Předávání údajů do třetích zemí.
Autoři článku: Mgr. Michal Nulíček, LL.M., FCIArb, Mgr. Filip Beneš a Mgr. Vojtěch Bartoš
Francie: Co je nutné splnit při předávání údajů do třetích zemí?
Francouzský dozorový úřad (CNIL) zveřejnil pokyny k Data Transfer Impact Assessment (DTIA). Podrobně v nich popsal proces jeho provádění a poskytl doporučení pro zajištění dostatečné ochrany předávaných osobních údajů do třetích zemí.
Postup DTIA
DTIA je postup, který posuzuje a hodnotí rizika spojená s předáním osobních údajů mimo EHP. Zároveň určuje, zda přijímaná opatření poskytují odpovídající úroveň ochrany v souladu s požadavky GDPR. CNIL zdůraznil, že DTIA musí vypracovat vývozce údajů, který podléhá GDPR – ať už jde o správce nebo zpracovatele – ve spolupráci s dovozcem údajů.
Tento krok je nezbytný před samotným předáním osobních údajů do třetí země, pokud se takový přenos uskutečňuje na základě standardních smluvních doložek (SCC) nebo závazných podnikových pravidel (BCR). DTIA naopak není potřeba, pokud Evropská komise pro danou třetí zemi vydala rozhodnutí o odpovídající úrovni ochrany. (Např. správci předávající do USA v rámci EU-US Data Privacy Framework).
Pokyny CNIL dále obsahují doporučení a konkrétní návrh kroků. Ty proveďte nejlépe před samotným provedením DTIA. Zahrnují i doporučený postup pro vypracování DTIA, aby organizace mohly efektivně identifikovat a minimalizovat rizika spojená s mezinárodním přenosem údajů.
Přestože nejsou pokyny CNIL pro Českou republiku závazné, fungují jako dobrý zdroj inspirace a utváří best practice napříč EU. (Více informací zde)
