lexforum.sk



Načítám ...

 

Posledné komentáre:

Načítám ...

Autori:

Milan Kvasnica (162)
Juraj Gyarfas (118)
Juraj Alexander (49)
Jaroslav Čollák (45)
Tomáš Klinka (26)
Kristián Csach (26)
Martin Maliar (25)
Milan Hlušák (23)
Martin Husovec (13)
Branislav Gvozdiak (12)
Martin Friedrich (10)
Tomáš Čentík (9)
Zuzana Hecko (9)
Michal Krajčírovič (9)
Ondrej Halama (7)
Ľuboslav Sisák (7)
Michal Novotný (7)
Xénia Petrovičová (6)
Peter Kotvan (6)
Adam Zlámal (6)
Robert Goral (5)
Lexforum (5)
Pavol Szabo (4)
Natália Ľalíková (4)
Petr Kolman (4)
Monika Dubská (4)
Ivan Bojna (4)
Ján Lazur (4)
Radovan Pala (4)
Josef Kotásek (4)
Maroš Hačko (4)
Jakub Jošt (3)
Marián Porvažník (3)
Peter Pethő (3)
Ladislav Hrabčák (3)
Adam Valček (3)
Pavol Kolesár (3)
Denisa Dulaková (3)
Josef Šilhán (3)
Martin Serfozo (2)
Peter Varga (2)
Tomáš Plško (2)
Martin Gedra (2)
Jozef Kleberc (2)
Lukáš Peško (2)
Anton Dulak (2)
Michal Hamar (2)
Zsolt Varga (2)
Ludmila Kucharova (2)
Maroš Macko (2)
Dávid Tluščák (2)
Roman Kopil (2)
Juraj Schmidt (2)
Richard Macko (2)
Ladislav Pollák (2)
Peter Zeleňák (2)
Marek Maslák (2)
Andrej Kostroš (2)
Bob Matuška (2)
Adam Glasnák (2)
Juraj Straňák (2)
Gabriel Volšík (2)
Jiří Remeš (2)
Jana Mitterpachova (1)
peter straka (1)
Tomas Pavelka (1)
Rastislav Skovajsa (1)
Katarína Dudíková (1)
Dušan Marják (1)
jaroslav čollák (1)
Jaroslav Nižňanský (1)
Robert Vrablica (1)
lukasmozola (1)
Lucia Palková (1)
Peter Marcin (1)
Patrik Patáč (1)
Robert Šorl (1)
Radoslav Pálka (1)
Tomáš Korman (1)
Michal Ďubek (1)
Tomáš Ľalík (1)
Peter Kubina (1)
Pavel Lacko (1)
Matej Gera (1)
Martin Bránik (1)
David Horváth (1)
Lucia Berdisová (1)
David Halenák (1)
Gabriel Závodský (1)
Tibor Menyhért (1)
Vladislav Pečík (1)
Andrej Majerník (1)
Petr Novotný (1)
Tomas Kovac (1)
Petr Steiner (1)
Nora Šajbidor (1)
Michaela Stessl (1)
Martin Galgoczy (1)
Pavol Mlej (1)
Viliam Vaňko (1)
Tomáš Demo (1)
Marián Porvažník & Veronika Merjava (1)
Peter K (1)
Peter Janík (1)
Vladimir Trojak (1)
Martin Hudec (1)
I. Stiglitz (1)
Natalia Janikova (1)
Matej Košalko (1)
Emil Vaňko (1)
Adam Pauček (1)
Róbert Černák (1)
Roman Prochazka (1)
Martin Šrámek (1)
Marcel Ružarovský (1)
Igor Krist (1)
Ondrej Jurišta (1)
Paula Demianova (1)
Ivan Michalov (1)
Martin Svoboda (1)
lukas.kvokacka (1)
Ján Pirč (1)
Petr Kavan (1)
Dávid Kozák (1)
Ivan Priadka (1)
Pavol Chrenko (1)
Juraj Lukáč (1)
Nina Gaisbacherova (1)
Martin Estočák (1)
Martin Poloha (1)
Matej Kurian (1)
Ján Štiavnický (1)
Zuzana Kohútová (1)
Mikuláš Lévai (1)
Bystrik Bugan (1)
Patrik Pupík (1)
Jakub Mandelík (1)
Michal Jediný (1)
Zuzana Klincová (1)
Zuzana Bukvisova (1)
Dušan Rostáš (1)
Vincent Lechman (1)
Ruslan Peter Gadaevič (1)
Miriam Potočná (1)
Zuzana Adamova (1)
Eduard Pekarovič (1)
Slovenský ochranný zväz autorský (1)
Tomáš Pavlo (1)
Ivan Kormaník (1)
Bohumil Havel (1)
Marcel Jurko (1)

Nálepky:

Načítám ...



