Schvaľovanie Záväzných vnútropodnikových pravidiel

Názov koncovej služby: Schvaľovanie Záväzných vnútropodnikových pravidiel na prenos osobných údajov

Popis:

Služba umožňuje podať žiadosť Úradu na ochranu osobných údajov SR o schválenie záväzných vnútropodnikových pravidiel na prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii. Žiadosť je vhodné podať v slovenskom a anglickom jazyku.

Skupina podnikov alebo podniky zapojené do spoločnej hospodárskej činnosti je schopná uplatňovať schválené záväzné vnútropodnikové pravidlá pri svojich medzinárodných prenosoch z Únie organizáciám v rámci tej istej skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti, pokiaľ takéto vnútropodnikové pravidlá zahŕňajú všetky hlavné zásady a vymáhateľné práva na zabezpečenie primeraných záruk pre prenosy alebo kategórie prenosov osobných údajov.

Pri absencii rozhodnutia o primeranosti prevádzkovateľ alebo sprostredkovateľ prijmú opatrenia na kompenzáciu za nedostatočnú ochranu údajov v tretej krajine prostredníctvom primeraných záruk pre dotknutú osobu. Takéto primerané záruky môžu spočívať v uplatnení záväzných vnútropodnikových pravidiel, štandardných doložiek o ochrane údajov prijatých Komisiou, štandardných doložiek o ochrane údajov prijatých dozorným orgánom, alebo zmluvných doložiek povolených dozorným orgánom.

Podmienky

V žiadosti o schválenie záväzných vnútropodnikových pravidlách sa uvedie aspoň:

a) štruktúra a kontaktné údaje skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti a každého z jej členov;

b) prenosy údajov alebo súbor prenosov vrátane kategórií osobných údajov, typu spracúvania a jeho účelov, typu dotknutých osôb, ktorých sa spracúvanie týka, a identifikácia predmetnej tretej krajiny alebo krajín;

c) ich právna záväznosť, a to vnútorne a navonok;

d) uplatňovanie všeobecných zásad ochrany údajov, najmä obmedzenie účelu, minimalizácia údajov, obmedzené doby uchovávania, kvalita údajov, špecificky navrhnutá a štandardná ochrana údajov, právny základ pre spracúvanie, spracúvanie osobitných kategórií osobných údajov, opatrenia na zaistenie bezpečnosti údajov, ako aj požiadavky v súvislosti s následnými prenosmi subjektom, ktoré nie sú viazané záväznými vnútropodnikovými pravidlami;

e) práva dotknutých osôb v súvislosti so spracúvaním a prostriedky na uplatnenie týchto práv vrátane práva na to, aby sa na ne nevzťahovalo rozhodovanie založené výlučne na automatizovanom spracúvaní, vrátane profilovania podľa článku 22, právo podať sťažnosť na príslušný dozorný orgán a na príslušné súdy členských štátov v súlade s článkom 79 a právo vymôcť nápravu a prípadnú náhradu škody za porušenie záväzných vnútropodnikových pravidiel;

f) vyhlásenie, že prevádzkovateľ alebo sprostredkovateľ usadení na území členského štátu prijímajú zodpovednosť za všetky porušenia záväzných vnútropodnikových pravidiel ktorýmkoľvek dotknutým členom, ktorý nie je usadený v Únii; prevádzkovateľ alebo sprostredkovateľ sú úplne alebo čiastočne oslobodení od tejto zodpovednosti, len ak preukážu, že predmetný člen nie je zodpovedný za udalosť, ktorá spôsobila škodu;

g) spôsob, akým sa okrem spôsobov podľa článkov 13 a 14 poskytujú dotknutým osobám informácie o záväzných vnútropodnikových pravidlách, najmä pokiaľ ide o ustanovenia, ktoré sa uvádzajú v písmenách d), e) a f) tohto odseku;

h) úlohy akejkoľvek zodpovednej osoby určenej v súlade s článkom 37 alebo akejkoľvek inej osoby alebo subjektu zodpovedného za monitorovanie dodržiavania záväzných

