lexforum.sk



Načítám ...

 

Posledné komentáre:

Načítám ...

Autori:

Milan Kvasnica (162)
Juraj Gyarfas (117)
Juraj Alexander (49)
Jaroslav Čollák (44)
Kristián Csach (26)
Tomáš Klinka (26)
Martin Maliar (25)
Milan Hlušák (23)
Martin Husovec (13)
Branislav Gvozdiak (12)
Martin Friedrich (9)
Zuzana Hecko (9)
Tomáš Čentík (9)
Michal Krajčírovič (7)
Ondrej Halama (7)
Ľuboslav Sisák (7)
Michal Novotný (7)
Peter Kotvan (6)
Adam Zlámal (6)
Xénia Petrovičová (6)
Robert Goral (5)
Lexforum (5)
Pavol Szabo (4)
Ján Lazur (4)
Monika Dubská (4)
Maroš Hačko (4)
Petr Kolman (4)
Josef Kotásek (4)
Ivan Bojna (4)
Natália Ľalíková (4)
Radovan Pala (4)
Pavol Kolesár (3)
Peter Pethő (3)
Denisa Dulaková (3)
Adam Valček (3)
Jakub Jošt (3)
Marián Porvažník (3)
Josef Šilhán (3)
Ladislav Hrabčák (3)
Andrej Kostroš (2)
Juraj Schmidt (2)
Maroš Macko (2)
Adam Glasnák (2)
Martin Serfozo (2)
Jozef Kleberc (2)
Gabriel Volšík (2)
Dávid Tluščák (2)
Anton Dulak (2)
Peter Varga (2)
Peter Zeleňák (2)
Martin Gedra (2)
Michal Hamar (2)
Roman Kopil (2)
Ludmila Kucharova (2)
Juraj Straňák (2)
Ladislav Pollák (2)
Richard Macko (2)
Tomáš Plško (2)
Jiří Remeš (2)
Zsolt Varga (2)
Lukáš Peško (2)
Bob Matuška (2)
Marek Maslák (2)
Martin Hudec (1)
Lucia Berdisová (1)
Tomáš Demo (1)
Robert Vrablica (1)
Zuzana Bukvisova (1)
Jakub Mandelík (1)
Paula Demianova (1)
Pavel Lacko (1)
Vladimir Trojak (1)
Jana Mitterpachova (1)
Marián Porvažník & Veronika Merjava (1)
Ivan Kormaník (1)
Adam Pauček (1)
Miriam Potočná (1)
Eduard Pekarovič (1)
Martin Estočák (1)
Martin Svoboda (1)
Vladislav Pečík (1)
Vincent Lechman (1)
Robert Šorl (1)
Pavol Mlej (1)
Zuzana Kohútová (1)
Slovenský ochranný zväz autorský (1)
Ivan Priadka (1)
Roman Prochazka (1)
jaroslav čollák (1)
Matej Gera (1)
Michaela Stessl (1)
Ivan Michalov (1)
Róbert Černák (1)
Ján Pirč (1)
Zuzana Adamova (1)
Tomáš Ľalík (1)
peter straka (1)
Bystrik Bugan (1)
Tibor Menyhért (1)
Gabriel Závodský (1)
Nora Šajbidor (1)
Tomáš Korman (1)
Nina Gaisbacherova (1)
Natalia Janikova (1)
Ruslan Peter Gadaevič (1)
Petr Steiner (1)
Marcel Ružarovský (1)
Mikuláš Lévai (1)
Peter Kubina (1)
Jaroslav Nižňanský (1)
Patrik Pupík (1)
David Halenák (1)
Peter Janík (1)
Peter K (1)
Patrik Patáč (1)
Radoslav Pálka (1)
Katarína Dudíková (1)
Matej Košalko (1)
David Horváth (1)
Martin Šrámek (1)
Tomáš Pavlo (1)
Lucia Palková (1)
Martin Bránik (1)
Dávid Kozák (1)
Michal Ďubek (1)
Viliam Vaňko (1)
Petr Kavan (1)
Matej Kurian (1)
lukas.kvokacka (1)
Bohumil Havel (1)
Michal Jediný (1)
Tomas Pavelka (1)
Pavol Chrenko (1)
I. Stiglitz (1)
Peter Marcin (1)
Marcel Jurko (1)
Emil Vaňko (1)
Dušan Marják (1)
Juraj Lukáč (1)
Dušan Rostáš (1)
lukasmozola (1)
Martin Poloha (1)
Andrej Majerník (1)
Ondrej Jurišta (1)
Petr Novotný (1)
Zuzana Klincová (1)
Igor Krist (1)
Martin Galgoczy (1)
Tomas Kovac (1)

Nálepky:

Načítám ...



