Contents
• Druh a množstvo osobných údajov, ktoré môže spoločnosť/organizácia spracovať, závisí od dôvodu ich spracovania (použitý právny dôvod) a od zamýšľaného použitia. Spoločnosť/organizácia musí dodržiavať niekoľko kľúčových pravidiel vrátane:
• osobné údaje sa musia spracúvať zákonným a transparentným spôsobom, musí sa zabezpečiť spravodlivosť voči jednotlivcom, ktorých osobné údaje sa spracúvajú („zákonnosť, spravodlivosť a transparentnosť“);
• musí existovať konkrétny účel spracovania údajov a spoločnosť/organizácia musí takýto účel jednotlivcom oznámiť pri zbere ich osobných údajov. Spoločnosť/organizácia nemôže jednoducho zbierať osobné údaje na nedefinované účely („obmedzenie účelu“);
• spoločnosť/organizácia musí zhromažďovať a spracúvať iba osobné údaje, ktoré sú nevyhnutné na splnenie tohto účelu („minimalizácia údajov“);
• spoločnosť/organizácia musí zabezpečiť, aby osobné údaje boli presné a aktuálne, so zreteľom na účely, na ktoré sa spracúvajú, a opraviť ich, ak nie sú správne („správnosť“);
• spoločnosť/organizácia nemôže ďalej používať osobné údaje na iné účely, ktoré nie sú zlučiteľné s pôvodným účelom;
• spoločnosť/organizácia musí zabezpečiť, aby sa osobné údaje neuchovávali dlhšie, ako je nevyhnutné na účely, na ktoré sa zozbierali („minimalizácia uchovávania“);
• spoločnosť/organizácia musí zaviesť vhodné technické a organizačné ochranné opatrenia, prostredníctvom ktorých zabezpečí bezpečnosť osobných údajov vrátane ochrany pred neoprávneným alebo nezákonným spracovaním a proti náhodnej strate, zničeniu alebo poškodeniu prostredníctvom vhodnej technológie („integrita a dôvernosť“).
• Dajú sa údaje spracovať na akýkoľvek účel?
• Nie. Účel spracúvania osobných údajov musí byť známy a jednotlivci, ktorých údaje sa spracúvajú, musia byť informovaní. Nemožno len uviesť, že osobné údaje sa budú zbierať a spracúvať. Nazýva sa to zásada „obmedzenia účelu“.
• Možno údaje použiť na iný účel?
• Áno, ale len v niektorých prípadoch. Ak vaša spoločnosť/organizácia zozbierala údaje na základe oprávneného záujmu, zmluvy alebo životne dôležitých záujmov, možno ich použiť na iný účel, no najskôr treba overiť, či je nový účel zlučiteľný s tým pôvodným.
• Treba prihliadnuť na nasledujúce body:
• prepojenie pôvodného účelu s novým/plánovaným účelom
• kontext, v ktorom sa údaje zbierajú (aký je vzťah medzi vašou spoločnosťou alebo organizáciou a jednotlivcom?);
• typ a povaha údajov (sú citlivé?);
• možné dôsledky plánovaného ďalšieho spracovania (aký vplyv to bude mať na jednotlivca?);
• existenciu vhodných ochranných opatrení (ako je šifrovanie alebo pseudonymizácia).
• Ak chce vaša spoločnosť /organizácia použiť údaje v štatistike alebo vedeckom výskume, nie je potrebné vykonať skúšku zlučiteľnosti.
• Ak vaša spoločnosť/organizácia zozbierala údaje na základe súhlasu alebo v dôsledku zákonnej požiadavky, nie je možné žiadne ďalšie spracovanie nad rámec toho, čoho sa týka pôvodného súhlasu alebo zákonného ustanovenia. Ďalšie spracovanie by si vyžadovalo nový súhlas alebo nový právny základ.
• Koľko údajov možno zozbierať?
