Předávání osobních údajů do třetích zemí

Přehled platných rozhodnutí Komise lze nalézt na webové stránce Evropské komise nebo na webové stránce Úřadu v rubrice Předávání založené na rozhodnutí o odpovídající úrovni ochrany osobních údajů. 

Z hlediska úrovně poskytované ochrany osobním údajům jsou tzv. bezpečné třetí země prakticky na úrovni členských států Evropské unie, resp. Evropského hospodářského prostoru, poněvadž předání do těchto zemí nevyžaduje ze strany předávajícího správce osobních údajů, příp. zpracovatele, přijetí žádných dodatečných opatření.   

Bezpečné třetí země, které zajišťují odpovídající úroveň ochrany osobních údajů, jsou podle čl. 45 odst. 1 obecného nařízení pouze ty země, které disponují platným rozhodnutím Evropské komise o odpovídající úrovni ochrany osobních údajů. 

Ratifikace Úmluvy č. 108 Rady Evropy proto sama o sobě neznamená, že daná země zajišťuje předávaným údajům odpovídající úroveň ochrany. 

Evropská komise pouze při rozhodování o tom, zda třetí země zajišťuje odpovídající úroveň ochrany, bude kromě jiných hledisek zohledňovat rovněž přistoupení dané třetí země k Úmluvě č. 108 a k jejímu dodatkovému protokolu [čl. 45 odst. 2 písm. c) GDPR a recitál 105].   

Nikoliv. Stále dle GDPR platí, že pokud správce nebo zpracovatel poskytl pro předávání do třetích zemí (USA) vhodné záruky pomocí standardních smluvních doložek není zapotřebí jakékoli zvláštní povolení dozorového úřadu ani není povinné tuto skutečnost oznamovat ÚOOÚ. Úřad rovněž neprovádí revizi či aprobaci smluvních doložek jednotlivých správců a zpracovatelů.  

Správce by měl vždy, když zamýšlí předat osobní údaje do třetí země, provést Transfer Impact Assessment, tzn. prověřit, zda vhodné záruky a ochranná opatření v doložkách skutečně zajišťují srovnatelnou úroveň ochrany zaručenou v Unii GDPR a Listinou. Zároveň je třeba vzít v úvahu i relevantní prvky právního řádu třetí země. Podrobněji v rubrice Rozsudek SDEU C-311/18 (Schrems II) a jeho důsledky - Rámec ochrany soukromí mezi EU a USA - Transfer Impact Assessment. 

Správce by měl řešit s dovozcem údajů konkrétní dopady uvedeného rozsudku SDEU, navrhovat řešení (např. uložení dat včetně metadat pouze na území EU, šifrování bez zadních vrátek apod.). Přitom by neměl zapomenout na zásadu transparentnosti a informovat subjekt údajů o konkrétních opatřeních a postupech, komu a do jakých zemí jsou údaje zpřístupňovány/předány, za jakých podmínek, jak jsou jeho údaje chráněny, případně rizika s tím související. Bližší vyjádření k dané věci zveřejnil Úřad zde.      

Pro každé předávání údajů do třetích zemí platí obecné pravidlo, že správce nebo zpracovatel musí poskytnout vhodné záruky, resp. zvolit vhodný nástroj pro předávání tak, aby úroveň ochrany osobních údajů předávaných do třetích zemí byla srovnatelná s úrovní ochrany poskytované právem EU. Vhodné záruky mohou být stanoveny pomocí právně závazného a vymahatelného nástroje mezi veřejnými subjekty (čl. 46 odst. 2 písm. a) GDPR) nebo s výhradou povolení od příslušného dozorového úřadu pomocí ustanovení určených k vložení do správních ujednání mezi veřejnými subjekty (čl. 46 odst. 3 písm. b) GDPR). Záruky by tedy měly být součástí mezinárodní smlouvy nebo správního ujednání, jakožto právně závazného a vymahatelného nástroje pro předání osobních údajů orgány veřejné moci nebo veřejnými subjekty v EU veřejným subjektům ve třetích zemích nebo mezinárodním organizacím. Jaké záruky by to měly být, objasňuje Evropský sbor v Pokynech Sboru 2/2020 k čl. 46 odst. 3 písm. b) a čl. 46 odst. 2 písm. a) obecného nařízení pro předání osobních údajů ze strany orgánů veřejné moci a veřejných subjektů států Evropského hospodářského prostoru orgánům veřejné moci a veřejným subjektům mimo Evropský hospodářský prostor. 

