Právě řeším problematiku předávání osobních údajů do různých zemí z pohledu evropského GDPR a legislativ dalších zemí, tak to sem sepisuji, kdyby se to někomu hodilo.
Předávání dat u nás upravuje GDPR a na stránkách ÚOOÚ lze najít také mnoho informací. Data lze předat mimo EU, pokud:
1. Evropská komise vydala dané zemi „rozhodnutí o odpovídající ochraně“, tedy že země nabízí přiměřenou ochranu. V současnosti to splňuje Argentina, Japonsko, Jižní Korea, Kanada, Nový Zéland, Švýcarsko, Spojené království, Uruguay, a pár dalších mikrostátů. (USA ani Austrálie v seznamu není). Viz článek 45 GDPR
2. Po poskytnutí vhodných záruk (viz článek 46 GDPR), že fyzickým osobám budou k dispozici vymahatelná práva a účinná právní ochrana:
- V rámci skupiny podniků a jejich závazných podnikových pravidel,
- Smluvní ujednání s příjemcem osobních údajů například za použití smluvních ustanovení schválených Evropskou komisí,
- Dodržování kodexu chování nebo mechanismu pro vydávání osvědčení společně se získáním závazných a vymahatelných závazků od příjemce pro uplatnění vhodných záruk na ochranu předaných osobních údajů.
3. Na základě výjimek pro specifické situace (článek 49 GDPR), například když fyzická osoba dostala všechny nezbytné informace o možných rizicích spojených s předáním, a následně k navrhovanému předání vydala svůj výslovný souhlas.
Mohou nastat různé situace podle země správce a zpracovatele. Pro zjednodušení budu správce osobních údajů považovat automaticky za exportéra dat.
Správce v EU používá zpracovatele mimo EU
Situace: používám online nástroj, který je provozován mimo EU (typicky v USA) a vkládám do něj osobní údaje o lidech z EU – různé CRM systémy, ERP, apod.
Předání dat do UK a jiné země „schválené“ Evropskou komisí – totéž jako předávání dat v rámci EU.
Předání dat do USA – bylo dříve ošetřeno tzv. EU-US Privacy Shield a USA tak byly označeny jako bezpečné. To už bohužel neplatí (viz Schrems II) a je potřeba tedy zajistit záruky podle čl. 46 nebo 49 GDPR). Tento článek (AK Císek) a tento článek (ÚOOÚ) popisují situaci a možná řešení.
Doplněk 2023: platí nová iniciativa Data Privacy Framework, do kterého postupně přibývají americké společnosti a které jsou z pohledu GDPR považovány za bezpečné. Na jejich seznam lze nahlédnout na https://www.dataprivacyframework.gov/list
Správce v UK používá zpracovatele v EU
Situace: svou online platformu nabízím britským firmám.
V UK před brexitem musely firmy splňovat EU GDPR a po brexitu Spojené Království navázalo ještě vlastním Data Protection Actem. Proto je UK bráno jako bezpečná země a lze data předávat stejně jako v rámci EU.
Správce v USA používá zpracovatele v EU
Situace: svou online platformu nabízím i americkým firmám.
Pokud splňujete jako zpracovat GDPR, tak to v mnoha případech bude mnohem více, než požaduje legislativa v USA. Ochrana dat je v USA ošetřována různými předpisy a to na federální úrovni (nejčastěji zaštítěno FTC) pro různé obory nebo činnosti (HIPPA, FACTA, DPPA, COPPA, VPPA, CAN-SPAM, apod.) a pak na úrovni jednotlivých států. Některé jsou v tomto směru úplně pasivní a některé jsou trochu dále (California Consumer Privacy Act, New York Shield, Virginia CDPA atd.). Takže je potřeba podle konkrétní situace hledat možné relevantní předpisy.
Správce v jiné zemi používá zpracovatele v EU
Nejsem právník, takže uvedený text je čistě informativní a vzdávám se zodpovědnosti za případné nesrovnalosti a chyby! Pokud si chcete být jistí, kontaktujte svého právníka na GDPR .