Prenos osobných údajov z EÚ do tretích krajín podľa GDPR

Peter Jurak

GDPR nariadenie

Prenos osobných údajov z EÚ do tretích krajín podľa GDPRPrenos osobných údajov mimo EÚ je jedna z tém, pri ktorej sa firmám najčastejšie „rozsvieti kontrolka“. Nie preto, že by to bolo automaticky zakázané, ale preto, že sa tu stretne realita moderného biznisu (cloud, outsourcing, globálne služby) s pomerne prísnymi pravidlami GDPR.

Ak ste firma, ktorá používa napríklad americké SaaS nástroje, prevádzkuje web na infraštruktúre globálneho poskytovateľa, má zákaznícku podporu mimo EÚ, alebo posiela dáta skupinovej spoločnosti do zahraničia, takmer určite riešite prenos do tretích krajín. A ak to neriešite formálne, vystavujete sa zbytočným rizikám.

Ako konzultant to vidím často: firmy chcú mať pokoj, minimum byrokracie a jasný dôkaz, že majú procesy nastavené správne. Dobrá správa je, že prenosy sa dajú nastaviť tak, aby boli legislatívne obhájiteľné a zároveň praktické.

Čo je „tretia krajina“ a čo sa považuje za prenos

V kontexte GDPR je tretia krajina štát mimo EÚ/EHP (Európsky hospodársky priestor). Typicky USA, Spojené kráľovstvo (po Brexite), India, Kanada (mimo určitých režimov), Izrael, Singapur a podobne.

Za prenos osobných údajov do tretej krajiny sa považuje napríklad:

  • používanie cloudovej služby, kde sa údaje ukladajú alebo spracúvajú mimo EÚ,
  • poskytnutie prístupu k údajom support tímu v tretej krajine,
  • hosting webu alebo databázy na infraštruktúre, kde dochádza k prenosu mimo EÚ,
  • zdieľanie údajov v rámci skupiny (matka/dcéra) mimo EÚ,
  • využívanie analytických alebo marketingových nástrojov, ktorých poskytovateľ je mimo EÚ a má prístup k dátam.

Dôležitý detail: prenos nie je len fyzické „odovzdanie súboru“. Môže ním byť aj vzdialený prístup k údajom z tretej krajiny, napríklad keď administrátor mimo EÚ pristupuje do systému.

Prečo GDPR rieši prenosy tak prísne

GDPR, alebo Všeobecné nariadenie o ochrane údajov, stojí na princípe, že osobné údaje občanov EÚ majú mať porovnateľnú ochranu aj vtedy, keď opustia územie EÚ. Ak by bolo možné údaje voľne presúvať do krajín bez adekvátnych pravidiel, ochrana by bola v praxi deravá.

Pre firmu z toho vyplýva praktická povinnosť: musíte vedieť preukázať, na akom právnom základe prenos robíte a ako ste zabezpečili ochranu údajov. To je presne tá oblasť, kde sa oplatí mať jasnú dokumentáciu a proces. V prípade kontroly alebo incidentu je rozdiel, či máte „nejako“ nastavené zmluvy, alebo máte pripravený balík dôkazov a rozhodnutí.

Základný rámec podľa GDPR: tri hlavné cesty

GDPR v zásade umožňuje prenos do tretích krajín tromi hlavnými mechanizmami:

  1. Rozhodnutie o primeranosti (adequacy decision)
  2. Primerané záruky (appropriate safeguards), typicky štandardné zmluvné doložky (SCC)
  3. Výnimky pre osobitné situácie (derogations) podľa čl. 49 GDPR

V praxi sa väčšina firiem pohybuje v prvých dvoch bodoch.

1) Rozhodnutie o primeranosti: najjednoduchší scenár

Ak Európska komisia rozhodla, že daná krajina zabezpečuje primeranú úroveň ochrany osobných údajov, prenos je z pohľadu GDPR relatívne priamy. Stále musíte mať vyriešený právny základ spracúvania, zmluvy so spracovateľmi a informovanie dotknutých osôb, ale samotný „export“ údajov je jednoduchší.