• Osobné údaje by sa mali spracúvať len vtedy, keď nie je primerane uskutočniteľné vykonávať spracovanie iným spôsobom. V rámci možností sa uprednostňuje používanie anonymných údajov. Ak sú potrebné osobné údaje, mali by byť primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný na daný účel („minimalizácia údajov“). Vaša spoločnosť/organizácia ako prevádzkovateľ je povinná posúdiť, koľko údajov je potrebných, a zabezpečiť, aby sa nezbierali nerelevantné údaje.
• Ako dlho možno uchovávať údaje a treba ich aktualizovať?
• Údaje treba uchovávať čo najkratšie. Táto doba by mala zohľadňovať dôvody, pre ktoré vaša spoločnosť/organizácia potrebuje spracúvať údaje, ako aj právne záväzky na uchovávanie údajov počas pevne stanoveného času (napr. vnútroštátne právne predpisy o pracovnej sile, daniach alebo boji proti podvodom, ktoré vám ukladajú povinnosť uchovávať osobné údaje o vašich zamestnancoch počas vymedzeného obdobia, počas platnosti záruky za výrobok, atď.).
• Vaša spoločnosť/organizácia by mala stanoviť lehoty na vymazanie alebo preskúmanie uchovávaných údajov.
• Vo výnimočných prípadoch sa osobné údaje môžu uchovávať aj dlhšie na účely archivácie vo verejnom záujme alebo z dôvodov vedeckého či historického výskumu, pokiaľ sú zavedené primerané technické a organizačné opatrenia (ako je anonymizácia, šifrovanie atď.).
• Vaša spoločnosť/organizácia tiež musí zabezpečiť, aby uchovávané údaje boli správne a aktualizované.
• Aké informácie treba dať jednotlivcom, ktorých údaje sú zbierané?
• Pri zbieraní údajov treba osobám jasne oznámiť prinajmenšom tieto informácie:
• kto je vaša spoločnosť/organizácia (vaše kontaktné údaje a kontaktné údaje úradníka pre ochranu údajov, ak nejakého máte);
• prečo bude vaša spoločnosť/organizácia používať ich osobné údaje (účely);
• kategórie osobných údajov, ktorých sa to týka;
• právne opodstatnenie spracúvania ich údajov;
• ako dlho sa budú údaje uchovávať;
• kto ďalší by ich mohol dostať;
• či budú ich osobné údaje prenesené príjemcovi mimo EÚ;
• že majú právo kopírovať údaje (právo na prístup k osobným údajom) a ďalšie základné práva v oblasti ochrany údajov (viď úplný záznam práv);
• ich právo predložiť sťažnosť na Úrade na ochranu údajov;
• ich právo kedykoľvek zrušiť svoj súhlas;
• ak sa uplatňuje, existencia automatizovaného rozhodovania a uplatnený postup vrátane súvisiacich dôsledkov.
• Tieto informácie sa môžu poskytnúť písomne, ústne na žiadosť jednotlivca, keď sa totožnosť danej osoby dosvedčuje inými prostriedkami alebo elektronicky, ak je to vhodné. Vaša spoločnosť/organizácia to musí spraviť stručne, transparentne, zrozumiteľne a ľahko prístupným spôsobom v jasnom a jednoduchom jazyku a bezplatne.
• Keď sú údaje získané od inej spoločnosti/organizácie, vaša spoločnosť/organizácia by mala poskytnúť vyššie uvedené informácie dotknutej osobe najneskôr do jedného mesiaca odo dňa, keď vaša spoločnosť získala osobné údaje; alebo v prípade, ak vaša spoločnosť/organizácia komunikuje s jednotlivcom, keď sa údaje použijú na komunikáciu s týmto jednotlivcom; alebo ak sa plánuje poskytnutie inej spoločnosti, pri prvom poskytnutí osobných údajov.
