GDPR po Brexite – súčasný stav

Dňa 31.1.2020 opustila Veľká Británia, ako prvý členský štát v histórii, Európsku úniu. Čo znamená pre ochranu osobných údajov a GDPR brexit? Odchod Veľkej Británie z Európskej únie sa dotkne aj oblasti ochrany osobných údajov. Ako sa s uvedenou situáciou vysporiadajú príslušné orgány a čo to znamená pre „bežných“ prevádzkovateľov a sprostredkovateľov?

Z praktického uhla pohľadu sa Brexit dotkne najmä prenosov osobných údajov medzi krajinami Európskej únie a Veľkou Britániou, ktorá sa stane tzv. treťou krajinou. Viac informácií aj k tejto téme Vám prinášame v našom článku.

Prechodné obdobie pre GDPR Brexit

Ako vo svojom stanovisku z 29.1.2020 uvádza priamo ICO,1 odo dňa odchodu Veľkej Británie z Európskej únie začína tzv. prechodné odborie,2 počas ktorého sa bude vo Veľkej Británii aj naďalej uplatňovať GDPR Nariadenie.

Z pohľadu prevádzkovateľov a sprostredkovateľov pôsobiacich vo Veľkej Británii, ako aj tých, ktorí pravidelne uskutočňujú prenos osobných údajov do Veľkej Británie, sa nateraz nič menení. Prechodné obdobie sa však skončí koncom roka 2020. Po uplynutí prechodného obdobia bude Veľká Británia „klasickou“ treťou krajinou z pohľadu GDPR.

Cieľom prechodného obdobia je vyriešiť otázky, ktoré Brexit priniesol. Z pohľadu ochrany osobných údajov je to najmä otázka postavenia Veľkej Británie pri prenose osobných údajov z a do krajín, kde sa uplatňuje GDPR.3

Počas ostatného obdobia sa spomínalo najmä prijatie dohody medzi EÚ a Veľkou Britániou, ktorá by upravovala aj vyššie uvedenú situáciu, či prípadné rozhodnutie Európskej komisie o primeranosti podľa článku 45 Nariadenia GDPR. Rozhodnutie o primeranosti znamená, že krajina, voči ktorej je takéto rozhodnutie prijaté, zaručuje primeranú úroveň ochrany osobných údajov v zmysle štandardov GDPR.4

Veľká Británia je tak v súčasnosti krajinou, ktoré senzu stricto neposkytuje primeranú úroveň ochrany osobných údajov, a to aj napriek tomu, že má vo svojom vnútroštátnom právnom poriadku implementovaný prostredníctvom národného zákona o ochrane osobných údajov obdobné „základy“ pre ochranu osobných údajov ako Nariadenie GDPR. V súčasnosti nie je jasné, kedy by mohlo byť vydané rozhodnutie o primeranosti pre Veľkú Britániu a či vôbec bude vydané.

Súčasný Britský premiér sa nechal tento týždeň vo svojom vyhlásení počuť, že Veľká Británia sa pravdepodobne vydá cestou vytvorenia vlastných noriem týkajúcich sa ochrany osobných údajov, ktoré môže byť v niektorých smeroch odlišné od režimu, ktorý zaviedlo GDPR. Vyššie uvedené tvrdenie tak znamená zásadný obrat v pozícií Veľkej Británie, ktorá sa ešte minulý rok plánovala vydať cestou dohody zahrňujúcej rešpektovanie pravidiel GDPR aj po Brexite.

„Tvrdý“ Brexit

V každom prípade, vo svetle posledných skutočností sa odporúčame pripraviť aj na scenár, kedy nebude vzťah medzi EÚ a Veľkou Britániou upravený žiadnou dohodou, ani rozhodnutím o primeranosti.

K tejto situácií pravidelne aktualizuje svoje odporúčania aj EDPB.5 V odporúčaniach sa EDPB venuje najmä téme prenosu osobných údajov do a z Veľkej Británie v prípade, ak nastane tzv. no-deal Brexit.6. Prenos osobných údajov v uvedenom prípade7 je možné uskutočniť v prípade, ak bude primerane zabezpečený. Do úvahy prichádzajú nasledujúce možnosti zabezpečenia prenosu osobných údajov:

  • štandardné alebo ad hoc zmluvné doložky,
  • záväzné vnútropodnikové pravidlá,
  • kódexy správania a certifikačné mechanizmy,
  • derogácie (výnimky).

V každom prípade, pri prenose osobných údajov do tretích krajín je potrebné dbať na to, aby si prevádzkovatelia a sprostredkovatelia zvolil vhodný spôsob zabezpečenia ochrany osobných údajov pri jeho prenose ešte pre jeho uskutočnením.

Zmluvné doložky

Vo všeobecnosti sa štandardné zmluvné doložky používajú na zabezpečenie prenosov v prípadoch, kedy neexistuje rozhodnutie o primeranosti, prípadne nie sú prijaté záväzné vnútropodnikové pravidlá. Štandardné zmluvné doložky schválené Európskou komisiou väčšinou ešte podľa predchádzajúcej Smernice o ochrane osobných údajov č. 95/46/ES, aplikovateľné pre prevádzkovateľov, ako aj sprostredkovateľom, nájdete napríklad tu.8

Ich výber a použitie záleží na konkrétnej dohode zmluvných strán. Štandardné zmluvné doložky však nie je možné meniť, a je potrebné ich ako prílohu zmluvy podpísať alebo zahrnúť priamo do zmluvy.

