Studijní text

Mezinárodní toky osobních údajů představují samozřejmě vzhledem k důležitosti mezinárodního obchodu, jehož jsou osobní údaje nedílnou součástí, klíčový prvek regulace ochrany osobních údajů. Předně je třeba uvést, že přeshraniční předávání osobních údajů je zpracování osobních údajů a musí být tedy splněny všechny požadavky vyplývající z GDPR. Krom zásad vyplývajících z čl. 5, nutnosti disponovat právním titulem podle čl. 6 odst. 1, případně splnění výjimky podle čl. 9, se však s předáváním osobních údajů do zahranití mohou pojit (a většinou pojí) další omezení, které mají zabránit snížení úrovně ochrany předávaných údajů. Zároveň je nutné rozlišit předávání osobních údajů (tedy export údajů od správce usídleném na určitém území) a extrateritoriální aplikaci GDPR podle čl. 3 odst. 2.

Pro mezinárodní toky osobních údajů byla v rámci GDPR vytvořena třístupňová regulační struktura. Na základní úrovni, která těmto třem stupňům předchází a kterou tak můžeme pracovně označit úroveň 0, jsou členské státy EU a další státy EHP. Mezi těmito státy není tok osobních údajů jakkoli omezen a z hlediska GDPR tak nehraje roli, zda jsou osobní údaje zpracovávány v ČR, v Polsku, ve Francii nebo na Islandu. Členské státy ani nemohou volný tok osobních údajů mezi těmito státy omezit.

Předávání osobních údajů mimo uvedené země (tedy tzv. do třetích zemí) ze obecně zakázáno. V případě, že k němu má dojít, začíná se aplikovat uvedená třístupňová regulatní struktura. Na prvním stupni jsou rozhodnutí o adekvátnosti ochrany osbních údajů, které může Komise vyhlásit v souladu s čl. 45 GDPR. Komise tímto rozhodnutím může stanovit, že daná země, určité území nebo jedno či více konkrétních odvětví v této třetí zemi, nebo mezinárodní organizace zajišťují odpovídající úroveň ochrany. Pokud se tak stane, je možné osobní údaje do takové třetí země předávat bez dalších překážek. V současné době bylo rozhodnutí o adekvátnosti uděleno 14 územím, jejichž plný seznam je uvedený na stránkách Komise. Předávání osobních údajů do USA se řídilo rovněž tímto nástroje v jeho specifické podobě (Privacy Shield). Roto Rozhodnutí Komise ovšem zrušil SDEU v případu Schrems II a předávání osobních údajů do USA se tak výrtazně zkomplikovalo.

V případě, že není možné podložit předávání osobních údajů do třetích zemí rozhodnutím o adekvátnosti, přichází druhý stupeň regulatorní struktury, kterým jsou tzv. vhodné záruky. Jejich cílem ja zaručit, aby konkrétní prováděné zpracování osobních údajů probíhalo tak, aby nedošlo ke snížení úrovně jejich ochrany. Mezi tyto vhodné záruky patří zejména stadnardní smluvní doložky, závazná podinková pravidla a certifikace. V praxi patří mezi nejvíce diskutované standardní smluvní doložky (SCC), a to zejména pro jejich flexibilitu. Standardní smluvní doložky jsou přijaté na základě rozhodnutí Komise a když je správce údajů rozhodne použít, je tak soukromoprávně garantováno, že v rámci daného procesu zpracování budou příjemcem maximálně dodržována pravidla ochrany osobních údajů. Správná aplikace SCC však na správce údajů klade nemalé nároky, které detailně probereme na přednášce.

Pokud není pro konkrétní předávání osobních údajů možné použít ani druhý stupeň, přichází třetí, který spočívá ve výjimkách z obecného pravidla, že není možné údaje předávat (čl. 49 GDPR). Tyto výjimky je obecně třeba interpretovat úzce a není tak možné se na ně spoléhat v rámci dlouhodobé a systematické činnosti zpracování osobních údajů.

Závěrem je vhodné zmínit, že GDPR není jediný regulatorní rámec zajišťující toky osobních údajů přes hranice. Dále je možné zmínit tzv. policejní směrnici 2016/680, která upravuje zpracování osobních údajů orgány činnými v trestním řízení za účely prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů. V tomto rozsahu pak upravuje i předávání osobních údajů přes hranice. I zde je zachována třístupňová struktura, pravidla pro předávání jsou ale vzhledem k nezbytnosti zajištění dostečné efektivity OČTŘ poněkud volnější než v GDPR a jednotlivá pravidla tak obsahují určité odchylky od GDPR. Druhým dokumentem, který je nutné zmínit je Úmluva Rady Evropy o ochraně osob se zřetelem na automatizované zpracování osobních dat (Úmluva č. 108). V rámci této úmluvy jsou umožněny toky osobních údajů mezi státy, které ji ratifikovaly.

Výukové video

Povinná literatura

• ABEL, D.; HICKAMAN, T. Chapter 13: Cross-Border Data Transfers – Unlocking the EU General Data Protection Regulation. In: Unlocking the EU General Data Protection Regulation: A practical handbook on the EU's new data protection law [online]. 2016, White & Case. Available at: https://www.whitecase.com/publications/article/chapter-13-cross-border-data-transfers-unlocking-eu-general-data-protection
• Doporučení č. 01/2020 o opatřeních, která doplňují nástroje pro předávání s cílem zajistit soulad s úrovní ochrany osobních údajů v EU
• Pokyny 2/2018 k výjimkám podle článku 49 nařízení (EU) 2016/679