Napísať nový článok


rss feed rss

rss feed rss - názory


O Lexforum.sk



Načítám ...

Pomôcky pre advokátov:

salvia
Judikatúra
Predpisy
Registre
Výpočty

Nové predpisy:

Načítám ...

Prenosy osobných údajov do tretích krajín

Zuzana Hecko, 30. 08. 2012 v 18:11

Keďže prenosy osobných údajov sú dnes rutinou fungovania mnohých nadnárodných spoločností, súčasťou intra-skupinového či externého outsourcingu alebo cloud computingových zmlúv, tento článok obsahuje zopár rád ako preniesť osobné údaje do tretích krajín.

Predtým ako sa pustíte do prípravy zmluvy o prenose osobných údajov, uistite sa, že sa jedná o osobné údaje

Nakoľko prenosy osobných údajov podliehajú viacerým pravidlám regulátora od ktorých nie je možné sa odchýliť, je vhodné sa pred prenosom uistiť, či sa jedná o "osobné údaje". Ak by sa nejednalo o osobné údaje, zákony na ochranu osobných údajov nebudú aplikovateľné, čo v praxi znamená, že napríklad v prípade outsourcingu nie je potrebné žiadať o súhlas úrad na ochranu osobných údajov. Osobné údaje sú legislatívou definované relatívne široko ako údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, ktorú možno určiť priamo alebo nepriamo, najmä na základe jednej či viacerých charakteristík, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.

Mnohé korporátne dokumentoy nebudú nevyhnutne "osobnými údajmi"

Je potrebné uviesť, že mnoho korporátnych dokumentov nebude nevyhnutne spĺňať kritériá na to, aby bolo možné konštatovať, že sa jedná o osobný údaj. Napriek absencii konkrétnejšieho stanoviska zo strany úradu na ochranu osobných údajov je možné dôjsť k záveru, že napr. záznamy z valných zhromaždení, údaje týkajúce sa transakcií medzi spoločnosťami (aj keď v mene spoločnosti konajú fyzické osoby) nebudú spĺňať kritériá "osobného údaju". Naopak, napríklad preudoanonymizované údaje v rámci klinických štúdií osobnými údajmi budú (existuje možnosť na základe kľúča identifikovať pacientov, čo je potrebné aj pre farmakovigilanciu).

Okrem toho, že údaj identifikuje jednotlivca, musí "sa vzťahovať" k jednotlivcovi

Otázku, ktorú teda treba skúmať okrem toho, či údaj identifikuje osobu alebo nie, je, či tento údaj môže mať vplyv na konkrétnu osobu, napr. či jej môže spôsobiť ujmu. Každý osobný údaj je vždy potrebné vnímať v konkrétnom kontexte spracúvania. To znamená, že napríklad podpis konateľa v kontexte transakcie nebude osobný údaj, nakoľko transakcia sa netýka jednotlivca; avšak v kontexte rozvodového konania takýto údaj osobným údajom môže byť, nakoľko môže predstavovať informáciu o majetkových pomeroch jednotlivca. Naopak, informácia o tom, že zamestnanec sa zúčastnil stretnutia spoločnosti, v ktorej pracuje, nebude spĺňať kritérium osobného údaju, avšak informácia o tom, že daný zamestnanec nedostatočne reprezentoval spoločnosť (napríklad v rozpore s pokynmi) osobným údajom môže byť. Okrem toho, že údaj identifikuje jednotlivca, musí sa vzťahovať k jednotlivcovi vo svojej vlastnej podstate, teda musí mať na jednotlivca nejaký vplyv.

