• Naše služby na mieru

      Vyberte si oblasť, s ktorou vám vieme pomôcť – rýchlo, spoľahlivo a odborne.

      Ochrana osobných údajov

      Kybernetická bezpečnosť

      Bezpečnosť práce

      Online poradca

      Smernice pre školstvo

      Šikana a kyberšikana

      Ochrana oznamovateľa

      Anonymizér dokumentov

      Segregácia

      Prehľad služieb

    • Riešenia prispôsobené pre váš segment

      Vyberte typ organizácie alebo podnikania a pozrite si riešenia šité na mieru.

      Obec

      Mesto

      Škola

      Školské zariadenie

      Zdravotníctvo

      Štátna správa

      E-shop

      Malý podnik

      Veľký podnik

      Iný subjekt

  • Referencie
  • EN
Konzultácia zdarma
Späť na Blog
, ,

Medzinárodné prenosy údajov GDPR a súlad s právom tretích krajín

14. apríla 2026

Späť na Blog

V súčasnom globálnom a digitálne prepojenom svete je tok informácií cez štátne hranice nevyhnutným predpokladom fungovania modernej ekonomiky. Či už ide o využívanie cloudových služieb, nadnárodnú správu zamestnaneckých údajov alebo e-commerce aktivity, osobné údaje občanov Európskej únie neustále opúšťajú hranice členských štátov. V tomto kontexte zohráva kľúčovú úlohu Všeobecné nariadenie o ochrane údajov (GDPR), ktoré stanovuje prísne pravidlá pre medzinárodné prenosy údajov do tretích krajín. Cieľom týchto pravidiel je zabezpečiť, aby úroveň ochrany fyzických osôb zaručená v EÚ nebola oslabená v momente, keď sa ich údaje ocitnú mimo jurisdikcie Únie. Súlad s právom tretích krajín a hĺbkové posúdenie tamojších legislatívnych rámcov sa stali kritickou výzvou pre každú organizáciu, ktorá operuje na medzinárodnej úrovni.

Základná architektúra cezhraničných prenosov podľa GDPR

Pravidlá pre prenos osobných údajov do tretích krajín alebo medzinárodných organizácií sú upravené v kapitole V nariadenia GDPR (články 44 až 50). Základným princípom je tzv. zásada kontinuity ochrany. To znamená, že akýkoľvek prenos údajov mimo Európsky hospodársky priestor (EHP) je povolený len vtedy, ak prevádzkovateľ a sprostredkovateľ splnia podmienky stanovené v nariadení.

GDPR definuje hierarchiu nástrojov, ktoré môžu organizácie použiť na legalizáciu prenosu:

  • Rozhodnutia o primeranosti: Najjednoduchší spôsob, kedy Európska komisia potvrdí, že daná krajina poskytuje úroveň ochrany porovnateľnú s EÚ.
  • Primerané záruky: Ak rozhodnutie o primeranosti neexistuje, musia sa použiť nástroje ako štandardné zmluvné doložky (SCC) alebo záväzné vnútropodnikové pravidlá (BCR).
  • Výnimky pre osobitné situácie: Používajú sa len v prípade absencie vyššie uvedených mechanizmov a majú veľmi reštriktívny charakter.

Rozhodnutia o primeranosti ako zlatý štandard

Rozhodnutie o primeranosti podľa článku 45 GDPR predstavuje najbezpečnejšiu cestu pre prenos údajov. Keď Európska komisia vydá takéto rozhodnutie, znamená to, že tretia krajina zabezpečuje primeranú úroveň ochrany osobných údajov prostredníctvom svojich vnútroštátnych právnych predpisov alebo medzinárodných záväzkov.

V takom prípade sa prenosy údajov do tejto krajiny považujú za prenosy v rámci EÚ a nevyžadujú žiadne ďalšie osobitné povolenia. Medzi krajiny s uznanou primeranosťou patria napríklad Kanada (komerčné organizácie), Japonsko, Izrael, Nový Zéland, Spojené kráľovstvo a najnovšie aj USA v rámci špecifického rámca EU-U.S. Data Privacy Framework. Je však dôležité sledovať, že tieto rozhodnutia podliehajú pravidelnému preskúmavaniu a môžu byť zrušené, ak krajina prestane spĺňať prísne kritériá.

