Jak postupovat, když se GDPR uplatňuje mimo území? Vysvětlení metod řešení
GDPR je pravidlo stanovené EU, které určuje ochranu osobních údajů a jejich zpracování. Pokud rozvíjíte své produkty nebo služby v rámci EU, může se na vás GDPR vztahovat. Nicméně, může být nejasné, zda se vaše společnost nachází v rámci působnosti GDPR a co byste měli dělat v případě, že se to na vás vztahuje.
V tomto článku vysvětlíme rozsah působnosti GDPR, co byste měli dělat, pokud se na vás GDPR vztahuje, a jaké kroky jsou vyžadovány. Najdete zde také Q&A týkající se aplikace GDPR, které vám mohou pomoci lépe porozumět této problematice.
Rozsah působnosti GDPR
Podmínky, za kterých se GDPR aplikuje, jsou stanoveny v článku 3 GDPR, který se zabývá „geografickým rozsahem působnosti“. Rozsah působnosti GDPR se dělí na dvě situace: když má subjekt základnu v EU a když ji v EU nemá.
Pro případ, že má subjekt základnu v EU, platí následující:
„Aplikuje se na zpracování osobních údajů v rámci činností základny správce nebo zpracovatele v EU, bez ohledu na to, zda se zpracování provádí v EU.“
Reference: Japonská komise pro ochranu osobních údajů | „Obecné nařízení o ochraně údajů (GDPR) – předběžný japonský překlad[ja]“
To znamená, že pokud má správce nebo zpracovatel základnu v EU, GDPR se na něj vztahuje.
| Správce | Osoba, která určuje účely a prostředky zpracování osobních údajů |
| Zpracovatel | Osoba, která zpracovává osobní údaje jménem správce |
Pokud subjekt nemá základnu v EU, rozsah působnosti GDPR zahrnuje následující dva případy:
- Když subjekt poskytuje zboží nebo služby osobám v EU
- Když subjekt monitoruje chování osob v EU
GDPR klade přísná omezení na přenos dat do zemí mimo EU a pro volný přenos dat je vyžadováno „rozhodnutí o adekvátnosti“. Rozhodnutí o adekvátnosti je určení, které se provádí po konzultaci s Evropskou komisí a je udělováno zemím nebo regionům, které zajišťují dostatečnou úroveň ochrany osobních údajů.
Země nebo regiony bez rozhodnutí o adekvátnosti musí pro přenos dat mimo EU provést postupy jako jsou SCC nebo BCR.
| SCC (Standardní smluvní doložky) | Povinné položky, které musí být zahrnuty do smlouvy o přenosu informací |
| BCR (Závazné firemní pravidla) | Politika ochrany osobních údajů získaných z Evropského hospodářského prostoru (EHP) a pravidla pro sdílení s přidruženými společnostmi mimo EHP |
Rozhodnutí o adekvátnosti eliminuje potřebu postupů jako jsou SCC nebo BCR.
Rozhodnutí o adekvátnosti pro Japonsko bylo oznámeno během pravidelného summitu mezi Japonskem a EU v červenci 2018 (Heisei 30), kde bylo oznámeno, že se bude pracovat na zavedení rámce pro přenos osobních údajů. Následně, dne 23. ledna 2019 (Heisei 31), Japonsko obdrželo rozhodnutí o adekvátnosti a bylo vydáno prohlášení, že „EU a Japonsko vzájemně uznávají rovnocennou úroveň ochrany osobních údajů“.
Co musí dělat firmy podléhající GDPR?
Firmy, na které se vztahuje GDPR, musí splnit následující dvě požadavky:
- Jmenování zástupce v EU/UK
- Zahrnutí informací do zásad ochrany osobních údajů
Zde podrobně vysvětlíme každý z těchto bodů.
Jmenování zástupce v EU/UK
Článek 27 GDPR stanoví povinnost jmenovat zástupce v EU nebo UK v případě, že se GDPR vztahuje mimo tyto oblasti.