Príklady krajín, ktoré mali alebo majú určitú formu primeranosti (stav sa môže meniť a treba overovať aktuálny zoznam): Japonsko, Švajčiarsko, Izrael a ďalšie.

USA a Data Privacy Framework

Pri USA je situácia špecifická. Prenosy môžu byť jednoduchšie, ak je príjemca certifikovaný v rámci príslušného rámca (napríklad EU-U.S. Data Privacy Framework). V praxi to znamená: nestačí, že poskytovateľ je americký. Potrebujete overiť, či je v zozname certifikovaných subjektov a či sa certifikácia vzťahuje na konkrétne spracúvanie.

Pre firmy je to výhodná cesta, ale treba to uchopiť systematicky: evidencia dodávateľov, kontrola certifikácie, a dokumentácia rozhodnutia, prečo sa na mechanizmus spoliehate.

Pri spracovaní osobných údajov je d

2) Primerané záruky: najčastejší reálny mechanizmus (SCC, BCR a ďalšie)

Ak krajina nemá primeranosť, musíte mať tzv. primerané záruky. Najčastejšie ide o:

  • Štandardné zmluvné doložky (Standard Contractual Clauses, SCC)
  • Záväzné vnútropodnikové pravidlá (Binding Corporate Rules, BCR) pre veľké skupiny
  • niektoré ďalšie mechanizmy (kódexy správania, certifikácie), ktoré sú v praxi menej časté

Štandardné zmluvné doložky (SCC)

SCC sú „predpripravené“ zmluvné klauzuly schválené Európskou komisiou. Podpis SCC s príjemcom v tretej krajine je základ, ale dnes už to nestačí len formálne.

Od rozhodnutia Súdneho dvora EÚ (tzv. Schrems II) sa vyžaduje aj posúdenie, či v cieľovej krajine nie je právny režim, ktorý by znižoval ochranu (napríklad prístup verejných orgánov k údajom). Z toho vzniká povinnosť spraviť:

  • Transfer Impact Assessment (TIA), teda posúdenie vplyvu prenosu,
  • a podľa potreby prijať doplnkové opatrenia (technické, organizačné, zmluvné).

Pre firmu to znie ako byrokracia. V skutočnosti sa to dá urobiť rozumne: jedna metodika, opakovateľná šablóna, a následne to viete aplikovať na väčšinu dodávateľov.

Transfer Impact Assessment (TIA) v praxi

TIA je dokument, kde si zodpoviete najmä:

  • aké údaje prenášate (bežné, citlivé, veľký rozsah),
  • na aký účel a v akom toku (kto je exportér/importér),
  • aké bezpečnostné opatrenia už existujú,
  • aké sú riziká v cieľovej krajine (najmä prístup orgánov, možnosti nápravy pre dotknuté osoby),
  • či sú potrebné doplnkové opatrenia a aké.

Dôležité: TIA nemá byť román. Má byť obhájiteľný a konzistentný. Keď firma o rok pridá ďalší nástroj, nechce riešiť všetko od nuly. Preto je nutné mať zodpovednú osobu na tento proces, ktorá zabezpečí správne vykonanie TIA a implementáciu potrebných opatrení.

Doplnkové opatrenia: čo naozaj pomáha

Najčastejšie odporúčané doplnkové opatrenia sú:

  • šifrovanie pri prenose aj v pokoji, ideálne s kľúčmi pod kontrolou EÚ subjektu,
  • pseudonymizácia pred odoslaním (ak je to možné),
  • minimalizácia dát (posielať len to, čo treba),
  • prísna správa prístupov, MFA, logovanie, pravidelné revízie,
  • zmluvné záväzky dodávateľa: notifikácia žiadostí orgánov, transparentnosť, právne kroky,
  • segmentácia dát a oddelenie rolí, aby dodávateľ mimo EÚ nemal voľný prístup ku všetkému.

