Prenosy osobných údajov do tretích krajín
Zuzana Hecko, 30. 08. 2012 v 18:11
Keďže prenosy osobných údajov sú dnes rutinou fungovania mnohých nadnárodných spoločností, súčasťou intra-skupinového či externého outsourcingu alebo cloud computingových zmlúv, tento článok obsahuje zopár rád ako preniesť osobné údaje do tretích krajín.
Predtým ako sa pustíte do prípravy zmluvy o prenose osobných údajov, uistite sa, že sa jedná o osobné údaje
Nakoľko prenosy osobných údajov podliehajú viacerým pravidlám regulátora od ktorých nie je možné sa odchýliť, je vhodné sa pred prenosom uistiť, či sa jedná o "osobné údaje". Ak by sa nejednalo o osobné údaje, zákony na ochranu osobných údajov nebudú aplikovateľné, čo v praxi znamená, že napríklad v prípade outsourcingu nie je potrebné žiadať o súhlas úrad na ochranu osobných údajov. Osobné údaje sú legislatívou definované relatívne široko ako údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, ktorú možno určiť priamo alebo nepriamo, najmä na základe jednej či viacerých charakteristík, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.
Mnohé korporátne dokumentoy nebudú nevyhnutne "osobnými údajmi"
Je potrebné uviesť, že mnoho korporátnych dokumentov nebude nevyhnutne spĺňať kritériá na to, aby bolo možné konštatovať, že sa jedná o osobný údaj. Napriek absencii konkrétnejšieho stanoviska zo strany úradu na ochranu osobných údajov je možné dôjsť k záveru, že napr. záznamy z valných zhromaždení, údaje týkajúce sa transakcií medzi spoločnosťami (aj keď v mene spoločnosti konajú fyzické osoby) nebudú spĺňať kritériá "osobného údaju". Naopak, napríklad preudoanonymizované údaje v rámci klinických štúdií osobnými údajmi budú (existuje možnosť na základe kľúča identifikovať pacientov, čo je potrebné aj pre farmakovigilanciu).
Okrem toho, že údaj identifikuje jednotlivca, musí "sa vzťahovať" k jednotlivcovi
Otázku, ktorú teda treba skúmať okrem toho, či údaj identifikuje osobu alebo nie, je, či tento údaj môže mať vplyv na konkrétnu osobu, napr. či jej môže spôsobiť ujmu. Každý osobný údaj je vždy potrebné vnímať v konkrétnom kontexte spracúvania. To znamená, že napríklad podpis konateľa v kontexte transakcie nebude osobný údaj, nakoľko transakcia sa netýka jednotlivca; avšak v kontexte rozvodového konania takýto údaj osobným údajom môže byť, nakoľko môže predstavovať informáciu o majetkových pomeroch jednotlivca. Naopak, informácia o tom, že zamestnanec sa zúčastnil stretnutia spoločnosti, v ktorej pracuje, nebude spĺňať kritérium osobného údaju, avšak informácia o tom, že daný zamestnanec nedostatočne reprezentoval spoločnosť (napríklad v rozpore s pokynmi) osobným údajom môže byť. Okrem toho, že údaj identifikuje jednotlivca, musí sa vzťahovať k jednotlivcovi vo svojej vlastnej podstate, teda musí mať na jednotlivca nejaký vplyv.
Zmluva o prenose osobných údajov
Ak sme dospeli k záveru že údaje, ktoré majú byť prenesené, sú osobné údaje, a krajina, do ktorej majú byť prenesené nespĺňa požiadavku „adekvátnosti“ ochrany osobných údajov, je potrebné pripraviť zmluvu o prenose osobných údajov. Takáto zmluva je potrebná len v prípade prenosu z EÚ do tretej krajiny, ktorá nemá ochranu osobných údajov v súlade so štandardmi EÚ. Niektoré krajiny boli rozhodnutím Európskej Komisie uznané ako krajiny, ktorých úroveň ochrany spĺňa štandardy ochrany EÚ (napr. Švajčiarsko, Guernsey, Argentína, do istej miery Izrael, USA Safe Harbour, Jersey a pod.). V prípade prenosu z krajiny mimo EÚ do tretej krajiny (napr. z USA do Hong Kongu či zo Švajčiarska do Singapuru) sa bude na prenos aplikovať právo vývozcu údajov.
Ktoré z mnohých štandardných zmluvných doložiek použiť?
V niektorých prípadoch, napríklad pri outsourcingu, kde prevádzkovateľ poverí spracúvaním osobných údajov subjekt v cudzine, ktorý ich spracúva v mene prevádzkovateľa za podmienok dojednaných v písomnej zmluve, je potrebné požiadať úrad na ochranu osobných údajov o súhlas s prenosom. Zmluva musí jasne uviesť strany, ktoré sú exportérmi (vývozcami) osobných údajov a strany, ktoré budú importérmi (príjemcami) údajov. Zároveň je potrebné si ujasniť, či ide o prenos od prevádzkovateľa k prevádzkovateľovi alebo o prenos od prevádzkovateľa k sprostredkovateľovi. Kto je kvalifikovaný ako prevádzkovateľ a kto sa považuje za sprostredkovateľa je bližšie definované v stanovisku Pracovnej skupiny článku 29 č. 1/2000. V oboch prípadoch je potrebné do zmluvy o prenose osobných údajov včleniť tzv. "štandardné zmluvné doložky". Tieto musia byť do zmluvy včlenené bezo zmien, tak ako ich prijala Európska Komisia.
