Předávání osobních údajů do tzv. třetích zemí v rámci klinických hodnocení

Ochrana osobních údajů je na evropské úrovni regulována směrnicí Evropského Parlamentu a Rady 95/46/ES ze dne 24. Října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.

Směrnice byla do právního řádu  ČR transponována zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů (ve znění pozdějších předpisů) (dále jen „zákon“).

Regulační autoritou v ČR, která dozírá na ochranu osobních údajů je výhradně Úřad pro ochranu osobních údajů (ÚOOÚ).

Při předávání osobních údajů mimo území ČR je nutné rozlišovat, do jaké země jsou data předávána. V případě předávání informací do států EHS nejsou nutná žádná zvláštní opatření k ochraně údajů, neboť oblast ochrany osobních údajů je harmonizována výše uvedenou směrnicí.

V případech předávání do zemí mimo EHS je nutné rozlišovat, zda jsou tyto země považovány za země poskytující adekvátní stupeň ochrany osobních údajů, či nikoliv.

Rozhodnutím Evropské komise jsou za země poskytující adekvátní stupeň ochrany osobních údajů pokládány následující země: Andorra, Argentina, Kanada, Švýcarsko, Faerské ostrovy, Guernsey, Ostrov Man, Izrael, Jersey, Nový Zéland, Uruguayská východní republika. Všechny ostatní země jsou tedy považovány za tzv. třetí země s nedostatečnou úrovní ochrany.

Spojené státy americké (USA) se od 6. 10. 2015 řadí k tzv. třetím zemím, tedy zemím s nedostatečnou úrovní ochrany osobních údajů, neboť Soudní dvůr Evropské unie v rozsudku ve věci C-362/14 Maximillian Schrems v. Data Protection Commissioner prohlásil za neplatné rozhodnutí Komise o odpovídající ochraně poskytované v USA, na základě kterého bylo dosud možné předávat osobní údaje do USA společnostem, které se zavázaly dodržovat zásady „bezpečného přístavu“ (Safe Harbor). Z pohledu EU se de facto jednalo o závazek USA, že předávaným údajům bude zajištěna ze strany této společnosti odpovídající úroveň ochrany podle stejných principů, kterými se řídí ochrana údajů v EU (omezení účelu, kvalita a přiměřenost zpracovávaných dat, bezpečnost, transparentnost, omezení dalšího předávání atd.).

Za zemi s nedostatečnou úrovní ochrany bude USA považováno až do doby, kdy vstoupí v platnost připravované rozhodnutí Evropské komise EU-US Privacy Shield, které nahradí původní rozhodnutí Safe Harbor. Poté bude opět možné předávat osobní údaje do USA společnostem, které se zaváží dodržovat zásady EU-US Privacy Shield.

Do doby, než bude přijata ze strany orgánů Evropské unie alternativa k programu Safe Harbor, je nutné zajistit předání osobních údajů do Spojených států amerických, které se ukáže být nezbytně nutným k naplnění stanovených účelů, jinými nástroji, jimiž lze zajistit odpovídající úroveň ochrany osobních údajů ve třetích zemích s nedostatečnou úrovní ochrany osobních údajů, mezi kterými se jako nejvhodnější jeví standardní smluvní doložky nebo závazná podniková pravidla. V podobném smyslu se vyjádřila i pracovní skupiny Evropské komise ve svém stanovisku, když konstatovala, že předávání dat je stále možné na základě standardních smluvních doložek nebo závazných podnikových pravidel.

V souvislosti s využitím standardních smluvních doložek je doporučeno Úřadem pro ochranu osobních údajů, aby správce/vývozce údajů jako jedna ze smluvních stran vždy důkladně zvážil rizika související s předáváním a prověřil, zda je vývozce údajů schopen dodržet zásady, k nimž se ve standardních smluvních doložkách zavázal. Je totiž především odpovědností vývozce údajů vyvinout přiměřené úsilí k tomu, aby zjistil, že je dovozce údajů schopen dostát svým závazkům vyplývajícím z doložek.

11. 3. 2016

Oddělení klinického hodnocení