Dňa 31.1.2020 opustila Veľká Británia, ako prvý členský štát v histórii, Európsku úniu. Čo znamená pre ochranu osobných údajov a GDPR brexit? Odchod Veľkej Británie z Európskej únie sa dotkne aj oblasti ochrany osobných údajov. Ako sa s uvedenou situáciou vysporiadajú príslušné orgány a čo to znamená pre „bežných“ prevádzkovateľov a sprostredkovateľov?
Z praktického uhla pohľadu sa Brexit dotkne najmä prenosov osobných údajov medzi krajinami Európskej únie a Veľkou Britániou, ktorá sa stane tzv. treťou krajinou. Viac informácií aj k tejto téme Vám prinášame v našom článku.
Ako vo svojom stanovisku z 29.1.2020 uvádza priamo ICO,1 odo dňa odchodu Veľkej Británie z Európskej únie začína tzv. prechodné odborie,2 počas ktorého sa bude vo Veľkej Británii aj naďalej uplatňovať GDPR Nariadenie.
Z pohľadu prevádzkovateľov a sprostredkovateľov pôsobiacich vo Veľkej Británii, ako aj tých, ktorí pravidelne uskutočňujú prenos osobných údajov do Veľkej Británie, sa nateraz nič menení. Prechodné obdobie sa však skončí koncom roka 2020. Po uplynutí prechodného obdobia bude Veľká Británia „klasickou“ treťou krajinou z pohľadu GDPR.
Cieľom prechodného obdobia je vyriešiť otázky, ktoré Brexit priniesol. Z pohľadu ochrany osobných údajov je to najmä otázka postavenia Veľkej Británie pri prenose osobných údajov z a do krajín, kde sa uplatňuje GDPR.3
Počas ostatného obdobia sa spomínalo najmä prijatie dohody medzi EÚ a Veľkou Britániou, ktorá by upravovala aj vyššie uvedenú situáciu, či prípadné rozhodnutie Európskej komisie o primeranosti podľa článku 45 Nariadenia GDPR. Rozhodnutie o primeranosti znamená, že krajina, voči ktorej je takéto rozhodnutie prijaté, zaručuje primeranú úroveň ochrany osobných údajov v zmysle štandardov GDPR.4
Veľká Británia je tak v súčasnosti krajinou, ktoré senzu stricto neposkytuje primeranú úroveň ochrany osobných údajov, a to aj napriek tomu, že má vo svojom vnútroštátnom právnom poriadku implementovaný prostredníctvom národného zákona o ochrane osobných údajov obdobné „základy“ pre ochranu osobných údajov ako Nariadenie GDPR. V súčasnosti nie je jasné, kedy by mohlo byť vydané rozhodnutie o primeranosti pre Veľkú Britániu a či vôbec bude vydané.
Súčasný Britský premiér sa nechal tento týždeň vo svojom vyhlásení počuť, že Veľká Británia sa pravdepodobne vydá cestou vytvorenia vlastných noriem týkajúcich sa ochrany osobných údajov, ktoré môže byť v niektorých smeroch odlišné od režimu, ktorý zaviedlo GDPR. Vyššie uvedené tvrdenie tak znamená zásadný obrat v pozícií Veľkej Británie, ktorá sa ešte minulý rok plánovala vydať cestou dohody zahrňujúcej rešpektovanie pravidiel GDPR aj po Brexite.
V každom prípade, vo svetle posledných skutočností sa odporúčame pripraviť aj na scenár, kedy nebude vzťah medzi EÚ a Veľkou Britániou upravený žiadnou dohodou, ani rozhodnutím o primeranosti.
K tejto situácií pravidelne aktualizuje svoje odporúčania aj EDPB.5 V odporúčaniach sa EDPB venuje najmä téme prenosu osobných údajov do a z Veľkej Británie v prípade, ak nastane tzv. no-deal Brexit.6. Prenos osobných údajov v uvedenom prípade7 je možné uskutočniť v prípade, ak bude primerane zabezpečený. Do úvahy prichádzajú nasledujúce možnosti zabezpečenia prenosu osobných údajov:
V každom prípade, pri prenose osobných údajov do tretích krajín je potrebné dbať na to, aby si prevádzkovatelia a sprostredkovatelia zvolil vhodný spôsob zabezpečenia ochrany osobných údajov pri jeho prenose ešte pre jeho uskutočnením.
Prečítajte si aj: Šifrovanie ako bezpečnostné opatrenie GDPR, práve šifrovanie môže byť jedným z možných riešení.
Vo všeobecnosti sa štandardné zmluvné doložky používajú na zabezpečenie prenosov v prípadoch, kedy neexistuje rozhodnutie o primeranosti, prípadne nie sú prijaté záväzné vnútropodnikové pravidlá. Štandardné zmluvné doložky schválené Európskou komisiou väčšinou ešte podľa predchádzajúcej Smernice o ochrane osobných údajov č. 95/46/ES, aplikovateľné pre prevádzkovateľov, ako aj sprostredkovateľom, nájdete napríklad tu.8
Ich výber a použitie záleží na konkrétnej dohode zmluvných strán. Štandardné zmluvné doložky však nie je možné meniť, a je potrebné ich ako prílohu zmluvy podpísať alebo zahrnúť priamo do zmluvy.
