GDPR critical update! Odovzdávanie osobných údajov mimo Európsku úniu
- Datum: 19.06.2021
- Autor: Petr Špatenka
Obecné nariadenie o ochrane osobných údajov, GDPR, je účinné už viac ako tri roky. To ale v žiadnom prípade neznamená, že pravidla súvisiace zo spracovaním osobných údajov sú nemenné a že dotknuté organizácie môžu po viac alebo menej úspešnej implementácií GDPR už len udržovať nastavený proces.
GDPR novinka tohto leta: Odovzdávanie osobných údajov mimo Európsku úniu
GDPR totiž práva a povinnosti súvisiace zo spracovaním osobných údajov upravuje do veľkej miery obecne. Preto je dôležité sledovať aj rozhodovaciu prax jednotlivých národných úradov pre ochranu osobných údajov a európskych súdov, ktoré výklad a jednotlivé povinnosti správcu a spracovateľov osobných údajov upresňujú.
Jednou z oblastí, v ktorej je v poslednej dobe živo, je odovzdávanie osobných údajov mimo Európsku úniu. Akokoľvek GDPR v porovnaní s predchádzajúcou úpravou predstavuje o niečo menej náročnú úpravu, Súdni dvor Európskej únie odovzdávanie dát najmä do USA značne skomplikoval. Na to reagoval Európsky zbor pre ochranu osobných údajov, ktoré na konci Júla vydal doporučenie k tomu, aké dodatočné opatrenie pri odovzdávaní dat mimo Európsku úniu zaviesť.
Kým si tieto opatrenia a ich dopad do praxe prejdeme, priblížíme si, čo sa v režime GDPR rozumie odovzdávaním osobných údajov do tretích krajín.
O prenos osobných údajov sa jedná vtedy, pokiaľ organizácia osobných údajov sprístupni k ďalšiemu spracovaniu príjemcovi, ktorý bude dáta spracovávať za hranicami Európskej únie. Nie je rozhodujúce, či je tento príjemca samostatným správcom, ktorý bude údaje spracovávať za vlastným účelom, alebo spracovateľom, ktorý bude iba dodávať vývozcovi dát určitú službu, pre ktorú je spracovanie dát nevyhnutné. Kľúčové je, že osobné dáta budú systematicky a cielene sprístupnené organizácií v tretej krajine.
Typickými prípadmi odovzdávania osobných údajov v súkromnom sektore sú napr:
- využitie dodávateľa cloudových služieb, ktorý prevádzkuje úložisko mimo EU
- využitie služieb dodávateľa so sídlom mimo EU, ktorý k poskytovanej činnosti potrebuje osobné údaje, typicky podpora v oblasti marketingu, online komunikácie, účtovníctvo, dodávanie ITC služieb, služieb auditu, preverovanie zamestnancov (background check) atď.
- odovzdávanie osobných údajov nevyhnutných k zaisteniu určitej služby, napr. v oblasti turistického ruchu, dopravy, poistenia alebo nákupu tovaru či služby koncovému spotrebiteľovi.
- zdieľanie dát v rámci skupiny podnikov, keď člen koncernu so sídlom mimo EU poskytuje celé skupiny služieb v oblasti personalistiky, IT podpory, archivácie dát atď.
- využitie online marketingových nástrojov a reklamných systémov, ktoré zahŕňajú aj užívatelia mimo Európsku úniu
Aby pri odovzdávaní osobných údajov bola zaistená dostatočná miera ochrany dát, je podľa GDPR možné využitie niektorých z týchto právnych inštitútov:
- odovzdávanie do krajiny, ktorú Európska komisia označí za bezpečnú. Pre toto odovzdávanie nie je nutné obecne prijímať žiadne ďalšie opatrenia. Za bezpečné krajiny boli označené napr. Švajčiarsko, Japonsko, Izrael, Uruguaj alebo nedávno Veľká Británia.
- zavedenie záväzných vnútropodnikových pravidiel pre spracovanie dát v rámci koncernu. Pokiaľ si koncern, skupina podnikov s jednotlivým riadením, interne upraví dostatočne pravidlá pre využívanie a ochranu osobných údajov a tieto pravidlá schváli príslušný dozorný úrad, môžu byť údaje ďalším členom skupiny odovzdávané aj pokiaľ sa nachádza mimo Európsku úniu.
- Štandardné zmluvné doložky, ktorými sa vývozca dát z EU a predovšetkým príjemca z tretích krajín zaviaže k dodržiavaniu pravidiel, ktorá zaistí splnenie požiadaviek GDPR.
Otázka odovzdávania osobných údajov mimo Európsku úniu získala na dôležitosti najmä po tom, keď Súdni dvor Európskej únie v predošlom roku zrušil tzv. Privacy Shield. To bol právni inštitút uznaný Európskou komisiou ako dostatočné opatrenie k odovzdávaniu údajov do Spojených štátov amerických. Od jeho zrušenia je tak nutné pri odovzdávaní do USA využívať niektoré z ďalších nástrojov, v praxi sa najčastejšie jedná o štandardné zmluvné doložky.
Súdni dvor Európskej únie však vyslovil isté pochybnosti o štandardných zmluvných doložkách. Na to reagovala ako Európska komisia, ktorá 4. Júna 2021 vydala nové´vzorové dojednanie do zmlúv medzi vývozcom a príjemcom dát, tak Európsky zbor pre ochranu osobných údajov, ktorý dňa 21. Júna 2021 zase vydal radu doporučení, aké opatrenia pri odovzdávaný dát ešte zaviesť.
