Prenosy údajov povolené, ale regulované

Úryvok z knihy Bruna DUMAYA: DEŠIFROVANIE GDPR – Pre manažérov, strategické oddelenia a zamestnancov spoločností a organizácií – Predslov od Gaëlle MONTEILLER

Aj keď sa to môže zdať prekvapujúce v globalizovanej ekonomike, kde sa pojem hraníc javí ako nezlučiteľný s transakciami cez internet, EÚ zakázala prenos osobných údajov na ďalšie spracovanie do tretej krajiny, t. j. krajiny nachádzajúcej sa mimo Únie, bez povolenia vydaného dozorným orgánom.

GDPR ruší režim predchádzajúceho povolenia. Na uskutočnenie prenosu sú však potrebné určité podmienky. Komisia musí rozhodnutím preukázať, že príjemca mimo EÚ (krajina, územie alebo sektor krajiny, medzinárodná organizácia) „zabezpečuje primeranú úroveň ochrany“ (článok 45-1). 

Druhý^e Prvý odsek článku 45 uvádza kritériá zodpovedajúce tejto primeranej úrovni ochrany vrátane zásad právneho štátu, dodržiavania ľudských práv a základných slobôd, právnych predpisov, účinnej existencie nezávislého dozorného orgánu, medzinárodných záväzkov atď. Ak preskúmanie týchto kritérií vedie k záveru, že opatrenie je v súlade s európskymi pravidlami, Komisia prijme „vykonávací akt“, ktorý podlieha pravidelnému preskúmaniu najmenej každé štyri roky (článok 45-3). Ďalej sa uvádza, že Komisia neustále monitoruje vývoj v tretích krajinách (článok 45-4).

Prenos je však možný, vždy bez predchádzajúceho povolenia, na miesto určenia, ktoré nebolo predmetom vykonávacieho aktu. Článok 46 v skutočnosti stanovuje, že prevádzkovateľ alebo spracovateľ môže preniesť údaje, „ak poskytol primerané záruky a za podmienky, že dotknuté osoby majú vymáhateľné práva a účinné právne prostriedky nápravy“ (článok 46-1).

Tieto vhodné záruky možno poskytnúť rôznymi spôsobmi, z ktorých niektoré sme už spomenuli:

•  Právne záväzný a vykonateľný nástroj medzi verejnými orgánmi alebo subjektmi;
•  Záväzné firemné pravidlá (pre skupiny spoločností sú podmienky týchto pravidiel, ktoré musí schváliť dozorný orgán, uvedené v článku 47);
• Štandardné doložky schválené Komisiou, buď priamo, alebo prostredníctvom dozorného orgánu;
•  Kódex správania alebo certifikačný mechanizmus „sprevádzaný záväzným a vymáhateľným záväzkom prevádzkovateľa alebo sprostredkovateľa v tretej krajine uplatňovať primerané záruky“ (článok 46-2).

Vhodné záruky prenosu možno poskytnúť, tentoraz po schválení dozorným orgánom, dvoma ďalšími spôsobmi:

– Zmluva medzi prevádzkovateľom údajov alebo subdodávateľom s ich partnermi v tretej krajine;

– „Ustanovenia, ktoré sa majú zahrnúť do administratívnych dohôd medzi verejnými orgánmi alebo verejnými subjektmi“ (článok 46-3).

Akýkoľvek prenos je preto zakázaný mimo vykonávacieho aktu, ktorý zaručuje primeranú úroveň ochrany alebo osobitné záruky. Výnimky sú však stanovené pre špecifické situácie uvedené v článku 49. Prenos je možný najmä:

– Ak dotknutá osoba udelila svoj výslovný súhlas po tom, čo bola informovaná o súvisiacich rizikách; 

– V súvislosti s plnením zmluvy medzi dotknutou osobou a prevádzkovateľom (alebo v jej záujme s inou fyzickou alebo právnickou osobou);

– Ak je prenos vo verejnom záujme alebo súvisí s presadzovaním zákonných práv, alebo je nevyhnutný na ochranu životne dôležitých záujmov dotknutej osoby.

Tieto početné ustanovenia týkajúce sa možností prenosu ukazujú, že iniciátori GDPR chcú zaručiť ochranu osobných údajov bez toho, aby bránili činnosti spoločností a administratív. Zrušením predchádzajúceho povolenia vo veľkej väčšine prípadov vsádzajú na zodpovednosť aktérov, ktorých prácu musí byť možné overiť podľa známej zásady zodpovednosti.