• Vaša spoločnosť/organizácia je tiež povinná informovať jednotlivca o kategóriách údajov a zdroji, z ktorého boli údaje získané, vrátane prípadu, keď boli údaje získané z verejne dostupných zdrojov. Za osobitných okolností uvedených v článku 13 ods. 4 a článku 14 ods. 5 GDPR môže byť vaša spoločnosť/organizácia oslobodená od povinnosti informovať jednotlivca. Overte si, či sa táto výnimka na vašu spoločnosť/organizáciu uplatňuje.
• Aké údaje možno spracúvať a za akých podmienok?
• Typ a množstvo osobných údajov, ktoré môže vaša spoločnosť/organizácia spracúvať, závisí od dôvodu ich spracovania (uplatnený právny dôvod), a zamýšľaného použitia. Spoločnosť/organizácia musí dodržiavať niekoľko kľúčových pravidiel:
• osobné údaje musia byť spracúvané zákonne a transparentne, pričom sa musí zabezpečiť spravodlivosť voči jednotlivcom, ktorých osobné údaje sa spracúvajú („zákonnosť, spravodlivosť a transparentnosť“);
• musí existovať konkrétny účel spracúvania údajov a spoločnosť/organizácia musí tento účel jednotlivcom oznámiť, keď zbiera ich osobné údaje. Spoločnosť/organizácia nemôže jednoducho zbierať osobné údaje na neidentifikované účely („obmedzenie účelu“);
• spoločnosť/organizácia musí zbierať a spracúvať iba osobné údaje, ktoré sú nevyhnutné na naplnenie daného účelu („minimalizácia údajov“);
• spoločnosť/organizácia musí zabezpečiť, aby boli osobné údaje správne a aktuálne, s prihliadnutím na účely, na ktoré sa spracúvajú, a opraviť ich, ak nie sú správne („správnosť“);
• spoločnosť/organizácia nemôže ďalej použiť osobné údaje na iné účely, ktoré nie sú zlučiteľné s pôvodným účelom zberu;
• spoločnosť /organizácia musí zabezpečiť, aby osobné údaje neboli uchovávané dlhšie, ako je nutné na účely, na ktoré sa zozbierali („minimalizácia uchovávania“);
• spoločnosť/organizácia musí zaviesť primerané technické a organizačné ochranné opatrenia, ktorými sa zaisťuje ochrana osobných údajov vrátane ochrany pred neoprávneným alebo nezákonným spracovaním a pred náhodnou stratou, zničením alebo poškodením, a to použitím primeranej technológie („integrita a dôvernosť“).
• Aké pravidlá sa uplatňujú, ak moja organizácia prenáša údaje mimo EÚ?
• V dnešnom globalizovanom svete sa uskutočňuje veľké množstvo cezhraničných prenosov osobných údajov, ktoré sa niekedy uchovávajú na serveroch rôznych krajín. Ochrana zabezpečená všeobecným nariadením o ochrane údajov (GDPR) cestuje s údajmi, čo znamená, že pravidlá, ktorými sa chránia osobné údaje, sa uplatňujú aj naďalej bez ohľadu na to, kde údaje skončia. Uplatňuje sa to aj vtedy, keď sú údaje prenesené do krajiny, ktorá nie je členom EÚ (ďalej len "tretia krajina").
• GDPR poskytuje rôzne nástroje, ktoré zastrešujú prenos údajov z EÚ do tretej krajiny:
• tretiu krajinu niekedy možno prehlásiť za krajinu, ktorá ponúka primeranú úroveň ochrany, a to prostredníctvom rozhodnutia Európskej komisie („rozhodnutie o primeranosti“), čo znamená, že údaje možno prenášať do inej spoločnosti v danej tretej krajine bez toho, aby vývozca údajov bol povinný zabezpečiť dodatočné ochranné opatrenia alebo podliehal doplňujúcim podmienkam. Inými slovami, prenosy do „primeranej“ tretej krajiny budú porovnateľné s prevodom údajov v rámci EÚ.
