Právny portál určený širokej odbornej verejnosti

Online časopis

Cezhraničné prenosy osobných údajov do Spojeného kráľovstva po Brexite: minulosť, prítomnosť, budúcnosť

Príspevok sa zameriava na analýzu právneho rámca prenosu osobných údajov do Spojeného kráľovstva po 1. januári 2021 – vystúpení z Európskej únie. Článok je rozdelený do troch častí, v ktorých sa autor sústredil na minulosť a prítomnosť cezhraničných prenosov, a zároveň sa zamýšľa nad budúcim vývojom právnej úpravy týkajúcej sa danej problematiky.

MESARČÍK, M.: Cezhraničné prenosy osobných údajov do Spojeného kráľovstva po Brexite: minulosť, prítomnosť, budúcnosť; Justičná revue, 73, 2021, č. 4, s. 476 - 491.
This paper focuses on the analysis of the legal framework for the transfer of personal data to the United Kingdom after 1 January2021 - withdrawal from the European Union. The article is divided into three parts, in which the author focuses on the past and present of cross-border transmissions and also considers the future development of the legislation.
Úvod
Dňa 23. júna 2016 sa v Spojenom kráľovstve Veľkej Británie a Severného Írska (ďalej len "Spojené kráľovstvo") uskutočnilo referendum s jedinou otázkou týkajúcou sa zotrvania tohto štátu v Európskej únii (ďalej len "EÚ"). Až 51.89 % oprávnených hlasujúcich zo zúčastnených zvolilo možnosť vystúpenia
1)
z medzištátneho európskeho spoločenstva a potvrdilo novú kapitolu politických a právnych dejín ostrovnej krajiny. Nasledovalo turbulentné obdobie vnútroštátnych a medzinárodných politických diskusií, nových parlamentných volieb a vyjednávania. Vtedajšia premiérka Theresa May oficiálne aktivovala článok 50 Zmluvy o EÚ 29. marca 2017, ktorým sa z pohľadu EÚ začal proces vystúpenia člena spoločenstva.
2)
Na jeseň 2018 bola vyjednaná prvá dohoda o vystúpení medzi Spojeným kráľovstvom a EÚ. Vzhľadom na to, že parlament Spojeného kráľovstva neprijal túto verziu dohody, po troch neúspešných pokusoch nasledovalo politicky turbulentné obdobie vrátane volieb. Nová vláda na čele s Borisom Johnsonom vyjednala s EÚ novú dohodu o vystúpení na jeseň 2019 (ďalej len "Dohoda o vystúpení"),
3)
ktorá bola následne ratifikovaná britským parlamentom a európskym parlamentom.
Dňa 31. januára 2020 Spojené kráľovstvo oficiálne prestalo byť členom EÚ, avšak do konca roka 2020 trvalo prechodné obdobie, ktoré zachovávalo pôvodné vzťahy medzi EÚ a Spojeným kráľovstvom v podstate bezo zmeny. Kľúčovou je dohoda o obchode a spolupráci medzi ostrovným štátom a európskym zoskupením (Dohoda o obchode a spolupráci),
4)
ktorá upravuje vzťahy medzi nimi po Brexite a uplynutí prechodného obdobia. Táto dohoda bola predmetom tvrdého vyjednávania a uzavretá bola tesne pred koncom roka 2020.
Brexit sa prirodzene dotkol všetkých aspektov medzinárodného obchodu a práva pri obchodovaní so spoločnosťami usadenými v Spojenom kráľovstve, keďže ostrovný štát sa vystúpením z EÚ stáva treťou krajinou. Vzhľadom na to, že väčšina digitálnych služieb a produktov je založená na prenosoch osobných údajov, otázky cezhraničného prenosu osobných údajov do Spojeného kráľovstva sú veľmi aktuálnou otázkou, ktorej sa však v rámci slovenskej právnej vedy nevenuje takmer žiadna pozornosť. Práve tento článok si kladie za cieľ analyzovať podmienky cezhraničných prenosov v zmysle nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov; ďalej len "GDPR"). Zároveň sa zamýšľame nad rôznymi scenármi pre budúci vývoj cezhraničných prenosov na linke Spojené kráľovstvo - EÚ, s ohľadom na vývoj judikatúry Súdneho dvora Európskej únie (ďalej len "SDEÚ").