Napísať nový článok


rss feed rss

rss feed rss - názory


O Lexforum.sk



Načítám ...

Pomôcky pre advokátov:

salvia
Judikatúra
Predpisy
Registre
Výpočty

Nové predpisy:

Načítám ...

Prenosy osobných údajov do tretích krajín

Zuzana Hecko, 30. 08. 2012 v 18:11

Keďže prenosy osobných údajov sú dnes rutinou fungovania mnohých nadnárodných spoločností, súčasťou intra-skupinového či externého outsourcingu alebo cloud computingových zmlúv, tento článok obsahuje zopár rád ako preniesť osobné údaje do tretích krajín.

Predtým ako sa pustíte do prípravy zmluvy o prenose osobných údajov, uistite sa, že sa jedná o osobné údaje

Nakoľko prenosy osobných údajov podliehajú viacerým pravidlám regulátora od ktorých nie je možné sa odchýliť, je vhodné sa pred prenosom uistiť, či sa jedná o "osobné údaje". Ak by sa nejednalo o osobné údaje, zákony na ochranu osobných údajov nebudú aplikovateľné, čo v praxi znamená, že napríklad v prípade outsourcingu nie je potrebné žiadať o súhlas úrad na ochranu osobných údajov. Osobné údaje sú legislatívou definované relatívne široko ako údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, ktorú možno určiť priamo alebo nepriamo, najmä na základe jednej či viacerých charakteristík, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.

Mnohé korporátne dokumentoy nebudú nevyhnutne "osobnými údajmi"

Je potrebné uviesť, že mnoho korporátnych dokumentov nebude nevyhnutne spĺňať kritériá na to, aby bolo možné konštatovať, že sa jedná o osobný údaj. Napriek absencii konkrétnejšieho stanoviska zo strany úradu na ochranu osobných údajov je možné dôjsť k záveru, že napr. záznamy z valných zhromaždení, údaje týkajúce sa transakcií medzi spoločnosťami (aj keď v mene spoločnosti konajú fyzické osoby) nebudú spĺňať kritériá "osobného údaju". Naopak, napríklad preudoanonymizované údaje v rámci klinických štúdií osobnými údajmi budú (existuje možnosť na základe kľúča identifikovať pacientov, čo je potrebné aj pre farmakovigilanciu).

Okrem toho, že údaj identifikuje jednotlivca, musí "sa vzťahovať" k jednotlivcovi

Otázku, ktorú teda treba skúmať okrem toho, či údaj identifikuje osobu alebo nie, je, či tento údaj môže mať vplyv na konkrétnu osobu, napr. či jej môže spôsobiť ujmu. Každý osobný údaj je vždy potrebné vnímať v konkrétnom kontexte spracúvania. To znamená, že napríklad podpis konateľa v kontexte transakcie nebude osobný údaj, nakoľko transakcia sa netýka jednotlivca; avšak v kontexte rozvodového konania takýto údaj osobným údajom môže byť, nakoľko môže predstavovať informáciu o majetkových pomeroch jednotlivca. Naopak, informácia o tom, že zamestnanec sa zúčastnil stretnutia spoločnosti, v ktorej pracuje, nebude spĺňať kritérium osobného údaju, avšak informácia o tom, že daný zamestnanec nedostatočne reprezentoval spoločnosť (napríklad v rozpore s pokynmi) osobným údajom môže byť. Okrem toho, že údaj identifikuje jednotlivca, musí sa vzťahovať k jednotlivcovi vo svojej vlastnej podstate, teda musí mať na jednotlivca nejaký vplyv.