vnútropodnikových pravidiel v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti, ako aj za monitorovanie odbornej prípravy a vybavovania sťažností;

i) postupy týkajúce sa sťažností;

j) mechanizmy v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti na zabezpečenie overovania dodržiavania záväzných vnútropodnikových pravidiel. Takéto mechanizmy zahŕňajú audity ochrany údajov a metódy na zabezpečenie nápravných opatrení s cieľom chrániť práva dotknutej osoby. Výsledky takéhoto overovania by sa mali oznámiť osobe alebo subjektu uvedenému v písmene h) a správnej rade riadiaceho podniku skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti a na požiadanie by mali byť k dispozícii príslušnému dozornému orgánu;

k) mechanizmy pre ohlasovanie a zaznamenávanie zmien pravidiel a ohlasovanie týchto zmien dozornému orgánu;

l) mechanizmus spolupráce s dozorným orgánom na zabezpečenie dodržiavania pravidiel zo strany všetkých členov skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti, najmä poskytnutím výsledkov overovania opatrení uvedených v písmene j) dozornému orgánu;

m) mechanizmy pre ohlasovanie určené príslušnému dozornému orgánu, ktoré sa týka akýchkoľvek právnych požiadaviek, ktorým člen skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti podlieha v tretej krajine a ktoré pravdepodobne budú mať podstatné nepriaznivé dôsledky na záruky poskytované záväznými vnútropodnikových pravidlami, a

n) primeraná odborná príprava personálu, ktorý má stály alebo pravidelný prístup k osobným údajom, v oblasti ochrany údajov.

Spôsob podania

elektronicky - prostredníctvom elektronickej služby

listinne poštou alebo osobne doručením do podateľne úradu

Žiadosť odporúčame podať v slovenskom a aj v anglickom jazyku.

Elektronické podanie je potrebné podpísať kvalifikovaným elektronickým podpisom a zároveň pri podaní je potrebné sa autentifikovať.

Poplatky

Podanie žiadosti o schválenie záväzných vnútropodnikových pravidiel na prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii nie je spojené s povinnosťou úhrady správneho poplatku.

Výsledok

Úrad schváli záväzné vnútropodnikové pravidlá v súlade s mechanizmom konzistentnosti uvedeným v článku 63 GDPR, ak:

a) sú právne záväzné a vzťahujú sa na každého dotknutého člena skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti vrátane ich zamestnancov, a títo členovia ich uplatňujú;

b) sa nimi výslovne udeľujú vymáhateľné práva dotknutým osobám, pokiaľ ide o spracúvanie ich osobných údajov, a

c) spĺňajú požiadavky stanovené v čl. 47 ods. 2 GDPR.

Úrad preskúma žiadosť o schválenie záväzných vnútropodnikových pravidiel na prenos osobných údajov s úmyslom ich schváliť. Do schvaľovacieho procesu sú okrem úradu zapojené aj ostatné dozorné orgány členských štátov Európskej únie a Európsky výbor pre ochranu údajov (ďalej len „Výbor“). Posudzovanie žiadosti úradom pred samotným vydaním stanoviska Výboru nepodlieha zákonnej lehote. Za účelom vydania stanoviska Výborom, úrad oznámi Výboru návrh rozhodnutia, ktoré je zamerané na schválenie záväzných vnútropodnikových pravidiel. Stanovisko Výboru k návrhu rozhodnutia sa prijme do ôsmich týždňov jednoduchou väčšinou členov Výboru. Uvedená lehota sa môže predĺžiť o ďalších šesť týždňov, pričom sa zohľadní zložitosť danej záležitosti. Úrad schvaľuje záväzné vnútropodnikové pravidlá rozhodnutím v súlade so stanoviskom Výboru. Zákonná lehota na vydanie rozhodnutia nie je stanovená, spravidla je to do 90 dní odo dňa vydania stanoviska Výborom.

Služba je poskytovaná elektronicky prostredníctvom elektronického formulára cez portál ÚPVS:

UPVS link