Prvá časť článku predstavuje základy cezhraničných prenosov a možnosti ich vykonávania v zmysle GDPR. Osobitná pozornosť je zameraná na najčastejšie používané právne základy pre cezhraničné prenosy osobných údajov do tretích krajín a to rozhodnutie o primeranosti a štandardné zmluvné doložky. V druhej časti sú charakterizované kľúčové ustanovenia regulujúce prenos osobných údajov zo Spojeného kráľovstva do EÚ v zmysle uzavretých medzinárodných dohôd. V tretej časti ponúkame úvahy o budúcom vývoji medzinárodných dohôd a možnostiach cezhraničných prenosov do Spojeného kráľovstva.
1 MINULOSŤ: ZÁKLADY CEZHRANIČNÝCH PRENOSOV PODĽA GDPR
Cezhraničné prenosy osobných údajov nemajú v GDPR svoju legálnu definíciu. Vo všeobecnosti možno konštatovať, že ide o prenos osobných údajov z krajiny, ktorý je členským štátom EÚ alebo Európskeho hospodárskeho priestoru (EHP),
5)
do tretej krajiny, prípadne naopak. O cezhraničný prenos pôjde napríklad pri prenose údajov spoločnosti zo Slovenska svojmu sprostredkovateľovi do Japonska.
Prečo sú otázky cezhraničných prenosov dôležité? Je potrebné si uvedomiť, že EÚ zodpovedá za určitý štandard ochrany osobných údajov svojich obyvateľov, ktorý reflektuje základné ľudské právo na ochranu osobných údajov. V globalizovanej spoločnosti nemožno cezhraničné prenosy údajov zakázať, keďže by došlo k silnej devalvácii ekonomických vzťahov. Z tohto pohľadu sú využívanie digitálnych služieb, ktorých prevádzkovatelia sídlia mimo EÚ, a prenos údajov prakticky nevyhnutné. To však neznamená, že možno zabudnúť na pravidlá na ochranu osobných údajov a neskúmať úroveň ochrany tretej krajiny, do ktorej sú osobného údaje posielané. Z toho dôvodu je pragmatické a vhodné, že GDPR ustanovuje pravidlá pre cezhraničné prenosy. Ak by sme ich nemali, mohlo by sa jednoducho stať, že naše osobné údaje by boli zneužitelné orgánmi verejnej moci v tretích krajinách, ktoré neposkytujú vysoký štandard ochrany osobných údajov.
Ak chce prevádzkovateľ alebo sprostredkovateľ vykonať cezhraničných prenos údajov, okrem požiadaviek GDPR na spracúvanie osobných údajov sa na tento prenos aplikuje špeciálna skupina ustanovení, ktoré sa nachádzajú v kapitole V GDPR (články 44 - 50). Tieto články upravujú aj špecifické základy pre vykonanie cezhraničných prenosov. Na tomto mieste nehovoríme o právnych základoch v zmysle článku 6 GDPR, ale o ďalšej skupine povinností pri vykonaní cezhraničného prenosu osobných údajov. To nijako neovplyvňuje povinnosť prevádzkovateľa disponovať právnym základom v zmysle článku 6 GDPR.
6)
Článok 45 GDPR explicitne ustanovuje, že
"akýkoľvek prenos osobných údajov, ktoré sa spracúvajú alebo sú určené na spracúvanie po prenose do tretej krajiny alebo medzinárodnej organizácii, sa uskutoční len vtedy, ak prevádzkovateľ a sprostredkovateľ dodržiavajú podmienky stanovené v kapitole V GDPR."