Zmluva o prenose osobných údajov

Ak sme dospeli k záveru že údaje, ktoré majú byť prenesené, sú osobné údaje, a krajina, do ktorej majú byť prenesené nespĺňa požiadavku „adekvátnosti“ ochrany osobných údajov, je potrebné pripraviť zmluvu o prenose osobných údajov. Takáto zmluva je potrebná len v prípade prenosu z EÚ do tretej krajiny, ktorá nemá ochranu osobných údajov v súlade so štandardmi EÚ. Niektoré krajiny boli rozhodnutím Európskej Komisie uznané ako krajiny, ktorých úroveň ochrany spĺňa štandardy ochrany EÚ (napr. Švajčiarsko, Guernsey, Argentína, do istej miery Izrael, USA Safe Harbour, Jersey a pod.). V prípade prenosu z krajiny mimo EÚ do tretej krajiny (napr. z USA do Hong Kongu či zo Švajčiarska do Singapuru) sa bude na prenos aplikovať právo vývozcu údajov.

Ktoré z mnohých štandardných zmluvných doložiek použiť?

V niektorých prípadoch, napríklad pri outsourcingu, kde prevádzkovateľ poverí spracúvaním osobných údajov subjekt v cudzine, ktorý ich spracúva v mene prevádzkovateľa za podmienok dojednaných v písomnej zmluve, je potrebné požiadať úrad na ochranu osobných údajov o súhlas s prenosom. Zmluva musí jasne uviesť strany, ktoré sú exportérmi (vývozcami) osobných údajov a strany, ktoré budú importérmi (príjemcami) údajov. Zároveň je potrebné si ujasniť, či ide o prenos od prevádzkovateľa k prevádzkovateľovi alebo o prenos od prevádzkovateľa k sprostredkovateľovi. Kto je kvalifikovaný ako prevádzkovateľ a kto sa považuje za sprostredkovateľa je bližšie definované v stanovisku Pracovnej skupiny článku 29 č. 1/2000. V oboch prípadoch je potrebné do zmluvy o prenose osobných údajov včleniť tzv. "štandardné zmluvné doložky". Tieto musia byť do zmluvy včlenené bezo zmien, tak ako ich prijala Európska Komisia.

Prenos od prevádzkovateľa k prevádzkovateľovi

Štandardné zmluvné doložky v rámci prenosu od prevádzkovateľa k prevádzkovateľovi sú dvojakého typu (Set I alebo Set II). Rozdiel medzi nimi je najmä v zodpovednosti v prípade porušenia, pričom častejšie sú využívané zmluvné doložky Set II. Zmluvné doložky Set I sú totižto založené na spoločnej a nerozdielnej zodpovednosti vývozcu aj dovozcu, kdežto doložky Set II sú založené na zodpovednosti vývozcu údajov a predpokladajú, že vývozca údajov vykonal o dovozcu právny audit (due diligence) a na základe výsledkov usúdil, že dovozca spĺňa podmienky štandardných zmluvných doložiek. Úrad na ochranu osobných údajov má však vyššie právomoci intervencie a uloženia pokút v prípade zmluvných doložiek Set II.

Prenos od prevádzkovateľa k sprostredkovateľovi

Zmluvné doložky pre prenosy od prevádzkovateľa k sprostredkovateľovi boli Komisiou prijaté v roku 2010 (predchádzajúca verzia bude platná pre zmluvy uzavreté do 15. mája 2010 v prípade, že sa nezmenili podmienky spracúvania a nepribudli nové zmluvné strany). V porovnaní s predchádzajúcou verziou obsahujú podmienky, za akých môžu sprostredkovatelia poveriť subdodávateľov (tzv. sub-processing).

Nezabudnite zmluvu podpísať !

Ak jedna zmluva obsahuje aj doložky prevádzkovateľ - prevádzkovateľ ako aj prevádzkovateľ - sprostredkovateľ (časté je to napríklad v prípade intra-group prenosov) je vždy potrebné, aby zmluvné strany podpísali jednak zmluvu o prenose a zároveň separátne aj jednotlivé doložky. Práve tieto podpisy častokrát v zmluvách chýbajú, čo robí platnosť zmluvy (a teda aj celého prevodu) otáznou.

Otázka súhlasu jednotlivcov s prenosom, resp. kedy súhlas nie je potrebný, je otázkou separátnou, ktorú je potrebné vyriešiť ešte pred prenosom.