Zástupcem se rozumí osoba jmenovaná písemně správcem nebo zpracovatelem, která zastupuje správce nebo zpracovatele v povinnostech stanovených GDPR.
Ne všechny firmy působící v EU musí jmenovat zástupce. Firmy, které nejsou povinny jmenovat zástupce, jsou ty, které (podle článku 27 GDPR):
- Nezabývají se činnostmi podléhajícími GDPR, které nejsou pouze příležitostné, a zároveň se nezabývají zpracováním “zvláštních kategorií údajů” nebo “osobních údajů týkajících se trestních odsouzení a trestných činů” ve velkém rozsahu, a pokud povaha, rozsah, kontext a účely zpracování nepředstavují vysoké riziko pro práva a svobody fyzických osob
- Nejsou veřejnými orgány nebo organizacemi
Reference: Japonská komise pro ochranu osobních údajů | ‘Obecné nařízení o ochraně údajů (GDPR) – předběžný japonský překlad[ja]‘
Zahrnutí informací do zásad ochrany osobních údajů
Firmy, na které se vztahuje GDPR, musí ve svých zásadách ochrany osobních údajů jasně uvést, že mají jmenovaného zástupce.
Sankce za nejmenování zástupce
Je důležité si uvědomit, že pokud subjekt spadá do působnosti Nařízení GDPR a přesto nejmenuje zástupce, může být podroben sankcím. Tyto sankce mohou dosáhnout až 1 000 eur nebo 2 % z celosvětového obratu, podle toho, která částka je vyšší (článek 84 odstavec 4 Nařízení GDPR).
Povinnosti zástupce
Pokud se na vás vztahuje působnost GDPR, musíte v zásadě jmenovat zástupce. Jaké povinnosti jsou pak od zástupce vyžadovány? V následujícím textu podrobně vysvětlíme povinnosti zástupce.
Zpracování záznamů podle článku 30
Správci nebo zpracovatelé, kteří mají zástupce v zemích EU, musí se svým zástupcem sdílet záznamy o svém zpracování. Zástupce je pak povinen tyto záznamy uchovávat stejně jako správce nebo zpracovatel (článek 30 GDPR).
Mezi obsah, který je nutné zaznamenat, patří například:
- Jména a kontaktní údaje správce, DPO (Data Protection Officer – Úřad pro ochranu osobních údajů) a dalších
- Účely zpracování
- Kategorie subjektů údajů a typy zpracovávaných údajů
- Doba uchování
- Termín smazání
Subjektem údajů se rozumí identifikovaná nebo identifikovatelná fyzická osoba, na kterou se vztahují osobní údaje.
V případě požadavku od dozorového orgánu je nutné mít tyto záznamy o zpracování k dispozici.
Reakce na dotazy subjektů údajů nebo dozorových orgánů
V případě dotazů od subjektů údajů nebo dozorových orgánů je zástupce povinen zastupovat správce nebo zpracovatele a reagovat na dotazy subjektů údajů nebo dozorových orgánů (článek 27 odstavec 3 GDPR). Například, pokud subjekt údajů požaduje informace, musí správce poskytnout informace do jednoho měsíce (článek 12 odstavec 3 GDPR). Zástupce je také povinen spolupracovat s dozorovým orgánem a reagovat na jeho požadavky (článek 31 GDPR).
Q&A k aplikaci Nařízení GDPR
V následujícím textu odpovídáme na často kladené otázky týkající se aplikace Nařízení GDPR.
Je nutné se přizpůsobit GDPR, i když neplánujeme expanzi do zahraničí?
Základně, pokud neplánujete expanzi do zahraničí, není nutné se přizpůsobovat GDPR. Nicméně, i když neexpandujete, je třeba být opatrný, pokud existuje možnost získání dat od jednotlivců z EU.
Jako příklady lze uvést následující situace:
- Provozujete e-shop a obdrželi jste dotaz nebo objednávku od osoby z EU.
- Získali jste online identifikátory (IP adresy nebo cookies) osob z EU prostřednictvím prohlížení vašeho webu.