Zároveň je potrebné doplniť, že cezhraničné prenosy do tretích krajín možno vykonať len takým spôsobom, aby sa neohrozila úroveň ochrany fyzických osôb, zaručená GDPR.
Na vykonanie cezhraničného prenosu osobných údajov do tretej krajiny existuje viacero možností. Základným pravidlom je voľný pohyb osobných údajov v rámci krajín EÚ a EHP, a tieto nepotrebujú žiadny ďalší špecifický základ pre cezhraničný prenos. Ak však tretia krajina nie je členom uvedených spoločenstiev, prevádzkovateľ alebo sprostredkovateľ by mal primárne hľadieť, či tretia krajina nedisponuje tzv. rozhodnutím o primeranosti, ktoré vydáva Európska komisia (ďalej len "Komisia"). Ak tretia krajina takýmto rozhodnutím nedisponuje, možno využiť viaceré primerané záruky pre cezhraničný prenos, ustanovené v článku 46 GDPR. Ak ich organizácia využiť nevie, poslednou možnosťou je využitie výnimiek podľa článku 49 GDPR. Dovoľujeme si tieto mechanizmy stručne charakterizovať.
1.1 Voľný pohyb osobných údajov v EÚ a EHP
Jednou z hybných myšlienok európskej integrácie bolo vytvorenie spoločného bezbariérového trhu, ktorý by zaručil voľný pohyb tovaru, služieb, osôb a kapitálu. Po úspešnej implementácii uvedenej myšlienky sa pozornosť upriamila na voľný pohyb osobných údajov v rámci Európskej únie ako dôsledok užšej spolupráce členských štátov v hospodárskej a sociálnej sfére
7)
a dynamického rozkvetu nových technológií.
8)
GDPR v článku 1 ods. 3 stanovuje, že
"voľný pohyb osobných údajov v rámci Únie sa nesmie obmedziť ani zakázať z dôvodov súvisiacich s ochranou fyzických osôb pri spracúvaní osobných údajov".
Zóna voľného pohybu osobných údajov bola Dohodou o európskom hospodárskom priestore
9)
rozšírená o ďalšie štáty (Nórsko, Island a Lichtenštajnsko).
Možno teda zhrnúť - ak sa krajina nachádza v EÚ alebo EHS, nie je potrebný žiadny ďalší špecifický právny základ v zmysle právnej úpravy cezhraničných prenosov. Práve toto ustanovenie bolo aplikovateľné na Spojené kráľovstvo do jeho vystúpenia z EÚ.
1.2 Rozhodnutie o primeranosti
Rozhodnutie o primeranosti ako základ pre cezhraničný prenos osobných údajov upravuje článok 45 GDPR, ktorý stanovuje, že
"prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácie sa môže uskutočniť, ak Komisia rozhodla, že tretia krajina, územie alebo jeden či viaceré určené sektory v danej tretej krajine alebo predmetná medzinárodná organizácia zaručujú primeranú úroveň ochrany... na takýto prenos nie je nutné žiadne osobitné povolenie".
Prakticky to znamená, že ak Komisia rozhodne o tom, že tretia krajina poskytuje primeranú úroveň ochrany, postačuje to ako základ na cezhraničný prenos osobných údajov. Pojem "primeranosť" si však v tomto význame nemožno zamieňaťs "totožnosťou." EÚ rešpektuje odlišné právne kultúry a tradície, ale napriek tomu je povinná zaručiť podobne kvalitnú ochranu súkromia a osobných údajov svojich občanov. Zaujímavosťou je, že rozhodnutie o primeranosti možno vydať nielen pre krajinu ako celok, ale aj pre určitý sektor alebo časť územia.
