovídající ochranu osobních údajů.

DPF se snaží řešit nedostatky předchozího rámce Privacy Shield, který byl zrušen rozhodnutím Soudního dvora EU (tzv. Schrems II). I když DPF přináší zlepšení, stále existují obavy ohledně výkladu pojmu "proporcionalita" v americkém a evropském prostředí.

Rámec DPF umožňuje předávání osobních údajů do USA pouze organizacím, které byly certifikovány a zaručují dodržování pravidel stanovených v DPF. Certifikace je platná jeden rok a vyžaduje pravidelné prodlužování.

Předávání osobních údajů do třetích zemí zůstává komplexní a aktuální tématem v oblasti ochrany osobních údajů. Správci a zpracovatelé údajů musí pečlivě sledovat aktuální pravidla a vývoj v EU a v zemích, kam údaje předávají. Dodržování standardních smluvních doložek, BCR a nového rámce DPF je klíčové pro zajištění bezpečného předávání údajů.