Prenos osobných údajov mimo Európskeho hospodárskeho priestoru je podľa čl. 44 GDPR dovolený len vtedy, keď je pre ne zabezpečená primeraná úroveň ochrany. Zabezpečuje sa buď rozhodnutím Európskej komisie o primeranosti (pri USA cez Data Privacy Framework, ale len pre certifikované subjekty), alebo primeranými zárukami, najmä štandardnými zmluvnými doložkami. Najjednoduchšie je prenosu sa vyhnúť voľbou dodávateľa s hostingom v EÚ.

Obsah

Vaša firma používa americkú cloudovú službu, nástroj na analytiku návštevnosti webu alebo e-mailovú službu so sídlom v USA. A s najväčšou pravdepodobnosťou pritom prenášate osobné údaje svojich zamestnancov a zákazníkov do tretej krajiny, pričom o tom ani neviete. Nemuseli ste nič „posielať do zahraničia“, stačilo, že údaje spracúva služba mimo Európy.

Toto je téma, ktorú firmy podceňujú najviac, lebo je neviditeľná. Prenos do tretej krajiny sa nedeje poslaním e-mailu, deje sa v pozadí zakaždým, keď vaše dáta spočinú na serveroch alebo v rukách dodávateľa mimo Európskeho hospodárskeho priestoru. A GDPR takýto prenos podmieňuje, lebo mimo Európy nemusí platiť porovnateľná ochrana.

Čo je prenos do tretej krajiny a kedy k nemu dochádza?

Treťou krajinou je z pohľadu GDPR každá krajina mimo Európskeho hospodárskeho priestoru, teda mimo EÚ plus Nórsko, Island a Lichtenštajnsko. Prenos nastáva, keď sa osobné údaje sprístupnia príjemcovi v takej krajine, a to nielen fyzickým odoslaním, ale aj vzdialeným prístupom.

Práve tu firmy chybujú, lebo si prenos predstavujú príliš doslovne. V skutočnosti k nemu dochádza aj vtedy, keď údaje ostanú „v cloude“, ale ten cloud prevádzkuje americká spoločnosť, alebo keď k vašim dátam môže pristupovať podpora dodávateľa sídliaca mimo Európy. Veľká časť bežných nástrojov, ktoré firmy denne používajú, teda kancelárske balíky, analytika, marketingové a e-mailové platformy, sú americké, a tým sa téma prenosu týka takmer každého.

Kedy je prenos dovolený?

GDPR nezakazuje prenosy, len ich podmieňuje. Existujú tri hlavné cesty, ako prenos urobiť zákonne.

Prvou je rozhodnutie o primeranosti (čl. 45). Európska komisia môže rozhodnúť, že určitá krajina zabezpečuje primeranú úroveň ochrany, a do takej krajiny sa potom prenáša bez ďalších záruk. Takéto rozhodnutie majú napríklad Spojené kráľovstvo, Švajčiarsko či Japonsko a osobitným prípadom sú USA. Druhou sú primerané záruky (čl. 46), keď rozhodnutie o primeranosti chýba. Najčastejšou zárukou sú štandardné zmluvné doložky, teda vzorové zmluvné ustanovenia schválené Komisiou, prípadne záväzné vnútropodnikové pravidlá vo veľkých skupinách. Treťou sú výnimky pre osobitné situácie (čl. 49), napríklad výslovný súhlas alebo nevyhnutnosť pre plnenie zmluvy, tie sú však úzke a nedajú sa použiť ako trvalé riešenie pre bežné prevádzkové prenosy.

Ako je to s USA a Data Privacy Framework?

USA sú osobitný a najčastejší prípad. Funguje pre ne rozhodnutie o primeranosti prijaté v roku 2023, známe ako EU-US Data Privacy Framework. Pozor ale na dôležitý detail: neplatí pre USA plošne, ale len pre americké spoločnosti, ktoré sa do tohto rámca samy certifikovali. Ak teda americký dodávateľ certifikovaný je, prenos k nemu je krytý rozhodnutím o primeranosti. Ak certifikovaný nie je, potrebujete inú záruku, typicky štandardné zmluvné doložky.

A ešte niečo, čo treba vedieť. Tento rámec je právne neistý. Jeho dvaja predchodcovia, Safe Harbour a Privacy Shield, boli Súdnym dvorom EÚ zrušení. Data Privacy Framework síce v čase písania platí a Všeobecný súd EÚ ho v roku 2025 potvrdil, no proti tomuto rozhodnutiu bolo podané odvolanie na Súdny dvor a jeho výsledok nie je istý. Preto sa oplatí aktuálny stav pred dôležitým rozhodnutím overiť a nespoliehať sa naň ako na niečo nemenné.