• ak neexistuje rozhodnutie o primeranosti, prenos sa môže uskutočniť prostredníctvom ustanovenia primeraných ochranných opatrení a pod podmienkou, že jednotlivci majú k dispozícii vymožiteľné práva a účinnú právnu nápravu. Medzi takéto primerané ochranné opatrenia patria:
• v prípade skupiny podnikov alebo skupiny spoločností zapojených do spoločnej hospodárskej činnosti môžu spoločnosti prenášať osobné údaje na základe tzv. záväzných firemných pravidiel;
• zmluvné dohody s príjemcami osobných údajov s uplatnením napr. štandardných zmluvných doložiek schválených Európskou komisiou;
• pristúpenie ku kódexu správania alebo certifikačnému mechanizmu spoločne so získaním záväzných a vymožiteľných záväzkov od príjemcov o uplatnení primeraných ochranných opatrení v záujme ochrany prenášaných údajov;
• a napokon, ak sa plánuje prenos osobných údajov do tretej krajiny, na ktorú sa nevzťahuje rozhodnutie o primeranosti, a ak nie sú primerané ochranné opatrenia, prenos sa môže vykonať na základe niekoľkých výnimiek pre osobitné situácie, napr. keď jednotlivec výslovne súhlasil s navrhovaným prenosom po tom, ako mu boli poskytnuté všetky potrebné informácie o rizikách spojených s prenosom.
Save As PDF
Title:
Uplatnenie všeobecného nariadenia ochrany údajov (GDPR)
Keywords
Ochrana údajov, práva, povinnosti, registrácia, značka
Author:
AE
Languages:
English
Oboznámiť sa so základnými a všeobecnými konceptami nariadení o ochrane osobných údajov, duševnom vlastníctve a registri značiek prostredníctvom štúdia ich najdôležitejších aspektov, čím sa poskytne prehľad o právach a existujúcich povinnostiach.
Description:
Nové európske Nariadenie o ochrane osobných údajov nadobudlo účinnosť 25. mája 2018 vo všetkých krajinách Európskej únie. Toto nové nariadenie sa týka všetkých spoločností, akonáhle majú k dispozícii osobné údaje klientov, pracovníkov a tretích strán, čím posilňuje aktívny záväzok v oblasti ochrany základných práv, najmä tých, ktoré sa týkajú súkromia vo všetkých oblastiach, predovšetkým však na internete.
Získať vedomosti a zručnosti na oboznámenie sa s najdôležitejšími aspektmi systému ochrany osobných údajov. Správa a postupy, ktoré by sa mali týmto údajom poskytnúť; práva a povinnosti držiteľa a osoby zodpovednej za ne ako aj systém sankcií v prípade ich nedodržania.
Rovnako aj otázky relevantné pre spoločnosti, akými sú duševné vlastníctvo a registrácia značky.