Prenosy do USA a dynamický vývoj

Vzťah medzi EÚ a USA v oblasti prenosu údajov bol dlhé roky poznačený právnou neistotou. Po zrušení dohôd Safe Harbor a Privacy Shield Súdnym dvorom EÚ (v známych prípadoch Schrems I a Schrems II) nastalo obdobie vákua. Aktuálne platný rámec ochrany údajov medzi EÚ a USA zaviedol nové mechanizmy dohľadu a nápravy pre občanov EÚ, čím reagoval na výhrady súdu týkajúce sa prístupu amerických spravodajských služieb k údajom.

Prenosy s primeranými zárukami: Štandardné zmluvné doložky (SCC)

Väčšina svetových krajín nedisponuje rozhodnutím o primeranosti. V takýchto prípadoch sa organizácie najčastejšie spoliehajú na Štandardné zmluvné doložky (Standard Contractual Clauses – SCC). Ide o vzorové zmluvné texty schválené Európskou komisiou, ktoré sa stávajú súčasťou zmluvy medzi vývozcom údajov (v EÚ) a dovozcom údajov (v tretej krajine).

Nové moduly SCC, prijaté v roku 2021, pokrývajú rôzne scenáre prenosu:

  • Prevádzkovateľ – Prevádzkovateľ (C2C)
  • Prevádzkovateľ – Sprostredkovateľ (C2P)
  • Sprostredkovateľ – Sprostredkovateľ (P2P)
  • Sprostredkovateľ – Prevádzkovateľ (P2C)

Použitie SCC však po rozsudku Schrems II už nie je len o „podpise papiera“. Prevádzkovatelia majú povinnosť vykonať individuálne posúdenie, či právo a prax tretej krajiny reálne umožňujú dodržiavanie týchto doložiek.

Posúdenie vplyvu prenosu údajov (Transfer Impact Assessment – TIA)

Kľúčovým prvkom súladu pri prenosoch do tretích krajín je dnes Transfer Impact Assessment (TIA). Ide o hĺbkovú analýzu, v ktorej vývozca údajov hodnotí riziko spojené s konkrétnym prenosom. Toto posúdenie sa musí zamerať predovšetkým na legislatívu tretej krajiny, ktorá by mohla narušiť účinnosť zmluvných záruk.

Pri vykonávaní TIA sa organizácie musia zamerať na nasledujúce otázky:

  • Má vláda alebo spravodajské služby tretej krajiny právomoc pristupovať k údajom spôsobom, ktorý prekračuje to, čo je v demokratickej spoločnosti nevyhnutné a primerané?
  • Existujú v tretej krajine účinné prostriedky právnej nápravy pre dotknuté osoby z EÚ?
  • Aká je doterajšia prax dovozcu údajov v súvislosti s vládnymi žiadosťami o prístup k údajom?

Ak analýza preukáže, že úroveň ochrany je nedostatočná, prenos sa nesmie uskutočniť, pokiaľ nie sú prijaté doplnkové opatrenia.

Doplnkové opatrenia na ochranu údajov

Doplnkové opatrenia môžu byť technického, organizačného alebo zmluvného charakteru. Európsky výbor pre ochranu údajov (EDPB) zdôrazňuje, že najúčinnejšie sú technické opatrenia, ktoré fyzicky bránia neoprávnenému prístupu:

1. Silné šifrovanie: Údaje musia byť zašifrované ešte pred prenosom, pričom dešifrovacie kľúče musia zostať v bezpečí v rámci EÚ alebo v krajine s primeranou ochranou. Šifrovanie musí byť odolné voči útokom zo strany verejných orgánov tretej krajiny.

2. Pseudonymizácia: Údaje sa prenášajú v takej forme, že ich nemožno priradiť konkrétnej osobe bez dodatočných informácií, ktoré sú uložené oddelene v bezpečnom prostredí v rámci EÚ.

3. Organizačné opatrenia: Interné politiky pre nakladanie s požiadavkami vládnych orgánov, povinnosť informovať vývozcu údajov o každej takejto žiadosti (ak to zákon dovozcu dovoľuje) a právny odpor proti neoprávneným žiadostiam.

Súlad s právom tretích krajín a konflikt jurisdikcií

Jednou z najzložitejších výziev je priamy konflikt medzi GDPR a zákonmi tretích krajín. Niektoré krajiny, ako napríklad Čína so svojím zákonom o bezpečnosti údajov (Data Security Law) alebo USA s Cloud Act, ukladajú spoločnostiam povinnosti, ktoré sú v priamom rozpore s požiadavkami EÚ na mlčanlivosť a ochranu súkromia.