Zmluva o prenose osobných údajov

Ak sme dospeli k záveru že údaje, ktoré majú byť prenesené, sú osobné údaje, a krajina, do ktorej majú byť prenesené nespĺňa požiadavku „adekvátnosti“ ochrany osobných údajov, je potrebné pripraviť zmluvu o prenose osobných údajov. Takáto zmluva je potrebná len v prípade prenosu z EÚ do tretej krajiny, ktorá nemá ochranu osobných údajov v súlade so štandardmi EÚ. Niektoré krajiny boli rozhodnutím Európskej Komisie uznané ako krajiny, ktorých úroveň ochrany spĺňa štandardy ochrany EÚ (napr. Švajčiarsko, Guernsey, Argentína, do istej miery Izrael, USA Safe Harbour, Jersey a pod.). V prípade prenosu z krajiny mimo EÚ do tretej krajiny (napr. z USA do Hong Kongu či zo Švajčiarska do Singapuru) sa bude na prenos aplikovať právo vývozcu údajov.

Ktoré z mnohých štandardných zmluvných doložiek použiť?

V niektorých prípadoch, napríklad pri outsourcingu, kde prevádzkovateľ poverí spracúvaním osobných údajov subjekt v cudzine, ktorý ich spracúva v mene prevádzkovateľa za podmienok dojednaných v písomnej zmluve, je potrebné požiadať úrad na ochranu osobných údajov o súhlas s prenosom. Zmluva musí jasne uviesť strany, ktoré sú exportérmi (vývozcami) osobných údajov a strany, ktoré budú importérmi (príjemcami) údajov. Zároveň je potrebné si ujasniť, či ide o prenos od prevádzkovateľa k prevádzkovateľovi alebo o prenos od prevádzkovateľa k sprostredkovateľovi. Kto je kvalifikovaný ako prevádzkovateľ a kto sa považuje za sprostredkovateľa je bližšie definované v stanovisku Pracovnej skupiny článku 29 č. 1/2000. V oboch prípadoch je potrebné do zmluvy o prenose osobných údajov včleniť tzv. "štandardné zmluvné doložky". Tieto musia byť do zmluvy včlenené bezo zmien, tak ako ich prijala Európska Komisia.

Prenos od prevádzkovateľa k prevádzkovateľovi

Štandardné zmluvné doložky v rámci prenosu od prevádzkovateľa k prevádzkovateľovi sú dvojakého typu (Set I alebo Set II). Rozdiel medzi nimi je najmä v zodpovednosti v prípade porušenia, pričom častejšie sú využívané zmluvné doložky Set II. Zmluvné doložky Set I sú totižto založené na spoločnej a nerozdielnej zodpovednosti vývozcu aj dovozcu, kdežto doložky Set II sú založené na zodpovednosti vývozcu údajov a predpokladajú, že vývozca údajov vykonal o dovozcu právny audit (due diligence) a na základe výsledkov usúdil, že dovozca spĺňa podmienky štandardných zmluvných doložiek. Úrad na ochranu osobných údajov má však vyššie právomoci intervencie a uloženia pokút v prípade zmluvných doložiek Set II.

Prenos od prevádzkovateľa k sprostredkovateľovi

Zmluvné doložky pre prenosy od prevádzkovateľa k sprostredkovateľovi boli Komisiou prijaté v roku 2010 (predchádzajúca verzia bude platná pre zmluvy uzavreté do 15. mája 2010 v prípade, že sa nezmenili podmienky spracúvania a nepribudli nové zmluvné strany). V porovnaní s predchádzajúcou verziou obsahujú podmienky, za akých môžu sprostredkovatelia poveriť subdodávateľov (tzv. sub-processing).

Nezabudnite zmluvu podpísať !

Ak jedna zmluva obsahuje aj doložky prevádzkovateľ - prevádzkovateľ ako aj prevádzkovateľ - sprostredkovateľ (časté je to napríklad v prípade intra-group prenosov) je vždy potrebné, aby zmluvné strany podpísali jednak zmluvu o prenose a zároveň separátne aj jednotlivé doložky. Práve tieto podpisy častokrát v zmluvách chýbajú, čo robí platnosť zmluvy (a teda aj celého prevodu) otáznou.

Otázka súhlasu jednotlivcov s prenosom, resp. kedy súhlas nie je potrebný, je otázkou separátnou, ktorú je potrebné vyriešiť ešte pred prenosom.