Podle těchto pokynů by každá mezinárodní dohoda měla obsahovat výčet a naplňování základních zásad ochrany osobních údajů (např. by měla jasně uvádět dotčené kategorie osobních údajů a jejich způsob zpracování, které jsou podle dohody předávány a zpracovávány, závazek stran přijmout vhodná technická a organizační opatření na ochranu osobních údajů, povinnost stran zachovávat transparentnost apod.). Dále by měla zajistit vymahatelná a účinná práva subjektů údajů. V dohodě by měla být uvedena práva, která subjekty údajů požívají, včetně konkrétních závazků stran taková práva zajistit (právo na přístup k osobním údajům, jejich opravu, výmaz, omezení zpracování subjektům údajů apod.), stanovit mechanismy, které zajišťují jejich uplatňování v praxi a vhodné nápravy v případě jejich porušení. Chybět by nemělo ani nastavení podmínek pro další předávání a sdílení údajů přijímacím veřejným subjektem příjemcům, kteří nejsou vázáni dohodou nebo zajištění mechanismu dohledu, zda jsou závazky vytvořené mezinárodní dohodou dodržovány.   

Standardní smluvní doložky podle rozhodnutí Komise 2021/914 jsou nejčastěji používaným nástrojem pro vytvoření vhodných záruk ochrany osobních údajů ve třetí zemi s nedostatečnou úrovní ochrany osobních údajů podle čl. 46 obecného nařízení. Pokud tedy vývozce údajů uzavře s dovozcem údajů standardní doložky, splní tak svou povinnost vybrat pro předávání do třetí země některý z bezpečných nástrojů. Nicméně to samo o sobě nezbavuje smluvní strany povinnosti provést předem analýzu přiměřenosti s cílem řešit případné dopady právních předpisů třetí země na dodržování doložek ze strany dovozce, zejména to, jakým způsobem budou vyřizovány závazné žádosti orgánů veřejné moci třetí země týkající se zpřístupnění předávaných osobních údajů. Tato analýza je obvykle označována jako Transfer Impact Assessment (TIA). Proto i Komise vybízí ve svém rozhodnutí o standardních smluvních doložkách správce a zpracovatele k poskytování dodatečných záruk prostřednictvím smluvních závazků, které standardní smluvní doložky doplní. Přijetí dodatečných záruk, pokud to bude nezbytné, budou muset být určeny případ od případu. Evropský sbor přijal doporučení 1/2020 poskytující vývozcům návod, podle kterého by měly postupovat při určování konkrétních doplňujících opatření včetně některých příkladů opatření, která by mohla být zavedena.   

Vývozce údajů, nejlépe ve spolupráci s příjemcem údajů, musí analyzovat, zda právní řád třetí země umožňuje příjemci údajů zachovávat záruky, ke kterým se podpisem standardních smluvních doložek zavazuje. 

Především se tedy ve svém hodnocení musí zaměřit na konkrétní právní úpravu, kterou se řídí hospodářské odvětví, v rámci kterého k předávání dochází, a v rámci toho pak zvláště na otázku, zda právní řád třetí země neukládá příjemci povinnost vydat či zpřístupnit předané osobní údaje státním orgánům třetí země plošným způsobem, který jde na rámec toho, co je v demokratické společnosti nezbytné a přiměřené k zajištění národní obrany, národní a veřejné bezpečnosti, prevence a vyšetřování trestních činů nebo jiných důležitých, především hospodářských nebo finančních, zájmů státu. 

K vyhodnocení otázky, zda právní úprava třetí země jde nad rámec toho, co je nezbytné v demokratické společnosti, je třeba rovněž vyhodnotit, zda povinnost vydat či zpřístupnit předané osobní údaje státním orgánům třetí země respektuje podstatu základních práv a svobod podle Listiny základních práv EU, tedy konkrétně zda pravomoc k přístupu k předaným údajům ze strany státních orgánů třetí země má jasně definovaná pravidla, zda je přiměřená k deklarovaným cílům, zda existuje nezávislý dohled nad výkonem takové pravomoci, a zda má jednotlivec k dispozici, byť třebas až po uzavření vyšetřování, možnost domoci se účinné nápravy včetně náhrady škody.

