DTIA jako podmínka předávání osobních údajů do třetích zemí
Článek se zabývá problematikou předávání osobních údajů do třetích zemí. Zaměřuje se na význam Data Transfer Impact Assessment (DTIA), což je proces, který umožňuje identifikovat a eliminovat rizika spojená s předáváním údajů do zemí s nedostatečnou úrovní ochrany. Jak DTIA funguje a proč je nezbytné jej provádět, se dozvíte v tomto článku. Text popisuje jednotlivé kroky provádění DTIA a zdůrazňuje důležitost přijetí dodatečných opatření, pokud zvolený nástroj pro předávání údajů sám o sobě nezajišťuje odpovídající ochranu.
Předávání osobních údajů do třetích zemí
V rámci Evropské unie, resp. EHP je kladen velký důraz na ochranu osobních údajů a správci či zpracovatelé mají za tímto účelem celou řadu povinností, zatímco subjektům údajů náleží řada práv ve vztahu ke zpracování jejich osobních údajů. V dnešním globalizovaném světě je však velmi časté, že správci či zpracovatelé potřebují z různých důvodů předávat osobní údaje rovněž do oblastí mimo území EU/EHP. Právní předpisy EU ani České republiky přitom takovému předávání a priori nebrání, je však nutné při jeho realizaci respektovat základní zásadu pro předávání osobních údajů do třetích zemí, kterou je zásada odpovídající úrovně ochrany osobních údajů.
V souladu se zásadou odpovídající úrovně ochrany může správce či zpracovatel, jakožto vývozce údajů, uskutečnit předávání osobních údajů jinému správci či zpracovateli ve třetí zemi, jakožto dovozci údajů, pouze tehdy, pokud je v dané třetí zemi zajištěna odpovídající úroveň ochrany předávaných osobních údajů. Skutečnost, zda je v dané třetí zemi jako celku či v určitém sektoru třetí země zajištěna odpovídající úroveň ochrany, může být konstatována pouze prostřednictvím rozhodnutí Evropské komise o odpovídající ochraně dle čl. 45 GDPR[1]. Předávání osobních údajů do takových zemí, na které se vztahuje rozhodnutí Evropské komise o odpovídající ochraně, je možné provádět – po dobu platnosti takového rozhodnutí – bez nutnosti přijímat jakákoliv další zvláštní opatření na straně vývozce či dovozce.
V případě, že však vývozce zamýšlí předávání osobních údajů do zemí, pro které nebylo vydáno rozhodnutí Evropské komise o odpovídající ochraně, tj. do tzv. třetích zemí s nedostatečnou úrovní ochrany osobních údajů, musí vývozce osobních údajů přijmout a garantovat vhodné záruky, které zajistí předaným údajům ve třetí zemi odpovídající úroveň ochrany v zásadě rovnocennou úrovni ochrany v EU. GDPR přitom poskytuje výčet možných nástrojů, které lze pro stanovení vhodných záruk využít, přičemž rozlišuje nástroje, které nevyžadují zvláštní povolení dozorových úřadů (tzv. standardní nástroje)[2] a nástroje, které takové povolení vyžadují (tzv. nestandardní nástroje)[3].
Data Transfer Impact Assessment
Významnou změnu v přístupu k předávání osobních údajů do třetích zemí přinesl v roce 2020 rozsudek SD EU, tzv. Schrems II[4]. V rámci tohoto rozhodnutí totiž SD EU mimo jiné ve vztahu k využívání standardních smluvních doložek – jakožto jednoho z nástrojů pro předávání údajů do třetích zemí s nedostatečnou úrovní ochrany – dovodil, že pokud takový nástroj pro předávání nezajišťuje předávaným údajům ve třetí zemi ochranu „v zásadě rovnocennou“ ochraně poskytované v EU prostřednictvím GDPR, pak je povinností a odpovědností vývozce a dovozce údajů, aby poskytli dodatečné záruky k zajištění požadované úrovně ochrany.
V důsledku tohoto rozhodnutí je proto každý vývozce údajů před zahájením předávání povinen vyhodnotit, zda jím zvolený nástroj pro předávání údajů do třetí země s nedostatečnou úrovní ochrany skutečně poskytne předaným údajům ve třetí zemi v zásadě rovnocennou úroveň ochrany, nebo zda je třeba přijmout za tímto účelem další opatření. Tento proces vyhodnocování je označován jako Data Transfer Impact Assessment (DTIA, někdy jen TIA).