• Druh a množstvo osobných údajov, ktoré môže spoločnosť/organizácia spracovať, závisí od dôvodu ich spracovania (použitý právny dôvod) a od zamýšľaného použitia. Spoločnosť/organizácia musí dodržiavať niekoľko kľúčových pravidiel vrátane: • osobné údaje sa musia spracúvať zákonným a transparentným spôsobom, musí sa zabezpečiť spravodlivosť voči jednotlivcom, ktorých osobné údaje sa spracúvajú („zákonnosť, spravodlivosť a transparentnosť“); • musí existovať konkrétny účel spracovania údajov a spoločnosť/organizácia musí takýto účel jednotlivcom oznámiť pri zbere ich osobných údajov. Spoločnosť/organizácia nemôže jednoducho zbierať osobné údaje na nedefinované účely („obmedzenie účelu“); • spoločnosť/organizácia musí zhromažďovať a spracúvať iba osobné údaje, ktoré sú nevyhnutné na splnenie tohto účelu („minimalizácia údajov“); • spoločnosť/organizácia musí zabezpečiť, aby osobné údaje boli presné a aktuálne, so zreteľom na účely, na ktoré sa spracúvajú, a opraviť ich, ak nie sú správne („správnosť“); • spoločnosť/organizácia nemôže ďalej používať osobné údaje na iné účely, ktoré nie sú zlučiteľné s pôvodným účelom; • spoločnosť/organizácia musí zabezpečiť, aby sa osobné údaje neuchovávali dlhšie, ako je nevyhnutné na účely, na ktoré sa zozbierali („minimalizácia uchovávania“); • spoločnosť/organizácia musí zaviesť vhodné technické a organizačné ochranné opatrenia, prostredníctvom ktorých zabezpečí bezpečnosť osobných údajov vrátane ochrany pred neoprávneným alebo nezákonným spracovaním a proti náhodnej strate, zničeniu alebo poškodeniu prostredníctvom vhodnej technológie („integrita a dôvernosť“). • Dajú sa údaje spracovať na akýkoľvek účel? • Nie. Účel spracúvania osobných údajov musí byť známy a jednotlivci, ktorých údaje sa spracúvajú, musia byť informovaní. Nemožno len uviesť, že osobné údaje sa budú zbierať a spracúvať. Nazýva sa to zásada „obmedzenia účelu“. • Možno údaje použiť na iný účel? • Áno, ale len v niektorých prípadoch. Ak vaša spoločnosť/organizácia zozbierala údaje na základe oprávneného záujmu, zmluvy alebo životne dôležitých záujmov, možno ich použiť na iný účel, no najskôr treba overiť, či je nový účel zlučiteľný s tým pôvodným. • Treba prihliadnuť na nasledujúce body: • prepojenie pôvodného účelu s novým/plánovaným účelom • kontext, v ktorom sa údaje zbierajú (aký je vzťah medzi vašou spoločnosťou alebo organizáciou a jednotlivcom?); • typ a povaha údajov (sú citlivé?); • možné dôsledky plánovaného ďalšieho spracovania (aký vplyv to bude mať na jednotlivca?); • existenciu vhodných ochranných opatrení (ako je šifrovanie alebo pseudonymizácia). • Ak chce vaša spoločnosť /organizácia použiť údaje v štatistike alebo vedeckom výskume, nie je potrebné vykonať skúšku zlučiteľnosti. • Ak vaša spoločnosť/organizácia zozbierala údaje na základe súhlasu alebo v dôsledku zákonnej požiadavky, nie je možné žiadne ďalšie spracovanie nad rámec toho, čoho sa týka pôvodného súhlasu alebo zákonného ustanovenia. Ďalšie spracovanie by si vyžadovalo nový súhlas alebo nový právny základ. • Koľko údajov možno zozbierať? • Osobné údaje by sa mali spracúvať len vtedy, keď nie je primerane uskutočniteľné vykonávať spracovanie iným spôsobom. V rámci možností sa uprednostňuje používanie anonymných údajov. Ak sú potrebné osobné údaje, mali by byť primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný na daný účel („minimalizácia údajov“). Vaša spoločnosť/organizácia ako prevádzkovateľ je povinná posúdiť, koľko údajov je potrebných, a zabezpečiť, aby sa nezbierali nerelevantné