Ak to nastavíte správne, znižujete riziko a zároveň si uľahčíte argumentáciu pri audite či kontrole.

BCR: keď máte skupinu spoločností

Ak ste väčšia skupina s častými prenosmi v rámci koncernu, BCR môžu byť dlhodobo výhodné. Je to však komplexnejší proces, často na mesiace, s nutnosťou schvaľovania dozornými orgánmi. Pre bežnú firmu je SCC praktickejšia cesta.

3) Výnimky podľa čl. 49 GDPR: používať opatrne

Čl. 49 GDPR obsahuje výnimky, ktoré umožňujú prenos aj bez primeranosti a bez primeraných záruk, ale len v osobitných situáciách. Napríklad:

  • výslovný súhlas dotknutej osoby,
  • nevyhnutnosť pre plnenie zmluvy,
  • dôležité dôvody verejného záujmu,
  • uplatnenie právnych nárokov.

Tieto výnimky sa nemajú používať ako „bežná prevádzková skratka“. Dozorné orgány ich typicky chápu ako výnimočné riešenie, nie systémové nastavenie pre pravidelné prenosy.

Najčastejšie firemné scenáre, kde prenos riešite (aj keď si to neuvedomujete)

V praxi sa prenos do tretích krajín objaví najmä tu:

  1. Cloud a hosting
  2. Aj keď máte „EÚ región“, poskytovateľ môže mať podporu alebo administráciu mimo EÚ. Treba preveriť zmluvné podmienky a skutočné toky dát.
  3. E-mail a kolaboračné nástroje
  4. Firemná pošta, kalendáre, dokumenty, chaty. Je to vysoký objem osobných údajov (zamestnanci, klienti, dodávatelia).
  5. CRM, helpdesk, marketing
  6. Kontaktné databázy, ticketing, newslettery, remarketing. Typicky ide o osobné údaje v rozsahu, ktorý je pre firmu citlivý.
  7. Analytika a cookies
  8. Pri webovej analytike sa prenášajú identifikátory a online identifikátory. Prenosy môžu byť problematické hlavne pri určitých nastaveniach a integráciách.
  9. Outsourcing účtovníctva, HR, IT
  10. Ak dodávateľ spracúva údaje mimo EÚ alebo má prístup z tretej krajiny, ide o prenos.

Ak chcete mať v tom poriadok, potrebujete mapu: ktoré systémy používate, kto je dodávateľ, kde sú dáta, kto k nim pristupuje.

Čo musí mať firma „papierovo“ a čo musí mať technicky

Aby ste minimalizovali riziko a uľahčili si byrokraciu, odporúčam nastaviť si prenosy ako proces. Nie ako jednorazové „podpíšeme dodatok“.

Dokumentácia, ktorú typicky potrebujete

  • Záznamy o spracovateľských činnostiach (čl. 30): pri každom systéme uviesť, či ide o prenos mimo EÚ a na akom základe.
  • Zmluva so spracovateľom (DPA): vrátane SCC, ak treba.
  • TIA: ak prenos stojí na SCC alebo podobnom mechanizme a existuje rizikový profil krajiny.
  • Interná smernica / proces: kto schvaľuje nové nástroje, ako sa vyhodnocuje prenos, aké checklisty sa používajú.
  • Informovanie dotknutých osôb: v zásadách ochrany osobných údajov musíte transparentne uviesť prenosy a mechanizmus.

Technické a organizačné opatrenia

  • šifrovanie, prístupové práva, audit logy,
  • pravidelná kontrola dodávateľov,
  • revízia prístupov a zmlúv,
  • incident management a postup pri žiadostiach orgánov.

Toto je presne miesto, kde konzultant vie firme ušetriť čas: nastaví šablóny, rozhodovací strom, a proces, ktorý je obhájiteľný a znovupoužiteľný.