Názory k článku Prenosy osobných údajov do tretích krajín:


  Martin Friedrich, 02. 10. 2015 v 11:35 - Prenos osobných údajov medzi verejnými inštitúciami

SD EÚ vo veci C‑201/14 zakázal prenos osobných údajov medzi verejnými inštitúciami bez toho, aby tieto skutočnosti dali na vedomie dotknutým osobám:

"Články 10, 11 a 13 smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe takýchto údajov sa majú vykladať v tom zmysle, že bránia vnútroštátnym opatreniam, o aké ide vo veci samej, ktoré umožňujú verejnej inštitúcii členského štátu preniesť osobné údaje inej verejnej inštitúcii a ich následné spracovanie bez toho, aby boli dotknuté osoby o tomto prenose a spracovaní informované."

  Martin Friedrich, 02. 10. 2015 v 11:43 - Rozhodné právo na ochranu osobných údajov nie je závislé od sídla prevádzkovateľa

SD EÚ vo vzťahu k tomu, aké právo je rozhodné a ktorý orgán má právomoc v konaní o ochranu osobných údajov vo veci C‑230/14 prijal rozsudok, v zmysle ktorého je bezpredmetné, kde ma sídlo prevádzkovateľ, ktorý spracováva osobné údaje. Rozhodné je sídlo prevádzkárne, prostredníctvom ktorej v dotknutom členskom štáte vykonáva skutočnú a efektívnu činnosť.


"Článok 4 ods. 1 písm. a) smernice Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov sa má vykladať v tom zmysle, že umožňuje uplatnenie právnej úpravy týkajúcej sa ochrany osobných údajov iného členského štátu, ako je členský štát, v ktorom je prevádzkovateľ spracúvajúci tieto údaje zapísaný, pokiaľ tento prevádzkovateľ na území prvého členského štátu vykonáva prostredníctvom stálej prevádzkarne hoci aj minimálnu skutočnú a efektívnu činnosť.

Na účely určenia, či je to tak, môže vnútroštátny súd za okolností, akými sú okolnosti vo veci samej, zohľadniť najmä skutočnosť, že jednak činnosť prevádzkovateľa spracúvajúceho údaje, v kontexte ktorej sa toto spracovanie vykonáva, spočíva v prevádzkovaní internetových stránok s inzerátmi na nehnuteľnosti, ktoré sa nachádzajú na území tohto členského štátu, v jazyku tohto štátu, a že teda prevažne, či dokonca úplne smeruje do uvedeného členského štátu, a jednak aj skutočnosť, že tento prevádzkovateľ má v uvedenom členskom štáte zástupcu, ktorý je poverený vymáhaním pohľadávok vyplývajúcich z tejto činnosti, ako aj zastupovaním prevádzkovateľa v správnych a súdnych konaniach týkajúcich sa spracovania dotknutých údajov.

Naproti tomu otázka štátnej príslušnosti osôb dotknutých týmto spracovaním údajov nie je relevantná.

2. V prípade, ak by dozorný orgán členského štátu, na ktorý bola podaná sťažnosť podľa článku 28 ods. 4 smernice 95/46, došiel k záveru, že právom uplatniteľným na spracovanie dotknutých osobných údajov nie je právo tohto členského štátu, ale právo iného členského štátu, mal by sa článok 28 ods. 1, 3 a 6 tejto smernice vykladať v tom zmysle, že tento dozorný orgán môže vykonávať efektívne intervenčné právomoci, ktoré mu boli priznané článkom 28 ods. 3 uvedenej smernice iba na území svojho vlastného členského štátu. Nemôže teda na základe práva tohto členského štátu uložiť sankcie prevádzkovateľovi spracúvajúcemu tieto údaje, ktorý nie je usadený na tomto území, ale na základe článku 28 ods. 6 tejto smernice musí požiadať dozorný orgán členského štátu, ktorého právo je uplatniteľné, aby zakročil.

3. Smernica 95/46 sa má vykladať v tom zmysle, že pojem „adatfeldolgozás“ (správa údajov) použitý v maďarskej verzii tejto smernice, najmä v jej článku 4 ods. 1 písm. a) a v jej článku 28 ods. 6, sa má chápať v rovnakom zmysle ako výraz „adatkezelés“ (spracovanie údajov)."

Nemáte oprávnenie pridať názor. Prihláste sa prosím