údaje. • Ako dlho možno uchovávať údaje a treba ich aktualizovať? • Údaje treba uchovávať čo najkratšie. Táto doba by mala zohľadňovať dôvody, pre ktoré vaša spoločnosť/organizácia potrebuje spracúvať údaje, ako aj právne záväzky na uchovávanie údajov počas pevne stanoveného času (napr. vnútroštátne právne predpisy o pracovnej sile, daniach alebo boji proti podvodom, ktoré vám ukladajú povinnosť uchovávať osobné údaje o vašich zamestnancoch počas vymedzeného obdobia, počas platnosti záruky za výrobok, atď.). • Vaša spoločnosť/organizácia by mala stanoviť lehoty na vymazanie alebo preskúmanie uchovávaných údajov. • Vo výnimočných prípadoch sa osobné údaje môžu uchovávať aj dlhšie na účely archivácie vo verejnom záujme alebo z dôvodov vedeckého či historického výskumu, pokiaľ sú zavedené primerané technické a organizačné opatrenia (ako je anonymizácia, šifrovanie atď.). • Vaša spoločnosť/organizácia tiež musí zabezpečiť, aby uchovávané údaje boli správne a aktualizované. • Aké informácie treba dať jednotlivcom, ktorých údaje sú zbierané? • Pri zbieraní údajov treba osobám jasne oznámiť prinajmenšom tieto informácie: • kto je vaša spoločnosť/organizácia (vaše kontaktné údaje a kontaktné údaje úradníka pre ochranu údajov, ak nejakého máte); • prečo bude vaša spoločnosť/organizácia používať ich osobné údaje (účely); • kategórie osobných údajov, ktorých sa to týka; • právne opodstatnenie spracúvania ich údajov; • ako dlho sa budú údaje uchovávať; • kto ďalší by ich mohol dostať; • či budú ich osobné údaje prenesené príjemcovi mimo EÚ; • že majú právo kopírovať údaje (právo na prístup k osobným údajom) a ďalšie základné práva v oblasti ochrany údajov (viď úplný záznam práv); • ich právo predložiť sťažnosť na Úrade na ochranu údajov; • ich právo kedykoľvek zrušiť svoj súhlas; • ak sa uplatňuje, existencia automatizovaného rozhodovania a uplatnený postup vrátane súvisiacich dôsledkov. • Tieto informácie sa môžu poskytnúť písomne, ústne na žiadosť jednotlivca, keď sa totožnosť danej osoby dosvedčuje inými prostriedkami alebo elektronicky, ak je to vhodné. Vaša spoločnosť/organizácia to musí spraviť stručne, transparentne, zrozumiteľne a ľahko prístupným spôsobom v jasnom a jednoduchom jazyku a bezplatne. • Keď sú údaje získané od inej spoločnosti/organizácie, vaša spoločnosť/organizácia by mala poskytnúť vyššie uvedené informácie dotknutej osobe najneskôr do jedného mesiaca odo dňa, keď vaša spoločnosť získala osobné údaje; alebo v prípade, ak vaša spoločnosť/organizácia komunikuje s jednotlivcom, keď sa údaje použijú na komunikáciu s týmto jednotlivcom; alebo ak sa plánuje poskytnutie inej spoločnosti, pri prvom poskytnutí osobných údajov. • Vaša spoločnosť/organizácia je tiež povinná informovať jednotlivca o kategóriách údajov a zdroji, z ktorého boli údaje získané, vrátane prípadu, keď boli údaje získané z verejne dostupných zdrojov. Za osobitných okolností uvedených v článku 13 ods. 4 a článku 14 ods. 5 GDPR môže byť vaša spoločnosť/organizácia oslobodená od povinnosti informovať jednotlivca. Overte si, či sa táto výnimka na vašu spoločnosť/organizáciu uplatňuje. • Aké údaje možno spracúvať a za akých podmienok? • Typ a množstvo osobných údajov, ktoré môže vaša spoločnosť/organizácia spracúvať, závisí od dôvodu ich spracovania (uplatnený právny dôvod), a zamýšľaného použitia. Spoločnosť/organizácia musí dodržiavať niekoľko kľúčových pravidiel: • osobné údaje musia byť spracúvané zákonne a transparentne, pričom sa musí zabezpečiť spravodlivosť voči jednotlivcom, ktorých osobné údaje sa