Ako si to firmy vedia nastaviť tak, aby „mali pokoj“

Ak chcete z prenosov do tretích krajín spraviť tému, ktorá vás nebude brzdiť, odporúčam tento postup:

  1. Inventúra systémov a dodávateľov
  2. Jednoduchý zoznam: názov nástroja, účel, typ údajov, krajina spracúvania, prístup z tretích krajín, subdodávatelia.
  3. Kategorizácia rizika
  4. Nie každý prenos je rovnaký. Iné je poslať e-mailový kontakt do nástroja, ktorý nevie nič ďalšie, a iné je spracúvať zdravotné údaje alebo rozsiahlu HR agendu.
  5. Voľba mechanizmu prenosu
  6. Primeranosť? Certifikácia? SCC? BCR? Vynútená výnimka podľa čl. 49 (skôr výnimočne)?
  7. TIA ako štandardná rutina pri SCC
  8. Jedna šablóna, jasné otázky, jasný záver, doplnkové opatrenia podľa potreby.
  9. Nastavenie interného schvaľovania nových nástrojov
  10. Aby marketing alebo IT nekúpili nástroj, ktorý „potom nejako“ doriešite. Takto sa byrokracia paradoxne zníži, lebo nevznikajú požiare.
  11. Priebežná revízia
  12. Raz ročne alebo pri zmene dodávateľa. Overiť regióny, subdodávateľov, certifikácie, bezpečnostné opatrenia.

Výsledok je, že firma má prenosy pod kontrolou, vie ich obhájiť a zároveň sa nezasekne pri každom novom nástroji.

Najčastejšie chyby, ktoré vidím v praxi

  1. „Máme DPA, takže je to vyriešené.“
  2. DPA je základ, ale pri prenose do tretej krajiny často potrebujete SCC a TIA.
  3. Nejasné toky dát a subdodávatelia.
  4. Dodávateľ má ďalších spracovateľov, a firma o tom nevie alebo to nemá zmapované.
  5. Neaktualizované SCC alebo nesprávny modul.
  6. SCC majú viaceré moduly podľa vzťahu (prevádzkovateľ-prevádzkovateľ, prevádzkovateľ-spracovateľ atď.). Nesprávne nastavenie je typická slabina.
  7. TIA len „na oko“.
  8. Dve vety bez reálneho posúdenia rizík nepomôžu, ak príde kontrola.
  9. Chýbajú doplnkové opatrenia, hoci sú potrebné.
  10. Najmä ak ide o citlivejšie údaje alebo dodávateľa v rizikovej jurisdikcii.
  11. Zásady ochrany osobných údajov nehovoria pravdu.
  12. Transparentnosť je povinnosť. Ak prenášate mimo EÚ, musí to byť jasne komunikované.

Praktické zhrnutie pre firmy

Ak prenášate osobné údaje mimo EÚ, cieľ nie je „mať toho čo najviac v šanóne“. Cieľ je mať:

  • správny mechanizmus prenosu,
  • primerané bezpečnostné opatrenia,
  • konzistentnú dokumentáciu,
  • a proces, ktorý sa dá opakovane používať bez stresu.

Z pohľadu biznisu je to výhodné hneď v troch rovinách: znížite riziko pokút a sporov, zrýchlite nákup a onboarding nových nástrojov, a máte poriadok v dodávateľoch. A to je presne tá kombinácia, ktorú firmy chcú, menej chaosu, viac istoty, minimum zbytočnej byrokracie.

Čo odporúčam urobiť ako prvý krok

Ak neviete, kde začať, začnite jednoducho:

  • spíšte zoznam systémov, ktoré používate (CRM, e-mail, cloud, helpdesk, analytika),
  • ku každému doplňte, či dodávateľ alebo prístup môže byť mimo EÚ,
  • a pri prvých 3 najdôležitejších nástrojoch si nastavte správny prenosový mechanizmus (primeranosť alebo SCC + TIA + opatrenia).