S ohledem na příjemce údajů, účely zpracování, kategorie údajů je také třeba vyhodnotit, zda dochází v praxi k žádostem státních orgánů k přístupu k předaným údajům v daném odvětví, a zda se tak děje v míře obvyklé v demokratické společnosti; jinými slovy, zda jsou definovaná pravidla přístupu k předaným údajům ze strany státních orgánů skutečně dodržována, případně, při neexistenci takových pravidel, zda existují náznaky toho, že si státní orgány třetí země vynucují přístup k předaným osobním údajům plošným způsobem nad rámec toho, co je obvyklé v demokratické společnosti.

Podrobnější informace lze nalézt v doporučení EDPB 1/2020 k opatřením doplňujícím stávající nástroje předávání osobních údajů pro zajištění EU úrovně ochrany osobních údajů.   

Povinnost vyhodnotit, zda jsou záruky poskytované standardními smluvními doložkami pro dané předání dostatečné nebo zda je třeba přijmout doplňková opatření, je uložena vývozci osobních údajů. 

Dovozce údajů má být v souladu s doložkou 14 písm. c) maximálně nápomocen vývozci údajů při provádění daného hodnocení.

Ano. Vývozce takové posouzení před předáním osobních údajů do třetí země provést nejenom může, ale musí.

Vedle vlastních právních předpisů třetí země nutných pro vyhodnocení konkrétní právní úpravy hospodářské odvětví, v rámci kterého k předávání dochází, se doporučuje při vyhodnocení praxe přístupu státních orgánů třetí země k předaným osobním údajům vzít v úvahu jednak judikaturu,  dále také zprávy nezávislých dozorových nebo parlamentních orgánů třetí země, usnesení a zprávy světových či regionálních mezinárodních organizací typu OSN či Rady Evropy, ale i zprávy vypracované nebo zadané obchodními komorami, podnikatelskými, profesními a oborovými sdruženími, vládními diplomatickými, obchodními a investičními agenturami, akademickými institucemi a organizacemi občanské společnosti vč. nevládních organizací, které poskytují spolehlivé informace o uplatňování právních předpisů v praxi anebo o žádostech státních orgánů o přístup k předaným údajům v daném odvětví, případně i dokumentaci žádostí o přístup k předaným údajům konkrétního dovozce, vypracovanou a potvrzenou jeho vrcholným vedením, jak je uvedeno v pozn. 12 textu standardních smluvních doložek a v příloze 3 doporučení EDPB 1/2020 k opatřením doplňujícím stávající nástroje předávání osobních údajů pro zajištění EU úrovně ochrany osobních údajů.

V případě, že vyhodnocení práva a praxe třetí země přepokládaného doložkou 14 písm. b) pododst. i) a ii) standardních smluvních doložek dojde vývozce údajů k závěru, že příjemce není schopen zachovávat záruky, ke kterým se podpisem standardních smluvních doložek zavazuje, musí vývozce přijmout taková doplňková smluvní, technická anebo organizační opatření ve smyslu doložky 14 písm. b) pododst. iii) standardních smluvních doložek, která zajistí, že příjemce bude schopen naplnit záruky, ke kterým se podpisem standardních smluvních doložek zavazuje. Příklady takových opatření lze nalézt v příloze 2 doporučení EDPB 1/2020 k opatřením doplňujícím stávající nástroje předávání osobních údajů pro zajištění EU úrovně ochrany osobních údajů.   

Standardní smluvní doložky podle rozhodnutí Komise 2021/914 zahrnují v příslušných modulech náležitosti zpracovatelské smlouvy podle čl. 28 obecného nařízení, takže uzavřená smlouva, jejíž součástí jsou uvedené standardní smluvní doložky s pečlivě vypracovanými odpovídajícími přílohami, je zároveň nástrojem pro vytvoření vhodných záruk předávání osobních údajů i zpracovatelskou smlouvou ve smyslu čl. 28 obecného nařízení.   

Povolení Úřadu k předání osobních údajů je nutné pouze v případech, kdy správce hodlá předání realizovat na základě nestandardních nástrojů pro vytvoření vhodných záruk podle GDPR (tzn. nestandardní smluvní doložky; správní ujednání mezi orgány veřejné moci nebo veřejnými subjekty, která zahrnují vymahatelná a účinná práva subjektů údajů). I v těchto neobvyklých případech se spíše než o povolení předání jedná o schválení nestandardního nástroje pro předávání osobních údajů, které vyžaduje plné uplatnění mechanismu jednotnosti včetně vydání kladného stanoviska Evropským sborem pro ochranu osobních údajů. 