V takýchto prípadoch sa prevádzkovateľ v EÚ ocitá v „právnych kliešťach“. Ak údaje odovzdá cudzím orgánom, poruší GDPR a riskuje vysoké pokuty. Ak ich neodovzdá, riskuje sankcie v tretej krajine. Súdny dvor EÚ však jasne deklaroval, že ochrana základných práv občanov Únie má prednosť pred obchodnými záujmami alebo požiadavkami tretích štátov, ktoré nerešpektujú európske štandardy proporcionality.

Záväzné vnútropodnikové pravidlá (BCR) pre korporácie

Pre veľké nadnárodné skupiny spoločností sú Záväzné vnútropodnikové pravidlá (Binding Corporate Rules) efektívnym, hoci administratívne náročným nástrojom. BCR fungujú ako vnútrofiremný kódex správania, ktorý zaväzuje všetky pobočky skupiny po celom svete dodržiavať rovnaké štandardy ochrany údajov.

Proces schvaľovania BCR zahŕňa úzku spoluprácu s vedúcim dozorným orgánom v EÚ a konzultácie s ostatnými dotknutými úradmi. Po ich schválení však spoločnosť získava vysokú mieru právnej istoty a flexibility pri vnútrofiremných tokoch údajov, čo je v dobe globálnych HR systémov a zdieľaných servisných centier neoceniteľné.

Zabezpečenie súladu pri medzinárodných prenosoch osobných údajov predstavuje jednu z najnáročnejších disciplín v oblasti ochrany súkromia. Ako sme v článku podrobne rozobrali, proces sa nekončí len pri výbere správneho právneho nástroja, akým sú štandardné zmluvné doložky alebo využitie rozhodnutí o primeranosti. Súčasná legislatíva a judikatúra vyžadujú od organizácií proaktívny prístup, ktorý zahŕňa neustále monitorovanie právneho prostredia v tretích krajinách a pravidelné vykonávanie analýz rizík prostredníctvom TIA. Je zrejmé, že mechanický prístup k prenosom údajov už v očiach dozorných orgánov neobstojí. Prevádzkovatelia musia byť pripravení implementovať robustné technické opatrenia, ako je end-to-end šifrovanie, a v prípade potreby prehodnotiť svoje partnerstvá s dodávateľmi z rizikových jurisdikcií. Celý systém je postavený na princípe zodpovednosti (accountability), čo znamená, že organizácia musí byť kedykoľvek schopná preukázať, že údaje občanov EÚ sú v bezpečí bez ohľadu na to, kde na svete sa práve nachádzajú. V konečnom dôsledku je cieľom týchto opatrení udržať dôveru v digitálnu ekonomiku a zabezpečiť, aby základné ľudské právo na ochranu súkromia nebolo obetované v prospech technologického pokroku alebo geopolitických záujmov. Pre firmy to síce znamená zvýšenú administratívnu a technickú záťaž, no zároveň ide o nevyhnutnú investíciu do reputácie a dlhodobej udržateľnosti ich podnikania na globálnom trhu.

Kategórie:
Témy

autor

/ Blog /

Súvisiace články

Prekliatie talentovaných: Ako váš vnútorný sabotér ticho ničí každú šancu na úspech, ktorú dostanete

autor

26. mája 2026

, ,
Vaši zamestnanci: Najslabší článok alebo nepriestrelný štít? Prečo je vzdelaný používateľ jedinou cestou k bezpečnejšej organizácii

autor

26. mája 2026

, ,
Vaša najväčšia bezpečnostná diera nesedí za počítačom, ale v kancelárii: Ako tréning zastaví phishing a ransomvér.

autor

26. mája 2026

, ,
Tikajúca bomba na obecnom úrade: Prečo sú malé obce pre kybernetických útočníkov atraktívnejšie než veľké korporácie?

autor

26. mája 2026

, ,
Prečo hackeri milujú slovenské obce? Pravda o tom, prečo za úniky dát nemôže váš IT-čkár, ale starosta.

autor

26. mája 2026

, ,
Zahrávate sa s likvidačnou pokutou? Tieto údaje hostí v hoteli sú z pohľadu GDPR najväčším rizikom

autor

26. mája 2026

Odoberajte novinky od osobnyudaj.sk

Vaša e-mailová adresa je u nás v bezpečí, prečítajte si naše podmienky zpracovania osobných údajov.