DTIA je tedy procesem, v jehož průběhu vývozce údajů vyhodnocuje okolnosti jím zamýšleného předávání osobních údajů s ohledem na jím zvolený nástroj pro předávání osobních údajů do třetí země, a to s cílem ověřit, zda takto předaným údajům bude ve třetí zemi zajištěna v zásadě rovnocenná ochrana. Pokud na základě provedení DTIA dospěje vývozce k závěru, že jím zvolený nástroj v daném případě zajistí v zásadě rovnocennou úroveň ochrany údajů ve třetí zemi, pak postačuje jako přijetí vhodných záruk použití zvoleného nástroje. Pokud však vývozce v rámci DTIA dospěje k závěru, že jím zvolený nástroj sám o sobě nezajistí v zásadě rovnocennou úroveň ochrany, pak je třeba nad rámec užití daného nástroje pro předávání přijmout vhodné dodatečné záruky, které takovou rovnocennou úroveň ochrany zajistí.
Postup při provádění DTIA
Postup provádění DTIA lze shrnout v několika následujících krocích[5]:
Krok 1: Mapování zamýšleného předávání
Prvním krokem a nezbytným předpokladem k provedení DTIA je zmapování zamýšleného předávání údajů. Je přitom nezbytné mít na paměti, že předáním údajů do třetí země se rozumí i jejich zpřístupnění prostřednictvím vzdáleného přístupu ze třetí země či jejich uložení v cloudu, který se nachází mimo EU/EHP.
Vývozce by si tedy jako první krok měl udělat důkladný přehled toho, jaké údaje bude předávat, za jakým účelem a kdo k nim bude mít přístup. V této souvislosti je přitom třeba zmapovat si nejen komu údaje předává samotný vývozce, ale zda případně ze strany dovozce údajů nebude docházet k následnému předávání údajů dílčím zpracovatelům v téže třetí zemi, či dokonce v jiné třetí zemi.
Při mapování předávaných údajů je rovněž nezbytné prověřit, zda je ve vztahu k zamýšlenému předávání údajů dodržena zásada minimalizace, tj. zda předávané údaje jsou přiměřené, relevantní a omezené pouze na nezbytný rozsah ve vztahu k zamýšlenému účelu.
Krok 2: Určení nástroje pro předávání
V druhém kroku je třeba, aby si vývozce zvolil nástroj, který bude pro předávání údajů do třetí země využívat. Nejprve je třeba zkoumat, zda pro danou třetí zemi bylo Evropskou komisí vydáno rozhodnutí o odpovídající ochraně. Pokud nikoliv, je dále vhodné ověřit, zda se na předávání nebude vztahovat některá z výjimek uvedených v čl. 49 GDPR. Jedná-li se však o zemi s nedostatečnou úrovní ochrany a neuplatní se ani výjimky dle čl. 49 GDPR, je třeba hledat jiné vhodné záruky.
Jak již bylo uvedeno v předchozích částech tohoto článku, bude-li předávání uskutečňováno do třetí země s nedostatečnou úrovní ochrany, lze pro předávání využít některý z nástrojů poskytujících vhodné záruky, který je uveden v čl. 46 GDPR. Mezi tyto nástroje patří zejména standardní smluvní doložky, závazná podniková pravidla, kodexy chování, mechanismy pro vydání osvědčení či ad hoc smluvní doložky.
Všechny uvedené nástroje obsahují vhodné záruky zejména smluvní povahy a ať už si vývozce zvolí kterýkoliv z těchto nástrojů, je třeba zajistit, aby předávaným údajům ve třetí zemi byla zajištěna v zásadě rovnocenná ochrana, jakou jim poskytuje GDPR v rámci EU/EHP.
Krok 3: Posouzení účinnosti nástroje pro předávání v konkrétním případě
V dalším kroku je třeba provést zhodnocení, zda zvolený nástroj pro předávání je v daném případě způsobilý sám o sobě zajistit v zásadě rovnocennou ochranu. V této souvislosti je třeba zejména zkoumat, zda ve třetí zemi existují platné právní předpisy a/nebo postupy, které mohou snižovat účinnost vhodných záruk zvoleného nástroje.
V rámci posuzování účinnosti je třeba zaměřit se na možnosti přístupu orgánů veřejné moci ve třetí zemi k předávaným údajům, existenci právních předpisů třetí země, které budou na předávané údaje dopadat. Dále je třeba zhodnotit praktické postupy a uplatňování práv ve třetí zemi, jakož i ověřit možnosti výkonu práv ze strany subjektů údajů v souvislosti se zamýšleným předáváním.