Pre úplnosť dodajme, že organizácia, ktorá pri odovzdávaní osobných údajov mimo EU nezaistí ich dostatočnú ochranu, hrozí nielen pokuta do výšky 20 miliónov euro alebo 4% z celosvetového ročného obratu celej skupiny, ale dozorný úrad jej môže rovno nariadiť, aby dané odovzdávanie zastavila, zmenila dodávateľské služby, zaviedla ďalšie opatrenia k ochrane dát atď. A dotknuté osoby, klienti alebo zamestnanci, sa najviac môžu u súdu domáhať náhrady ujmy, ktorá im neoprávneným odovzdaním ich dát vznikla.
Ako teda otázku odovzdávania osobných údajov mimo Európsku úniu postupovať v praxi? Európsky zbor doporučuje postupovať v týchto šiestich krokoch:
1) Zaznamenať procesy, v ktorých sú osobné údaje odovzdávané mimo Európsku úniu.
Vie organizácia alebo jej poverená osoba pre ochranu osobných údajov o všetkých prípadoch, kedy sú dáta odovzdávané mimo Európsku úniu, o všetkých využívaných službách a aplikáciach, ktoré sú v organizácií nasadené? Nepoužíva niektorý dodávateľ ďalšieho subdodávateľa, ktorý vaše dáta spracováva v cloudu s úložiskom v USA alebo Rusku?
2) Posúdiť nástroj pre zaistenie ochrany osobných údajov
Sú dáta odovzdávané do bezpečnej krajiny? Alebo sú zdielané v rámci skupiny podnikov, ktoré majú schválené podnikové pravidlá pre ich spracovanie? Alebo, čo je najčastejší prípad, je nutné súvisiace pravidlá upraviť pomocou štandartných zmluvných doložiek a ďalších dodatočných opatrení?
3) Analyzovať právny režim krajiny príjemcu údajov
Existuje v krajine príjemcu obdobný právny režim pre ochranu osobných údajov a uplatnenia práv subjektu údajov, aký zaisťuje GDPR? Môžu sa dotknuté osoby obrátiť na miestny súd alebo úrad pre ochranu dát? A akým spôsobom môžu prístup k dátam vyžadovať miestne úrady, vrátane bezpečnostných zložiek?
4) Na základe prevedenej analýzy zaviesť dodatočné opatrenia k ochrane dát
Organizácia by mala zhodnotiť rizikovosť každého odovzdávajúceho mimo EU vyplývajúcich predovšetkým s ohľadom na kategórie odovzdávaných údajov, kategórie dotknutých osôb, spôsob spracovania a právni režim v krajine príjemcu. Na základe tejto analýzy potom musí posúdiť, či a aké dodatočné opatrenia zaviesť. Európsky zbor uvádza napríklad tieto dodatočné opatrenia:
Šifrovanie dát pred ich prenosom do tretích krajín
Technická ochrana dát pri samotnom prenose
Pseudonymizácia dát a ochrana údajov nutných k spätnej identifikácií dotknutých osôb
Rozdelenie dátových súborov medzi viac príjemcov
Zmluvné zakotvenie povinností príjemcu dát k zavedeniu konkrétnych bezpečnostných opatrené
Zmluvné zakotvenie práva vývozcu dát na prevedený audit plnenia zmluvy a zavedených opatrení u príjemcu dát
Zmluvné povinnosti príjemcu informovať vývozcu dát o zmene v relevantnej právnej úprave, ktorý by ochranu dát oslabila
Organizačné opatrenia na strane vývozcu dát, ktorá jednoznačne nastaví zodpovednosť a povinnosti za odovzdávanie dát mimo Európsku úniu a za kontrolu dostatočnej úrovne ochrany dát
Dôsledné zapojenie poverenej osoby pre ochranu osobných údajov, právneho útvaru a audítora do procesov odovzdávania osobných údajov a to už vo fáze zámeru odovzdávania zahájiť.
5) Dodatočné opatrenia tiež formálne upraviť
Môže sa jednať o dodatok k zmluve, nastavenie interných procesov v organizácií, spracovanie rizikovej analýzy súvisiacej s konkrétnym procesom odovzdávania dát mimo EU a prejednávaním ich výsledkov a navrhnutých opatrení zo strany vedenia organizácie atď.
6) Pravidelné hodnotenie nastavených opatrení
Ako vo všetkých podobných oblastiach, napríklad bezpečnosti informácií, compliance management systému či obecného riadenia rizík, nestačí opatrenie jednorázovo hodnotiť, posúdiť, či sú súvisiace riziká rovnaké alebo a zmenili a posúdiť a prípadne upraviť aj nastavené dodatočné opatrenia k ochrane dát.
Využívanie mnohých dodávateľov pre zaistenie procesu, jeho súčasťou sú osobné údaje, je celkom bežné. V mnohých prípadoch bohužiaľ organizácie ani s istotou nevedia, kto má k osobným údajom ich klientov, zamestnancov či ďalších osôb prístup a kde sa dáta vôbec nachádzajú. K zníženiu súvisiacich rizík, predovšetkým pokuty a reputačných dopadov u klientov a obchodných partnerov, je tak nutné previesť či aktualizovať analýzu operácií spracovania osobných údajov, zhromaždiť ďalšie subjekty s prístupom k dátam a zaviesť vhodné opatrenia k ich ochrane.