V prípade, ak by prišlo k modifikácií štandardných zmluvných doložiek, takto upravené zmluvné doložky sa budú považovať za ad hoc zmluvné doložky, ktoré môžu v konkrétnych situáciách poskytovať primerané záruky ochrany osobných údajov. Pred ich použitím je však potrebné, aby boli schválené príslušným národným dozorným orgánom po súhlasom stanovisku EDPB.

Záväzné vnútropodnikové pravidlá

Záväzné vnútropodnikové pravidlá predstavujú vnútorné politiky skupiny podnikov, ktoré zavádzajú primerané záruky ochrany osobných údajov pre ich prenos v skupine podnikov, vrátane prenosu do podniku, ktorý sa nachádza v tretej krajine – teda do rozhodnutia o primeranosti aj vo Veľkej Británii.

Záväzné vnútropodnikové pravidlá podliehajú schvávelniu príslušného dozornému orgánu. V prípade, ak je Vaša spoločnosť súčasťou skupiny podnikov so schválenými záväznými vnútropodnikovými pravidlami podľa predchádzajúcej právnej úpravy  podľa Smernice č. 95/46/ES o ochrane osobných údajov, nie je potrebné vypracúvať nové vnútropodnikové pravidlá, postačuje ich aktualizácia tak, aby spĺňali požiadavky GDPR.

Kódexy správania a certifikačné mechanizmy

Kódexy správania alebo certifikačné mechanizmy môžu v prípade, ak obsahujú záväzné a vynútiteľné povinnosti pre organizácie v tretej krajine, poskytovať primerané záruky pre prenos osobných údajov. Ide o nové nástroje, ktoré vo vzťahu k prenosom osobných údajov zaviedlo GDPR a v súčastnoti paria k tým menej využívaním prostriedkom pri prenose osobných údajov.

U nás boli doteraz prijaté kódexy správania napríklad SBA (Slovak Business Agency) alebo Slovenskou advokátskou komorou (SAK).

Derogations

Derogácie predstavujú výnimky, na ktoré je možné sa pri prenose osobných údajov spoľahnúť len za súčasného splnenia vymedzených podmienok a v prípade, ak pre tretiu krajinu neexistuje rozhodnutie o primeranosti alebo iné z vyššie opísaných záruk bezpečného prenosu osobných údajov (najmä záväzné vnútropodnikové pravidlá alebo použitie štandardných zmluvných doložiek).

K derogáciám (výnimkám) upraveným v čl. 49 GDPR patria napríklad:

  • výslovný súhlas dotknutej osoby po poskytnutí všetkých potrebných informácií o rizikách spojených s takýmto prenosom,
  • prenos osobných údajov nevyhnutný z dôležitých dôvodov verejného záujmu,
  • prenos osobných údajov nevyhnutný na plnenie alebo uzatvorenie zmluvy medzi dotknutou osobou a prevádzkovateľom, ak je zmluva uzatvorená v záujme dotknutej osoby.

GDPR pozná okrem vyššie uvedených výnimiek aj nástroje použiteľné pre verejnoprávne subjekty. Medzi ne patrí napríklad bilaterálna alebo viacstranná zmluva, ktorá je právne vynútiteľná medzi zmluvnými stranami a ktorou sa medzi zmluvnými stranami prijímajú primerané záruky pre prenášané osobné údaje.

Ako sa vysporiadať s ochranou

Pre ochranu osobných údajov a GDPR Brexit znamená zmeny. Či už príde k dohode medzi Veľkou Britániou a Európskou úniou alebo nie, odporúčame byť pripravený na všetky varianty. Aktuálny vývoj budeme sledovať a tému aktualizovať. Ak sa chcete pripraviť vopred, odporúčame napríklad pripraviť si zmluvné doložky pre prípad, že Veľká Británia a Európska únia nenájdu spoločné riešenie.

Ak prenášate osobné údaje do Veľkej Británie, s veľkou pravdepodobnosťou bude potrebná GDPR aktualizácia vo vašej spoločnosti.

Pozrite si naše videoškolenia, ktoré vám pomôžu skontrolovať vypracovanú dokumentáciu pre ochranu osobných údajov na našom YouTube a sledujte nás. 

Potrebujete pomôcť so zmluvnými doložkami alebo riešeniami v oblasti ochrany osobných údajov?


  1. ICO je skratka anglického pomenovania britského úradu na ochranu osobných údajov – Information Commissioner´s office. 

  2. Pojem používaný v príslušných usmerneniach je „transition period“ 

  3. Pozn.: Ako je známe, GDPR sa ako priamo aplikovateľný právny predpis uplatňuje v každom členskom štáte Európskej únie. 

  4. Rozhodnutie o primeranosti bolo prijaté v poslednom období napríklad vo vzťahu k Japonsku v januári 2019. Medzi ďalšie krajiny, ktoré podľa rozhodnutia o primeranosti poskytujú primeranú úroveň ochrany osobných údajov patria napríklad Argentína, Nový Zéland alebo Izrael 

  5. Pozn.: Anglická skratka pre Európsky výbor pre ochranu osobných údajov, nástupca pracovnej skupiny WP 29 

  6. Brexit bez dohody alebo rozhodnutia o primeranosti vo vzťahu k ochrane osobných údajov, označovaný ako „tvrdý“ Brexit. 

  7. Rovnako ako prenos osobných údajov do akejkoľvek tretej krajiny 

  8. Pozn.: K dátumu tohto článku ešte neboli vypracované štandardné doložky v zmysle GDPR Nariadenia. 

Odoberajte náš newsletter

Odporúčané články

Potrebujete pomôcť?

Ak potrebujete pomôcť s riešením osobných údajov, neváhajte nás kontaktovať. Radi vám pomôžeme.

Spracúvame vaše osobné údaje za účelom vybavenia vašej požiadavky. Viac info tu.