- Získali jste e-mailovou adresu při odpovídání na dotazy od osob z EU.
I když neúmyslně získáte osobní data osob z EU, pokud nespadáte do geografického rozsahu působnosti, není nutné se přizpůsobovat GDPR a nevzniká vám žádný problém.
Pamatujte si, že je nutné se přizpůsobit GDPR pouze v případě, že máte základnu v EU, nebo i bez základny v EU, pokud splňujete následující dvě kritéria:
- Poskytujete zboží nebo služby osobám v EU.
- Monitorujete chování osob v EU.
Jaké kroky je třeba podniknout při spuštění přeshraničního e-commerce webu zaměřeného na EU?
Při spuštění přeshraničního e-commerce webu zaměřeného na EU může dojít k získání osobních údajů osob v EU. Mezi informace, které mohou být získány, patří:
- Jméno
- E-mailová adresa
- Adresa bydliště
- Informace o kreditní kartě
- Informace o nákupu
- Geolokační údaje
- IP adresa & Cookie ID
Při získávání těchto informací je nutné dodržovat pravidla GDPR, protože se jedná o osobní údaje definované v GDPR.
Prvním krokem by měla být revize a aktualizace vaší politiky ochrany osobních údajů a zveřejnění upraveného prohlášení o ochraně soukromí v souladu s GDPR.
Související článek: Jak vytvořit politiku ochrany osobních údajů v souladu s GDPR![ja]
Následně byste měli postupovat podle následujících kroků:
- Zavedení politiky používání cookies a získání souhlasu s jejich používáním od prvních návštěvníků e-commerce webu
- Získání souhlasu s “zpracováním osobních údajů” při získávání osobních informací
- Implementace bezpečnostních opatření pro ochranu osobních údajů a prevenci jejich úniku
- Jmenování zástupce
Kromě toho byste měli podle potřeby přezkoumat interní pravidla, vytvořit manuály pro dodržování GDPR a přehodnotit smluvní podmínky s externími dodavateli.
Jaký je rozdíl mezi GDPR a UK GDPR?
UK GDPR je obecné nařízení o ochraně osobních údajů ve Velké Británii. UK GDPR bylo zavedeno v souvislosti s odchodem Velké Británie z EU a vstoupilo v platnost 1. ledna 2021 (Reiwa 3). GDPR je nařízení EU a ve Velké Británii se neuplatňuje.
UK GDPR se uplatňuje v následujících případech:
- Když poskytujete zboží nebo služby osobám ve Velké Británii.
- Když monitorujete chování osob ve Velké Británii.
Pokud rozvíjíte své podnikání ve Velké Británii a v EU, je třeba se přizpůsobit jak GDPR, tak UK GDPR.
Shrnutí: V případě potíží s GDPR se obraťte na odborníky
Pokud máte základnu v EU nebo i bez základny v EU poskytujete zboží či služby osobám v EU nebo sledujete chování osob, spadáte do působnosti GDPR. Podniky podléhající GDPR musí v EU jmenovat zástupce a ve své zásadě ochrany osobních údajů musí tuto skutečnost jasně uvést.
Nejmenování zástupce může vést k vysokým sankčním pokutám. Podniky, které se rozvíjejí nebo plánují expanzi v EU, by měly v souladu s GDPR jmenovat zástupce.
Pokud si nejste jisti, zda se vaše společnost nachází v rámci působnosti GDPR, doporučujeme konzultaci s odborníkem na mezinárodní právo.
Představení opatření naší kanceláře
Advokátní kancelář Monolith je právní firma s bohatými zkušenostmi v oblasti IT, zejména internetu a práva. V posledních letech se globální podnikání neustále rozšiřuje a potřeba právního dohledu odborníky stále roste. Naše kancelář poskytuje řešení v oblasti mezinárodního práva.
Oblasti působnosti advokátní kanceláře Monolith: Mezinárodní právní služby a zahraniční podnikání[ja]
