Evropská komise rozhodla: předávání osobních údajů do Velké Británie může pokračovat

14. 7. 2021

Evropská komise přijala rozhodnutí umožňující, aby osobní údaje nadále mohly volně proudit z EU do Spojeného království. Tam se na ně podle tohoto rozhodnutí vztahuje v zásadě rovnocenná úroveň ochrany, jakou zaručují právní předpisy EU.

Podmínky pro předávání dat do Velké Británie zůstaly po brexitu dlouho nevyjasněné. Dovedeme si představit, že pro mnohé společnosti tato nejistota znamenala i zásadní komplikace při plánování budoucích přeshraničních operací. Máme radost, že konečně všichni víme, na čem jsme, a že režim předávání údajů do Velké Británie v praxi zůstává v podstatě stejný jako doposud. Nejsou tedy potřeba žádné dodatečné záruky ani opatření nad rámec standardních požadavků GDPR.

Komise uvedla, že rozhodnutí o odpovídající ochraně
  • může usnadnit správnou implementaci dohody o obchodu;
  • ulehčí spolupráci mezi EU a Velkou Británií, která mimo jiné předpokládá výměnu osobních údajů;
  • obsahuje silné záruky pro případ budoucích rozdílů, včetně doložky o ukončení platnosti omezující dobu trvání odpovídající ochrany na čtyři roky (poté dojde k revizi tohoto rozhodnutí a potažmo úrovně ochrany osobních údajů ve Velké Británii).

Nicméně komise zároveň zdůraznila, že nadále sleduje právní situaci ve Velké Británii a může kdykoli zasáhnout, pokud se odchýlí od stávající úrovně ochrany.

Tiskovou zprávu si můžete přečíst zde, rozhodnutí o přiměřenosti GDPR zde a rozhodnutí o přiměřenosti směrnice zde.

Obecný přehled právních režimů pro předávání osobních údajů do třetích zemí podle GDPR

GDPR vyžaduje při předání údajů do třetích zemí (nebo mezinárodním organizacím) splnění speciálních požadavků (čl. 44 a násl. GDPR). Pro lepší orientaci v různých právních režimech pro předávání údajů mimo Evropskou unii nebo Evropský hospodářský prostor, tedy i do Spojeného království, můžete využít naši tabulku:

Právní nástroj předání

Komentář

Bezpečná země podle rozhodnutí Evropské komise o odpovídající ochraně

Rozhodnutí EK jsou dostupná zde.

Standardní doložky o ochraně osobních údajů přijaté nebo schválené Komisí

Předání údajů mimo EU/EHP můžete provést, pokud jste vy a příjemce uzavřeli smlouvu obsahující standardní ustanovení o ochraně údajů přijatá nebo schválená na návrh dozorového úřadu Komisí.

Závazná podniková pravidla

Předání údajů mimo EU/EHP můžete provést, pokud jste se s příjemcem údajů součástí skupinového dokumentu nazvaného závazná firemní pravidla (Binding Corporate Rules). BCR jsou interním kodexem chování v rámci nadnárodní skupiny, který se vztahuje na přenosy osobních údajů od subjektů skupiny, které se nacházejí v EU/EHP, směrem k subjektům skupiny, které se nacházejí mimo EU/EHP. BCR musíte předložit ke schválení určenému dozorovému úřadu v zemi EU/EHP, kde sídlí jedna ze společností.

Schválený kodex chování spolu se závaznými a vymahatelnými závazky správce nebo zpracovatele ve třetí zemi uplatňovat vhodné záruky

Předání údajů mimo EU/EHP můžete provést, pokud příjemce přijal kodex chování, který byl schválen dozorovým úřadem. Kodex chování musí zahrnovat vhodné záruky a opatření na ochranu práv jednotlivců, jejichž osobní údaje byly předány a které lze přímo vymáhat.

Schválený mechanismus pro vydání osvědčení spolu se závaznými a vymahatelnými závazky správce nebo zpracovatele ve třetí zemi uplatňovat vhodné záruky

Předání údajů mimo EU/EHP můžete provést v případě, že příjemce má osvědčení v rámci systému schváleného dozorovým úřadem. Systém certifikace musí zahrnovat vhodné záruky a opatření na ochranu práv jednotlivců, jejichž osobní údaje byly předány a které mohou být přímo vymáhány.

Smluvní doložky individuálně schválené dozorovým úřadem

Předání údajů mimo EU/EHP můžete provést, pokud jste vy a příjemce uzavřeli speciální smlouvu upravující konkrétní předání, která byla individuálně schválená dozorovým úřadem země, ze které jsou osobní údaje exportovány.

Závazný a vymahatelný nástroj mezi orgány veřejné moci nebo veřejnými subjekty

Předání údajů můžete provést, pokud jste veřejným orgánem nebo subjektem a údaje převádíte na jiný veřejný orgán nebo subjekt a oba jste podepsaly smlouvu nebo jiný právní nástroj, který je právně závazný a vykonatelný. Tato smlouva nebo nástroj musí zahrnovat vymahatelná práva a účinná opatření pro jednotlivce, jejichž osobní údaje jsou předány.

Správní ujednání mezi orgány veřejné moci nebo veřejnými subjekty schválené dozorovým úřadem, která zahrnují vymahatelná a účinná práva subjektu údajů

 

Výjimky pro nepravidelné, mimořádné předání údajů

Pokud provádíte omezené předání údajů, na které se nevztahuje rozhodnutí o odpovídající ochraně, ani jiné vhodné záruky, můžete tento převod provést pouze tehdy, pokud se na něj vztahuje jedna z „výjimek“ uvedených v článku 49 GDPR. Výjimky:

  • výslovný souhlas;

  • nezbytnost splnění smlouvy uzavřené subjektem údajů nebo v jeho zájmu nebo provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů;

  • důležité důvody veřejného zájmu;

  • nezbytnost pro určení, výkon nebo obhajobu právních nároků;

  • ochrana životně důležitých zájmů subjektu údajů nebo jiných osob, kde nelze získat souhlas;

  • předání z veřejného rejstříku podle práva EU nebo členských států;

jednorázové, omezené předání založené na závažných zájmech správce, které nejsou převáženy zájmy dotčených osob.

 

FOTO

Mohlo by vás také zajímat:

Zrušení štítu soukromí – jak si poradit s předáváním dat do USA podle Evropského sboru pro ochranu osobních údajů

Přenos osobních údajů z EU do USA: Podle francouzské Státní rady rozhodují smlouva a technologie

Novela zákona o elektronických komunikacích: Zásadní změny pro cookies a telemarketing