Čo sú štandardné zmluvné doložky a čo Schrems II?

Štandardné zmluvné doložky sú najuniverzálnejšia záruka pre prenosy tam, kde niet rozhodnutia o primeranosti. Sú to vzorové ustanovenia, ktoré si strany zapracujú do zmluvy a ktorými sa príjemca zaviaže chrániť údaje na úrovni porovnateľnej s GDPR.

Ich použitie ale nie je automatické. Súdny dvor EÚ v známom rozhodnutí Schrems II potvrdil, že doložky platia, no zároveň uložil povinnosť posúdiť, či v cieľovej krajine reálne existuje porovnateľná ochrana, a ak nie, prijať doplnkové opatrenia, napríklad silné šifrovanie. Tomuto posúdeniu sa hovorí posúdenie vplyvu prenosu. Inými slovami, podpísať doložky nestačí, treba vedieť, kam a za akých podmienok údaje putujú.

Ako sa prenosu vyhnúť?

Najjednoduchšie riešenie celej tejto témy je nemať prenos vôbec. Ak si vyberiete dodávateľa, ktorý údaje spracúva a hostuje v rámci EÚ, otázka tretích krajín sa vás jednoducho netýka a ušetríte si celú vrstvu doložiek, posudzovania a právnej neistoty. Toto je aj praktický dôvod, prečo si mnohé firmy, najmä v regulovaných odvetviach, cielene vyberajú európske alternatívy k americkým nástrojom. Súvisí to priamo s výberom sprostredkovateľov, o ktorom sme písali: dodávateľ s EÚ hostingom je jednoduchší compliance príbeh.

Ako to podchytiť

Nezačínajte štúdiom doložiek, ale zoznamom nástrojov, ktoré používate. Prejdite si dodávateľov a služby a pri každom zistite jednoduchú vec: kde sídli a kde reálne spracúva a hostuje údaje. Tento prehľad z veľkej časti získate zo svojho záznamu o spracovateľských činnostiach, kde sa prenosy do tretích krajín aj tak uvádzajú. Pri každom prenose potom overte, na akom mechanizme stojí, teda či je krytý rozhodnutím o primeranosti, doložkami, alebo či prenos vôbec netreba, lebo dodávateľ je európsky.

Zvyčajne tu zaznie námietka: „my nič do zahraničia neposielame“. Lenže ak používate americký kancelársky balík, analytiku alebo e-mailovú platformu, prenos sa deje bez ohľadu na to, či ste niečo vedome odoslali. Prvý krok teda nie je nič posielať, je to zistiť, čo sa už deje.

Ak si chcete spraviť prehľad o prenosoch a zvoliť riešenie, ktoré obstojí, a nechcete to riešiť sami, vašu situáciu posúdime a prípadne prevezmeme rolu zodpovednej osoby. Viac informácií nájdete na našej stránke o ochrane osobných údajov. Celý rámec GDPR pre firmy a organizácie sme zhrnuli v úvodnom článku série.

Časté otázky

Čo je prenos osobných údajov do tretej krajiny?

Sprístupnenie osobných údajov príjemcovi mimo Európskeho hospodárskeho priestoru, a to aj vzdialeným prístupom alebo cez cloud, nielen fyzickým odoslaním. Dochádza k nemu aj pri bežných amerických službách.

Smiem používať americké cloudové služby?

Áno, ak je prenos krytý platnou zárukou. Pri certifikovaných amerických spoločnostiach ho pokrýva Data Privacy Framework, inak sú potrebné štandardné zmluvné doložky s posúdením ochrany v cieľovej krajine.

Čo sú štandardné zmluvné doložky?

Vzorové zmluvné ustanovenia schválené Európskou komisiou, ktorými sa príjemca v tretej krajine zaviaže chrániť údaje na úrovni porovnateľnej s GDPR. Podľa rozhodnutia Schrems II k nim treba doplniť posúdenie ochrany v danej krajine.

Ako sa najjednoduchšie vyhnem prenosu do tretej krajiny?

Voľbou dodávateľa, ktorý osobné údaje spracúva a hostuje v rámci EÚ. Vtedy sa vás pravidlá o prenosoch netýkajú a ušetríte si doložky aj právnu neistotu.