Povinnost informovat Úřad stanoví GDPR pro případy jednorázového předání osobních údajů do třetích zemí omezeného počtu subjektů údajů, pokud je to nezbytné pro účely závažných oprávněných zájmů správce, jež nepřeváží nad zájmy nebo právy a svobodami subjektů údajů, a pokud nelze uplatnit žádnou z výjimek.     

Závazná podniková pravidla schválená vedoucím dozorovým úřadem ještě v režimu směrnice 95/46/ES zůstávají v platnosti, dokud je daný vedoucí dozorový úřad nezmění, nenahradí nebo nezruší. 

Skupina podniků je přitom povinna k datu účinnosti GDPR uvést schválená závazná podniková pravidla do souladu s nařízením a informovat všechny členy skupiny a prostřednictvím vedoucího dozorového úřadu i dozorové úřady všech členských zemí Evropské unie o relevantních provedených změnách. 

Takto upravená závazná podniková pravidla lze používat jako vhodné záruky bez nutnosti absolvování nové schvalovací kooperační procedury. 

Bližší informace a odkazy na jednotlivá stanoviska WP29 lze nalézt také na webové stránce Úřadu v rubrice Závazná podniková pravidla.    

Nikoliv. Příslušným dozorovým úřadem uvedeným v čl. 47 odst. 1 GDPR se míní vedoucí dozorový úřad pro závazná podniková pravidla (BCR Lead). V rámci Evropské unie jeden jediný dozorový úřad, určený k vedení schvalovací kooperační procedury a další komunikaci s danou skupinou podniků, jehož navržení je prvním krokem, který musí skupina podniků učinit v rámci žádosti o schválení svých závazných podnikových pravidel. 

Schvalovací kooperační procedura je definována stanoviskem WP263 Pracovní dokument vykládající schvalovací proceduru závazných podnikových pravidel pro správce a pro zpracovatele v režimu obecného nařízení o ochraně osobních údajů. 

Výsledkem této schvalovací kooperační procedury je rozhodnutí vedoucího dozorového úřadu pro závazná podniková pravidla o schválení daných závazných podnikových pravidel. Takto schválená závazná podniková pravidla představují vhodné záruky podle obecného nařízení a již nevyžadují žádné zvláštní povolení jiných dotčených dozorových úřadů.   

Správce osobních údajů nemůže předávat osobní údaje z Evropské unie do třetích zemí soudním nebo správním orgánům třetí země, a to ani na základě GDPR. 

Pokud má proběhnout předání osobních údajů v souladu s GDPR, musí být žádost soudního nebo správního orgánu třetí země o předání osobních údajů adresována v souladu s úmluvami o vzájemné právní pomoci nebo jinými mezinárodními dohodami příslušným soudním nebo správním orgánům Evropské unie nebo členského státu Evropské unie, případně jiným subjektům, stanoveným těmito mezinárodními dohodami, které jediné jsou oprávněny v souladu s těmito mezinárodními dohodami k zajištění nezbytných osobních údajů a jejich předání do třetí země. 

Stejně tak není možné zaměňovat na jedné straně veřejný zájem, který musí být uznán právem Evropské unie nebo členského státu Evropské unie, a na druhé straně veřejný zájem třetí země. Proto je možné výjimku podle GDPR aplikovat opět pouze v případech, kdy lze veřejný zájem vyvodit z práva Evropské unie nebo členského státu Evropské unie, resp. z mezinárodních dohod, které jsou součástí tohoto práva. Předání osobních údajů pak může být realizováno pouze způsobem daným těmito mezinárodními dohodami. 

Bližší informace lze nalézt v Pokynech Evropského sboru pro ochranu osobních údajů k derogacím čl. 49 obecného nařízení, str. 5 a 10.   

V daném případě stejně jako v jiných případech právních úkonů spojených se soudními a správními procesy ve třetích zemích přichází pro předání osobních údajů do třetí země v úvahu pouze výjimka daná ustanovením GDPR, podle níž je předání možné, pokud „je nezbytné pro určení, výkon nebo obhajobu právních nároků“. 

