EDPB: postup při předávání údajů do třetích zemí
autoři: Mgr. Michal Nulíček, LL.M., FCIArb, Mgr. Filip Beneš a Mgr. Vojtěch Bartoš
Předávání údajů do třetích zemí a jak postupovat?
EDPB (European Data Protection Board) přijal po veřejné konzultaci konečné znění pokynů 02/2024 k článku 48 GDPR o předávání údajů orgánům třetích zemí. Cílem pokynů je objasnit účel a smysl článku 48 GDPR. Zároveň vysvětlují jeho vztah k ostatním ustanovením kapitoly V GDPR. Nabízejí také praktická doporučení pro subjekty v EU, které mohou obdržet žádosti o předání údajů ze strany orgánů třetích zemí.
Pokyny jsou zaměřeny především na situace, kdy orgány třetích zemí přímo žádají soukromé subjekty v EU – správce či zpracovatele – o osobní údaje. V takových případech samotná žádost zahraničního orgánu nepředstavuje právní základ pro zpracování ani pro předání údajů. Vždy je nutné splnit navržený test o dvou krocích. Zaprvé: existence právního základu pro zpracování podle článku 6 GDPR a zadruhé splnění podmínek pro předání podle kapitoly V GDPR.
Mezinárodní dohoda o předávání údajů
EDPB také zdůraznil, že rozhodnutí soudů nebo správních orgánů třetích zemí mohou požadovat po správci nebo zpracovateli předání nebo zpřístupnění osobních údajů. Tato rozhodnutí však mohou být uznána nebo vykonána pouze tehdy, pokud jsou založena na mezinárodní dohodě. Příkladem může být smlouva o vzájemné právní pomoci. Ta musí být v platnosti mezi žádající třetí zemí a EU nebo členským státem. Pokud neexistuje mezinárodní dohoda nebo neposkytuje vhodné záruky ochrany údajů, je třeba zvážit jiné právní základy a důvody pro předání, včetně výjimek podle článku 49 GDPR.