Keď to spravíte pre kľúčové systémy, ďalšie už idú rýchlejšie. A hlavne, budete vedieť preukázať, že prenosy máte pod kontrolou, čo je pri GDPR často to najdôležitejšie.

Často kladené otázky

Čo znamená pojem „tretia krajina“ v kontexte GDPR?

V kontexte GDPR je „tretia krajina“ štát mimo Európskej únie alebo Európskeho hospodárskeho priestoru (EÚ/EHP). Príkladmi sú USA, Spojené kráľovstvo po Brexite, India, Kanada (mimo určitých režimov), Izrael či Singapur. Prenos osobných údajov do týchto krajín podlieha prísnym pravidlám GDPR.

Kedy sa považuje za prenos osobných údajov do tretej krajiny?

Prenos osobných údajov do tretej krajiny nastáva nielen pri fyzickom odovzdaní súboru, ale aj pri vzdialenom prístupe k údajom zo štátu mimo EÚ. Typické situácie zahŕňajú používanie cloudových služieb mimo EÚ, hosting webu na infraštruktúre mimo EÚ, poskytovanie prístupu support tímu v tretej krajine či zdieľanie dát v rámci skupiny spoločností s pobočkami mimo EÚ.

Prečo je prenos osobných údajov mimo EÚ podľa GDPR tak prísne regulovaný?

GDPR vyžaduje, aby ochrana osobných údajov občanov EÚ bola zachovaná aj po opustení územia EÚ. Ak by sa údaje mohli voľne presúvať do krajín bez adekvátnej ochrany, bola by ochrana neefektívna. Firmy preto musia preukázať právny základ prenosu a zabezpečenie ochrany údajov prostredníctvom jasnej dokumentácie a procesov.

Aké sú hlavné mechanizmy podľa GDPR na legálny prenos osobných údajov do tretích krajín?

GDPR umožňuje prenos do tretích krajín tromi hlavnými spôsobmi: 1) rozhodnutím o primeranosti (adequacy decision), 2) použitím primeraných záruk (appropriate safeguards), ako sú štandardné zmluvné doložky (SCC), a 3) výnimkami pre osobitné situácie podľa čl. 49 GDPR. Väčšina firiem využíva prvé dva mechanizmy.

Čo je rozhodnutie o primeranosti a ako pomáha firmám?

Rozhodnutie o primeranosti je hodnotenie Európskej komisie, ktoré potvrdzuje, že daná tretia krajina zabezpečuje primeranú úroveň ochrany osobných údajov porovnateľnú s EÚ. Ak takéto rozhodnutie existuje, firmy môžu prenášať údaje do tejto krajiny jednoduchšie a s menším administratívnym zaťažením.

Ako môžu firmy minimalizovať riziká spojené s prenosom osobných údajov mimo EÚ?

Firmy by mali mať jasne definované procesy a dokumentáciu pre prenosy do tretích krajín vrátane právneho základu a zabezpečenia ochrany údajov. Používanie štandardných zmluvných doložiek alebo iných primeraných záruk a pravidelná kontrola dodržiavania pravidiel GDPR pomáhajú minimalizovať riziká a pripraviť firmu na prípadnú kontrolu alebo incident.

Najčastejšie chyby firiem pri implementácii GDPR opatrení

Vplyv GDPR na malé a stredné podniky

nariadeniegdpr

Naša ponuka pomoci s nariadením GDPR je šitá na mieru, či už ide o malé start-upy alebo etablované korporácie.

Služby

Zodpovedná osoba

Školenie poverených osôb

Aktualizácia dokumentov

Nové dokumenty GDPR

24/7 podpora

Zdroje

BOZPRO.sk

GDPRO.sk

BOZPok.sk

GDPRvzor.sk

Kontakt

WebPomoc s.r.o.

Znievska 32
Bratislava 851 06
IČO: 46 465 375

E-mail: info@nariadeniegdpr.eu
Telefón: 0919-888-880