Daná výjimka je přitom určena pro případy, ve kterých správce, resp. jeho advokátní kancelář, hodlá předat jím zpracovávané osobní údaje pro obranu svých vlastních zájmů, pro odvrácení hrozby pokuty a v jiných podobných případech, takže předání osobních údajů na základě této výjimky nemůže být vynuceno protistranou, resp. její advokátní kanceláří, ani soudními nebo správními orgány třetí země. 

Blíže viz Pokyny Evropského sboru pro ochranu osobních údajů k derogacím čl. 49 obecného nařízení, str. 11. 

V případě, že spolupracující cestovní kancelář zpracovává osobní údaje za svými účely a určuje prostředky zpracování, je v souladu s definicí podle GDPR správcem osobních údajů. Také incomingové cestovní kanceláře ve třetí zemi i konkrétní hotely obvykle zpracovávají nezbytné osobní údaje klientů za účely poskytnutí nasmlouvaných služeb v roli samostatných správců osobních údajů. Rovněž letecké společnosti jsou při zpracování nezbytných osobních údajů svých pasažérů za účelem zajištění letecké přepravy těchto pasažérů nepochybně v roli správce osobních údajů. 

Obecně platí, že správci osobních údajů jsou při předání osobních údajů do třetích zemí s nedostatečnou úrovní ochrany osobních údajů povinni vytvořit vhodné záruky předávaným osobním údajům ve třetí zemi. Ve výjimečných případech mohou správci předání realizovat na základě některé z výjimek uvedených v čl. 49 odst. 1 písm. a) až g) GDPR. 

V Pokynech Evropského sboru pro ochranu osobních údajů k derogacím čl. 49 obecného nařízení je na str. 9 přímo uvedeno, že na předání osobních údajů klientů cestovních kanceláří hotelům a jiným poskytovatelům služeb cestovního ruchu ve třetích zemích nezbytných pro plnění klientské smlouvy lze uplatnit výjimku podle čl. 49 odst. 1 písm. b) GDPR.

Ano. V zásadě platí, že nikdo nemůže bránit přijetí většího množství záruk ochrany osobních údajů, než zákon vyžaduje, takže nic nebrání vývozcům nebo dovozcům údajů, aby předání osobních údajů ošetřili zároveň více způsoby.

Typicky mnozí dovozci údajů ze Spojených států amerických, a mezi nimi i velcí poskytovatelé IT služeb, zajistili odpovídající úroveň ochrany osobních údajů předaných ze strany vývozců osobních údajů z EU svou certifikací v programu Rámec ochrany soukromí, ale na druhé straně zároveň nadále ve své smluvní dokumentaci ošetřují předání ze strany vývozců osobních údajů (často jejich dceřiných společností usazených v EU) z EU standardními smluvními doložkami podle prováděcího rozhodnutí Komise ze dne 15. června 2021, o standardních smluvních doložkách pro předávání osobních údajů do třetích zemí podle nařízení 2016/679, a vypracovávají Transfer Impact Assessment podle návodu daného Doporučením EDPB 1/2020 o opatřeních, která doplňují nástroje pro předávání s cílem zajistit soulad s úrovní ochrany osobních údajů v EU.

V situaci, kdy není vyloučeno, že rozhodnutí Komise o odpovídající ochraně poskytované Rámcem ochrany soukromí bude zpochybněno Soudním dvorem EU, je takový postup i pochopitelný.

Neřeší. V roce 2023 EDPB vydal definitivní znění Pokynů 5/2021 ke vzájemné souhře mezi čl. 3 a ustanoveními o předávání osobních údajů kapitoly V obecného nařízení, kde v úvodním § 9 potvrdil tři kumulativní kritéria, která musejí být splněna, aby bylo možné operaci zpracování považovat za předání podle kapitoly V obecného nařízení. Podle těchto tří kritérií se pokyny zabývají, stručně vyjádřeno, těmi operacemi zpracování, které spočívají v přenosu nebo zpřístupnění údajů ze strany a) správce nebo zpracovatele b) podléhajícího obecnému nařízení podle čl. 3 tohoto nařízení c) jinému správci nebo zpracovateli ve třetí zemi nebo mezinárodní organizaci.