Názory k článku Prenosy osobných údajov do tretích krajín:


  Martin Friedrich, 02. 10. 2015 v 11:35 - Prenos osobných údajov medzi verejnými inštitúciami

SD EÚ vo veci C‑201/14 zakázal prenos osobných údajov medzi verejnými inštitúciami bez toho, aby tieto skutočnosti dali na vedomie dotknutým osobám:

"Články 10, 11 a 13 smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe takýchto údajov sa majú vykladať v tom zmysle, že bránia vnútroštátnym opatreniam, o aké ide vo veci samej, ktoré umožňujú verejnej inštitúcii členského štátu preniesť osobné údaje inej verejnej inštitúcii a ich následné spracovanie bez toho, aby boli dotknuté osoby o tomto prenose a spracovaní informované."

  Martin Friedrich, 02. 10. 2015 v 11:43 - Rozhodné právo na ochranu osobných údajov nie je závislé od sídla prevádzkovateľa

SD EÚ vo vzťahu k tomu, aké právo je rozhodné a ktorý orgán má právomoc v konaní o ochranu osobných údajov vo veci C‑230/14 prijal rozsudok, v zmysle ktorého je bezpredmetné, kde ma sídlo prevádzkovateľ, ktorý spracováva osobné údaje. Rozhodné je sídlo prevádzkárne, prostredníctvom ktorej v dotknutom členskom štáte vykonáva skutočnú a efektívnu činnosť.


"Článok 4 ods. 1 písm. a) smernice Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov sa má vykladať v tom zmysle, že umožňuje uplatnenie právnej úpravy týkajúcej sa ochrany osobných údajov iného členského štátu, ako je členský štát, v ktorom je prevádzkovateľ spracúvajúci tieto údaje zapísaný, pokiaľ tento prevádzkovateľ na území prvého členského štátu vykonáva prostredníctvom stálej prevádzkarne hoci aj minimálnu skutočnú a efektívnu činnosť.

Na účely určenia, či je to tak, môže vnútroštátny súd za okolností, akými sú okolnosti vo veci samej, zohľadniť najmä skutočnosť, že jednak činnosť prevádzkovateľa spracúvajúceho údaje, v kontexte ktorej sa toto spracovanie vykonáva, spočíva v prevádzkovaní internetových stránok s inzerátmi na nehnuteľnosti, ktoré sa nachádzajú na území tohto členského štátu, v jazyku tohto štátu, a že teda prevažne, či dokonca úplne smeruje do uvedeného členského štátu, a jednak aj skutočnosť, že tento prevádzkovateľ má v uvedenom členskom štáte zástupcu, ktorý je poverený vymáhaním pohľadávok vyplývajúcich z tejto činnosti, ako aj zastupovaním prevádzkovateľa v správnych a súdnych konaniach týkajúcich sa spracovania dotknutých údajov.

Naproti tomu otázka štátnej príslušnosti osôb dotknutých týmto spracovaním údajov nie je relevantná.

2. V prípade, ak by dozorný orgán členského štátu, na ktorý bola podaná sťažnosť podľa článku 28 ods. 4 smernice 95/46, došiel k záveru, že právom uplatniteľným na spracovanie dotknutých osobných údajov nie je právo tohto členského štátu, ale právo iného členského štátu, mal by sa článok 28 ods. 1, 3 a 6 tejto smernice vykladať v tom zmysle, že tento dozorný orgán môže vykonávať efektívne intervenčné právomoci, ktoré mu boli priznané článkom 28 ods. 3 uvedenej smernice iba na území svojho vlastného členského štátu. Nemôže teda na základe práva tohto členského štátu uložiť sankcie prevádzkovateľovi spracúvajúcemu tieto údaje, ktorý nie je usadený na tomto území, ale na základe článku 28 ods. 6 tejto smernice musí požiadať dozorný orgán členského štátu, ktorého právo je uplatniteľné, aby zakročil.

3. Smernica 95/46 sa má vykladať v tom zmysle, že pojem „adatfeldolgozás“ (správa údajov) použitý v maďarskej verzii tejto smernice, najmä v jej článku 4 ods. 1 písm. a) a v jej článku 28 ods. 6, sa má chápať v rovnakom zmysle ako výraz „adatkezelés“ (spracovanie údajov)."

Nemáte oprávnenie pridať názor. Prihláste sa prosím