Prenos od prevádzkovateľa k prevádzkovateľovi
Štandardné zmluvné doložky v rámci prenosu od prevádzkovateľa k prevádzkovateľovi sú dvojakého typu (Set I alebo Set II). Rozdiel medzi nimi je najmä v zodpovednosti v prípade porušenia, pričom častejšie sú využívané zmluvné doložky Set II. Zmluvné doložky Set I sú totižto založené na spoločnej a nerozdielnej zodpovednosti vývozcu aj dovozcu, kdežto doložky Set II sú založené na zodpovednosti vývozcu údajov a predpokladajú, že vývozca údajov vykonal o dovozcu právny audit (due diligence) a na základe výsledkov usúdil, že dovozca spĺňa podmienky štandardných zmluvných doložiek. Úrad na ochranu osobných údajov má však vyššie právomoci intervencie a uloženia pokút v prípade zmluvných doložiek Set II.
Prenos od prevádzkovateľa k sprostredkovateľovi
Zmluvné doložky pre prenosy od prevádzkovateľa k sprostredkovateľovi boli Komisiou prijaté v roku 2010 (predchádzajúca verzia bude platná pre zmluvy uzavreté do 15. mája 2010 v prípade, že sa nezmenili podmienky spracúvania a nepribudli nové zmluvné strany). V porovnaní s predchádzajúcou verziou obsahujú podmienky, za akých môžu sprostredkovatelia poveriť subdodávateľov (tzv. sub-processing).
Nezabudnite zmluvu podpísať !
Ak jedna zmluva obsahuje aj doložky prevádzkovateľ - prevádzkovateľ ako aj prevádzkovateľ - sprostredkovateľ (časté je to napríklad v prípade intra-group prenosov) je vždy potrebné, aby zmluvné strany podpísali jednak zmluvu o prenose a zároveň separátne aj jednotlivé doložky. Práve tieto podpisy častokrát v zmluvách chýbajú, čo robí platnosť zmluvy (a teda aj celého prevodu) otáznou.
Otázka súhlasu jednotlivcov s prenosom, resp. kedy súhlas nie je potrebný, je otázkou separátnou, ktorú je potrebné vyriešiť ešte pred prenosom.
Názory k článku Prenosy osobných údajov do tretích krajín:
Martin Friedrich, 02. 10. 2015 v 11:35 - Prenos osobných údajov medzi verejnými inštitúciami
"Články 10, 11 a 13 smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe takýchto údajov sa majú vykladať v tom zmysle, že bránia vnútroštátnym opatreniam, o aké ide vo veci samej, ktoré umožňujú verejnej inštitúcii členského štátu preniesť osobné údaje inej verejnej inštitúcii a ich následné spracovanie bez toho, aby boli dotknuté osoby o tomto prenose a spracovaní informované."
"Článok 4 ods. 1 písm. a) smernice Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov sa má vykladať v tom zmysle, že umožňuje uplatnenie právnej úpravy týkajúcej sa ochrany osobných údajov iného členského štátu, ako je členský štát, v ktorom je prevádzkovateľ spracúvajúci tieto údaje zapísaný, pokiaľ tento prevádzkovateľ na území prvého členského štátu vykonáva prostredníctvom stálej prevádzkarne hoci aj minimálnu skutočnú a efektívnu činnosť.
Na účely určenia, či je to tak, môže vnútroštátny súd za okolností, akými sú okolnosti vo veci samej, zohľadniť najmä skutočnosť, že jednak činnosť prevádzkovateľa spracúvajúceho údaje, v kontexte ktorej sa toto spracovanie vykonáva, spočíva v prevádzkovaní internetových stránok s inzerátmi na nehnuteľnosti, ktoré sa nachádzajú na území tohto členského štátu, v jazyku tohto štátu, a že teda prevažne, či dokonca úplne smeruje do uvedeného členského štátu, a jednak aj skutočnosť, že tento prevádzkovateľ má v uvedenom členskom štáte zástupcu, ktorý je poverený vymáhaním pohľadávok vyplývajúcich z tejto činnosti, ako aj zastupovaním prevádzkovateľa v správnych a súdnych konaniach týkajúcich sa spracovania dotknutých údajov.
Naproti tomu otázka štátnej príslušnosti osôb dotknutých týmto spracovaním údajov nie je relevantná.
2. V prípade, ak by dozorný orgán členského štátu, na ktorý bola podaná sťažnosť podľa článku 28 ods. 4 smernice 95/46, došiel k záveru, že právom uplatniteľným na spracovanie dotknutých osobných údajov nie je právo tohto členského štátu, ale právo iného členského štátu, mal by sa článok 28 ods. 1, 3 a 6 tejto smernice vykladať v tom zmysle, že tento dozorný orgán môže vykonávať efektívne intervenčné právomoci, ktoré mu boli priznané článkom 28 ods. 3 uvedenej smernice iba na území svojho vlastného členského štátu. Nemôže teda na základe práva tohto členského štátu uložiť sankcie prevádzkovateľovi spracúvajúcemu tieto údaje, ktorý nie je usadený na tomto území, ale na základe článku 28 ods. 6 tejto smernice musí požiadať dozorný orgán členského štátu, ktorého právo je uplatniteľné, aby zakročil.
3. Smernica 95/46 sa má vykladať v tom zmysle, že pojem „adatfeldolgozás“ (správa údajov) použitý v maďarskej verzii tejto smernice, najmä v jej článku 4 ods. 1 písm. a) a v jej článku 28 ods. 6, sa má chápať v rovnakom zmysle ako výraz „adatkezelés“ (spracovanie údajov)."
Nemáte oprávnenie pridať názor. Prihláste sa prosím