V prípade, ak by prišlo k modifikácií štandardných zmluvných doložiek, takto upravené zmluvné doložky sa budú považovať za ad hoc zmluvné doložky, ktoré môžu v konkrétnych situáciách poskytovať primerané záruky ochrany osobných údajov. Pred ich použitím je však potrebné, aby boli schválené príslušným národným dozorným orgánom po súhlasom stanovisku EDPB.
Záväzné vnútropodnikové pravidlá predstavujú vnútorné politiky skupiny podnikov, ktoré zavádzajú primerané záruky ochrany osobných údajov pre ich prenos v skupine podnikov, vrátane prenosu do podniku, ktorý sa nachádza v tretej krajine – teda do rozhodnutia o primeranosti aj vo Veľkej Británii.
Záväzné vnútropodnikové pravidlá podliehajú schváleniu príslušného dozornému orgánu. V prípade, ak je Vaša spoločnosť súčasťou skupiny podnikov so schválenými záväznými vnútropodnikovými pravidlami podľa predchádzajúcej právnej úpravy podľa Smernice č. 95/46/ES o ochrane osobných údajov, nie je potrebné vypracúvať nové vnútropodnikové pravidlá, postačuje ich aktualizácia tak, aby spĺňali požiadavky GDPR.
Kódexy správania alebo certifikačné mechanizmy môžu v prípade, ak obsahujú záväzné a vynútiteľné povinnosti pre organizácie v tretej krajine, poskytovať primerané záruky pre prenos osobných údajov. Ide o nové nástroje, ktoré vo vzťahu k prenosom osobných údajov zaviedlo GDPR a v súčasnosti paria k tým menej využívaním prostriedkom pri prenose osobných údajov.
U nás boli doteraz prijaté kódexy správania napríklad SBA (Slovak Business Agency) alebo Slovenskou advokátskou komorou (SAK).
Derogácie predstavujú výnimky, na ktoré je možné sa pri prenose osobných údajov spoľahnúť len za súčasného splnenia vymedzených podmienok a v prípade, ak pre tretiu krajinu neexistuje rozhodnutie o primeranosti alebo iné z vyššie opísaných záruk bezpečného prenosu osobných údajov (najmä záväzné vnútropodnikové pravidlá alebo použitie štandardných zmluvných doložiek).
K derogáciám (výnimkám) upraveným v čl. 49 GDPR patria napríklad:
GDPR pozná okrem vyššie uvedených výnimiek aj nástroje použiteľné pre verejnoprávne subjekty. Medzi ne patrí napríklad bilaterálna alebo viacstranná zmluva, ktorá je právne vynútiteľná medzi zmluvnými stranami a ktorou sa medzi zmluvnými stranami prijímajú primerané záruky pre prenášané osobné údaje.
Pozrite si naše videoškolenia, ktoré vám pomôžu skontrolovať vypracovanú dokumentáciu pre ochranu osobných údajov na našom YouTube a sledujte nás.
V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.
Pre ochranu osobných údajov a GDPR Brexit znamená zmeny. Či už príde k dohode medzi Veľkou Britániou a Európskou úniou alebo nie, odporúčame byť pripravený na všetky varianty. Aktuálny vývoj budeme sledovať a tému aktualizovať. Ak sa chcete pripraviť vopred, odporúčame napríklad pripraviť si zmluvné doložky pre prípad, že Veľká Británia a Európska únia nenájdu spoločné riešenie.
Ak prenášate osobné údaje do Veľkej Británie, s veľkou pravdepodobnosťou bude potrebná GDPR aktualizácia vo vašej spoločnosti.
ICO je skratka anglického pomenovania britského úradu na ochranu osobných údajov – Information Commissioner´s office. ↩
Pojem používaný v príslušných usmerneniach je „transition period“ ↩
Pozn.: Ako je známe, GDPR sa ako priamo aplikovateľný právny predpis uplatňuje v každom členskom štáte Európskej únie. ↩
Rozhodnutie o primeranosti bolo prijaté v poslednom období napríklad vo vzťahu k Japonsku v januári 2019. Medzi ďalšie krajiny, ktoré podľa rozhodnutia o primeranosti poskytujú primeranú úroveň ochrany osobných údajov patria napríklad Argentína, Nový Zéland alebo Izrael ↩
Pozn.: Anglická skratka pre Európsky výbor pre ochranu osobných údajov, nástupca pracovnej skupiny WP 29 ↩
Brexit bez dohody alebo rozhodnutia o primeranosti vo vzťahu k ochrane osobných údajov, označovaný ako „tvrdý“ Brexit. ↩
Rovnako ako prenos osobných údajov do akejkoľvek tretej krajiny ↩
Pozn.: K dátumu tohto článku ešte neboli vypracované štandardné doložky v zmysle GDPR Nariadenia. ↩
12. 8. 2022
GDPR Nariadenie, Videoškolenia11. 3. 2022
Cookies, VideoškoleniaLegislatívne povinnosti nám dávajú príležitosť na to, aby sme veci robili lepšie.
Vyplňte GDPR dotázník a získajte 30 minútovú konzultáciu ZDARMA.
Zistite viacNa všetky vaše otázky vám radi odpovieme e-mailom, telefonicky alebo na osobnom stretnutí.
Created by Wink & Nod
securion © 2021
This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.