Je zřejmé, že pod tuto definici se vejde naprostá většina scénářů předávání osobních údajů, a to včetně předání osobních údajů správcům nebo zpracovatelům ve třetích zemích, kteří podléhají GDPR podle čl. 3 odst. 2, i předání ze strany takových správců nebo zpracovatelů dalším dovozcům.

Avšak opatrná formulace § 9 pokynů dává najevo, že tato tři kritéria nepodávají vyčerpávající definici předávání osobních údajů. Stranou uvedené definice totiž zůstávají přenosy údajů mezi provozovnami podle čl. 3 odst. 1 obecného nařízení. Problému těchto přenosů mezi provozovnami jednoho správce nebo jednoho zpracovatele se pokyny záměrně nevěnovaly, a to nejen z toho důvodu, že nebyla nalezena shoda, zda jde či nejde o předání podle kapitoly V obecného nařízení (ačkoliv většina delegací uznávala, že by tyto přenosy logicky měly být předáním podle kapitoly V), ale především z důvodu obtížně řešitelných problémů, které uplatnění kapitoly V na přenosy mezi provozovnami podle čl. 3 odst. 1 přináší.

Prvním problémem je faktická neexistence nástrojů podle čl. 46, kterými by předání mezi provozovnami jedné entity, jediného správce nebo jediného zpracovatele bylo možné ošetřit, a to zvláště v případech, kdy jsou takovými provozovnami odštěpné závody bez právní subjektivity.

Druhým problémem je neexistence kritérií pro rozhodnutí, zda se určitá entita, typicky opět odštěpný závod bez právní subjektivity, nachází vůči své „mateřské“ společnosti v pozici provozovny podle čl. 3 odst. 1 nebo v pozici samostatného správce nebo samostatného zpracovatele. Všechny tyto tři scénáře jsou možné, ale všechny tři přinášejí obtížně řešitelné právní problémy, které však nejsou nové, protože se s nimi každý dozorový úřad potýkal více či méně úspěšně i v dobách Směrnice 95/46/ES.

Problém přenosů údajů mezi provozovnami podle čl. 3 odst. 1 tedy bude předmětem dalších diskusí.

Ano. Otázka vyvstává nejčastěji v situaci, kdy správce z EU předává údaje do třetí země na základě rozhodnutí Komise o odpovídající úrovni ochrany osobních údajů zpracovatelům majícím dílčí zpracovatele v jiných třetích zemích s nedostatečnou úrovní ochrany osobních údajů. Jsou tito správci z EU odpovědní za posouzení rizik souvisejících s dalším předáváním těmto dílčím zpracovatelům?

Východiskem pro odpověď je přitom konstatování, vtělené i do textu § 19 Pokynů 5/2021 ke vzájemné souhře mezi čl. 3 a ustanoveními o předávání osobních údajů kapitoly V obecného nařízení, podle kterého správce nepochybně zůstává vůči subjektům údajů zodpovědný za zpracování jejich údajů i poté, kdy údaje předá zpracovateli a ten dílčím zpracovatelům, a to bez ohledu na to, zda jsou údaje přenášeny jen v rámci EU nebo zda dochází k předání osobních údajů do třetí země, resp. bez ohledu na to, zda zpracovatel a dílčí zpracovatelé podléhají GDPR či nikoliv.

Proto i v základním scénáři, kdy je vývozcem údajů zpracovatel podléhající GDPR, který provádí Transfer Impact Assessment (ať už je usazený v EU či nikoliv), tak správce by měl přinejmenším teoreticky ověřit, zda tento Transfer Impact Assessment je proveden správně a odpovídá skutečnosti.

Analogicky i v konkrétním případě, kdy údaje předává zpracovatel sídlící ve třetí zemi disponující rozhodnutím Komise o odpovídající úrovni ochrany osobních údajů (takže jím realizované další předání osobních údajů – onward transfer – proběhne se zárukami, které Komise svým rozhodnutím deklarovala za „v zásadě rovnocenné“), je původní správce odpovědný za dále předané údaje. Z čehož vyplývá, že přinejmenším teoreticky by správce měl ověřit, že zpracovatel skutečně předává osobní údaje dílčím zpracovatelům se „v zásadě rovnocennými“ zárukami, jak je tomu zavázán, ať už právním řádem třetí země nebo účastí v programu Rámec ochrany soukromí (jinými slovy že zpracovatel plní své závazky).