Pokud výsledkem tohoto posouzení bude, že vývozcem zvolený nástroj poskytuje v zásadě rovnocennou úroveň ochrany a právní předpisy a postupy ve třetí zemi umožňují dovozci údajů plnit povinnosti dle zvoleného nástroje pro předávání, pak je možné realizovat předávání a pouze pravidelně provádět opětovné hodnocení (viz krok 6). Pokud však výsledkem posouzení bude, že není zajištěna v zásadě rovnocenná úroveň ochrany, je třeba přijmout dodatečná opatření.
Krok 4: Přijetí dodatečných opatření
Dodatečná opatření doplňují vhodné záruky poskytované zvoleným nástrojem pro předávání údajů a v kombinaci s nimi by měla tato opatření zajistit, aby byla předávaným údajům poskytnuta ve třetí zemi v zásadě rovnocenná úroveň ochrany zaručené v EU.
Výběr konkrétních dodatečných opatření bude záviset na posouzení každého případu předávání a bude se lišit v závislosti na okolnostech takového předávání a předávaných údajích. Obecně však dodatečná opatření mohou mít povahu smluvní, organizační či technickou. Pro dosažení požadované úrovně ochrany je přitom možné využívat jejich vzájemných kombinací.
Krok 5: Učinění procesních kroků k zavedení dodatečných opatření
V souvislosti se zavedením dodatečných opatření může být nezbytné provedení dalších kroků, které se budou lišit v závislosti na zvoleném nástroji pro předávání údajů. U přijetí dodatečných doložek či záruk ke znění standardních smluvních doložek vzniká např. povinnost zajistit, aby takové doplnění nebylo v rozporu se zněním standardních smluvních doložek a aby doplněné doložky či záruky nebylo možné vykládat způsobem snižujícím úroveň ochrany.
Krok 6: Monitoring a opětovné hodnocení
DTIA sice musí být provedeno před zahájením předávání údajů do třetí země, nicméně tímto počátečním vyhodnocením tento proces nekončí. Vzhledem k tomu, že okolnosti předávání, jakož i právní úprava a postupy orgánů veřejné moci ve třetí zemi se mohou v průběhu času měnit, je nezbytné zavést mechanismy pro sledování takových změn a případné vyhodnocování jejich dopadu na ochranu předávaných údajů. Zároveň je nezbytné zavést takové mechanismy, které umožní aktuálně reagovat na jakékoliv změny a ukončit či pozastavit předávání v okamžiku zjištění porušení povinností ze strany dovozce či neúčinnosti zavedených opatření.
Závěr
Předávání osobních údajů do třetích zemí je možné, avšak při jeho realizaci je třeba dosáhnout takové ochrany osobních údajů ve třetí zemi, která je v zásadě rovnocenná ochraně poskytované v EU. V případě zemí s nedostatečnou úrovní ochrany je přitom nezbytné před zahájením předávání údajů provést tzv. DTIA, na jehož základě vývozce údajů vyhodnotí, zda jím zamýšlené předávání údajů je možné na základě zvoleného nástroje pro předávání bez přijetí dodatečných záruk, případně přijme dodatečné záruky a opatření pro zajištění odpovídající úrovně ochrany předávaných údajů. V případě, že vývozce DTIA neprovede, může tím porušit své povinnosti ve vztahu k ochraně předávaných údajů a vystavuje se tak riziku sankcí ze strany dozorových orgánů.
Mgr. Dominika Valentová,
advokátní koncipientka
Doležal & Partners s.r.o., advokátní kancelář
Růžová 1416/17, 110 00, Praha 1
Koliště 1912/13, 602 00, Brno
Tel.: +420 222 544 201
e-mail: office@dolezalpartners.com
[2] Viz čl. 46 odst. 2 GDPR.
[3] Viz čl. 46 odst. 3 GDPR.
[4] Rozsudek Soudního dvora Evropské unie ve věci C-311/18: Data Protection Commissioner v. Facebook Ireland Limited a Maximillian Schrems, ze dne 16. července 2020.
[5] Podrobné vysvětlení jednotlivých kroků je obsaženo v Doporučení č. 01/2020 Evropského sboru pro ochranu osobních údajů, verze 2.0, ze dne 18.06.2021.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