10)
Komisia začína posúdenie primeranej ochrany tretej krajiny prostredníctvom návrhu rozhodnutia, ktoré následne pripomienkujú dozorné úrady na ochranu osobných údajov členských štátov a dozorný úradník pre ochranu osobných údajov Európskej únie. V rámci komitologickej procedúry
11)
posudzuje návrh špeciálna pracovná skupina, tvorená zástupcami všetkých členských krajín únie. Proces je zavŕšený prijatím rozhodnutia o primeranej ochrane kolégiom komisárov. Toto rozhodnutie môže Komisia v priebehu jeho aplikácie zmeniť, zrušiť alebo pozastaviť.
12)
Rovnako je nevyhnutné mať na pamäti aj to, že vydané rozhodnutia podliehajú pravidelným kontrolám ich opodstatnenia, a to v réžii európskych inštitúcií. Prijaté rozhodnutia sa zverejňujú v Úradnom vestníku Európskej únie a na webovom sídle Komisie. Komisia je zároveň povinná po vydaní rozhodnutia o primeranej ochrane minimálne raz za štyri roky preskúmať primeranosť ochrany tretej krajiny a vyhodnotiť potenciálne zmeny v rámci predmetného štátu. Podrobnosti kontrolného mechanizmu stanoví Komisia v samotnom rozhodnutí.
1.3 Primerané záruky pre cezhraničné prenosy
V prípade, ak prevádzkovateľ alebo sprostredkovať chce vykonať cezhraničný prenos do krajiny, pre ktorú Komisia nevydala rozhodnutie o primeranosti, môže sa spoľahnúť na niektorú z primeraných záruk podľa článku 46 GDPR.
13)
Tento článok poskytuje pomerne mnoho rôznych základov pre cezhraničné prenosy do tretích krajín v zmysle GDPR. Konkrétne článok 46 uvádza (i) právne záväzný a vykonateľný nástroj medzi orgánmi verejnej moci alebo verejnoprávnymi subjektmi; (ii) záväzné vnútropodnikové pravidlá prijaté v súlade s článkom 47 GDPR; (iii) štandardné doložky o ochrane údajov, ktoré prijala Komisia v súlade s postupom preskúmania uvedeným v článku 93 ods. 2 GDPR; (iv) štandardné doložky o ochrane údajov, ktoré prijal dozorný orgán a ktoré schválila Komisia podľa postupu preskúmania uvedeného v článku 93 ods. 2 GDPR; (v) schválený kódex správania sa podľa článku 40 GDPR spolu so záväznými a vymáhatelnými záväzkami prevádzkovateľa alebo sprostredkovateľa v tretej krajine, spočívajúcimi v uplatňovaní primeraných záruk, a to aj ak ide o práva dotknutých osôb, alebo (vi) schválený certifikačný mechanizmus podľa článku 42 spolu so záväzným a vymáhateľným záväzkom prevádzkovateľa alebo sprostredkovateľa v tretej krajine, spočívajúcim v uplatňovaní primeraných záruk, a to aj ak ide o práva dotknutých osôb.
Prvou možnosťou je
právne záväzný a vykonateľný nástroj medzi orgánmi verejnej moci
. Ako príklad možno uviesť medzinárodné dohody medzi dvoma orgánmi verejnej moci. Pre využitie tejto záruky nie je potrebné žiadne schválenie dozorným orgánom.
14)
Zaujímavou možnosťou pre vykonávanie cezhraničných prenosov sú tzv.
záväzné vnútropodnikové pravidlá
(Binding Corporate Rules),
ktoré predstavujú komplexný dokument upravujúci int
Pre zobrazenie článku nemáte dostatočné oprávnenia.

Odomknite si prístup k odbornému obsahu na portáli.
Prístup k obsahu portálu majú len registrovaní používatelia portálu. Pokiaľ ste už zaregistrovaný, stačí sa prihlásiť.

Ak ešte nemáte prístup k obsahu portálu, využite 10-dňovú demo licenciu zdarma (stačí sa zaregistrovať).