spracúvajú („zákonnosť, spravodlivosť a transparentnosť“); • musí existovať konkrétny účel spracúvania údajov a spoločnosť/organizácia musí tento účel jednotlivcom oznámiť, keď zbiera ich osobné údaje. Spoločnosť/organizácia nemôže jednoducho zbierať osobné údaje na neidentifikované účely („obmedzenie účelu“); • spoločnosť/organizácia musí zbierať a spracúvať iba osobné údaje, ktoré sú nevyhnutné na naplnenie daného účelu („minimalizácia údajov“); • spoločnosť/organizácia musí zabezpečiť, aby boli osobné údaje správne a aktuálne, s prihliadnutím na účely, na ktoré sa spracúvajú, a opraviť ich, ak nie sú správne („správnosť“); • spoločnosť/organizácia nemôže ďalej použiť osobné údaje na iné účely, ktoré nie sú zlučiteľné s pôvodným účelom zberu; • spoločnosť /organizácia musí zabezpečiť, aby osobné údaje neboli uchovávané dlhšie, ako je nutné na účely, na ktoré sa zozbierali („minimalizácia uchovávania“); • spoločnosť/organizácia musí zaviesť primerané technické a organizačné ochranné opatrenia, ktorými sa zaisťuje ochrana osobných údajov vrátane ochrany pred neoprávneným alebo nezákonným spracovaním a pred náhodnou stratou, zničením alebo poškodením, a to použitím primeranej technológie („integrita a dôvernosť“). • Aké pravidlá sa uplatňujú, ak moja organizácia prenáša údaje mimo EÚ? • V dnešnom globalizovanom svete sa uskutočňuje veľké množstvo cezhraničných prenosov osobných údajov, ktoré sa niekedy uchovávajú na serveroch rôznych krajín. Ochrana zabezpečená všeobecným nariadením o ochrane údajov (GDPR) cestuje s údajmi, čo znamená, že pravidlá, ktorými sa chránia osobné údaje, sa uplatňujú aj naďalej bez ohľadu na to, kde údaje skončia. Uplatňuje sa to aj vtedy, keď sú údaje prenesené do krajiny, ktorá nie je členom EÚ (ďalej len "tretia krajina"). • GDPR poskytuje rôzne nástroje, ktoré zastrešujú prenos údajov z EÚ do tretej krajiny: • tretiu krajinu niekedy možno prehlásiť za krajinu, ktorá ponúka primeranú úroveň ochrany, a to prostredníctvom rozhodnutia Európskej komisie („rozhodnutie o primeranosti“), čo znamená, že údaje možno prenášať do inej spoločnosti v danej tretej krajine bez toho, aby vývozca údajov bol povinný zabezpečiť dodatočné ochranné opatrenia alebo podliehal doplňujúcim podmienkam. Inými slovami, prenosy do „primeranej“ tretej krajiny budú porovnateľné s prevodom údajov v rámci EÚ. • ak neexistuje rozhodnutie o primeranosti, prenos sa môže uskutočniť prostredníctvom ustanovenia primeraných ochranných opatrení a pod podmienkou, že jednotlivci majú k dispozícii vymožiteľné práva a účinnú právnu nápravu. Medzi takéto primerané ochranné opatrenia patria: • v prípade skupiny podnikov alebo skupiny spoločností zapojených do spoločnej hospodárskej činnosti môžu spoločnosti prenášať osobné údaje na základe tzv. záväzných firemných pravidiel; • zmluvné dohody s príjemcami osobných údajov s uplatnením napr. štandardných zmluvných doložiek schválených Európskou komisiou; • pristúpenie ku kódexu správania alebo certifikačnému mechanizmu spoločne so získaním záväzných a vymožiteľných záväzkov od príjemcov o uplatnení primeraných ochranných opatrení v záujme ochrany prenášaných údajov; • a napokon, ak sa plánuje prenos osobných údajov do tretej krajiny, na ktorú sa nevzťahuje rozhodnutie o primeranosti, a ak nie sú primerané ochranné opatrenia, prenos sa môže vykonať na základe niekoľkých výnimiek pre osobitné situácie, napr. keď jednotlivec výslovne súhlasil s navrhovaným prenosom po tom, ako mu boli poskytnuté všetky potrebné informácie o rizikách spojených s prenosom.