Autor: Robert Nešpůrek, Richard Otevřel
Pokud podnikáte v jakémkoliv oboru, jehož součástí je výměna dat (včetně osobních údajů) se zahraničím, a to především tím mimoevropským – a dnes už snad ani nezáleží, zda se pohybujete v digitálním prostředí a zpracování dat je vaším denním chlebem, zajišťujete strojírenskou výrobu a globální management, pracujete s daty zákazníků i zaměstnanců mimo EU anebo v čistě lokálním byznysu využíváte podpory softwarových nástrojů pocházejících ze Silicon Valley – pak jste si nejspíše s příchodem GDPR před třemi lety říkali, jak to bude dál s předáváním dat mimo GDPR zónu.
Tuto otázku po třech letech zodpověděla Evropská komise, když připravila změnu dosavadního souboru jedenáct a dvacet let starých smluvních vzorů známých pod pojmem standardní smluvní doložky („SSD“).
Jedná se o rozhodnutí Evropské komise přijaté 4. června 2021, s účinností od 27. června 2021. Nové SSD připravila Komise v souladu s Obecným nařízením o ochraně osobních údajů („GDPR“) s cílem zohlednit rozhodnutí Soudního dvora EU ve věci Schrems II a následné doporučení EDPB týkající se tohoto rozhodnutí.
SSD představují ve smyslu čl. 46 GDPR nástroj pro vytvoření vhodných záruk ochrany osobních údajů pro přenos osobních údajů do třetích zemí, jejichž právní řád nezaručuje dostatečnou úroveň ochrany osobních údajů. Konkrétně se jedná o vzorový text smlouvy mezi správcem či zpracovatelem osobních údajů, který hodlá předat osobní údaje do třetí země mimo Evropskou unii, resp. mimo EHP (tzv. vývozce údajů), a příjemcem osobních údajů v této třetí zemi (tzv. dovozce údajů).
Přijaté SSD reagují na technologický a společenský pokrok a na potřebu zajistit dostatečnou míru ochrany osobních údajů. Stávající SSD byly přijaty v roce 2001, resp. 2010, a to ještě před účinností Obecného nařízení o ochraně osobních údajů („GDPR“), přičemž v praxi je bylo nutné často adaptovat, aby odpovídaly obchodní realitě spolupráce (např. i v rámci holdingových struktur globálních společností). To s sebou ale přinášelo riziko, že po takové adaptaci už nebudou považovány za SSD.
Nové SSD tak připravila Komise v souladu s GDPR a s cílem zohlednit známé rozhodnutí Soudního dvora EU ve věci Schrems II a následné doporučení Evropského sboru pro ochranu osobních údajů týkající se tohoto rozhodnutí.
Typicky nejčastější druhy používaných adaptací tak byly vlastně povýšeny na vzor a modulárním přístupem (viz též dále) byla umožněna vyšší míra povolených zásahů do textu SSD. Pochopitelně v SSD přibyly povinnosti, které se objevily v GDPR oproti předchozí úpravě a současně je zřetelně deklarováno, že SSD ve vztahu mezi správcem a zpracovatelem plní současně roli zpracovatelské smlouvy podle čl. 28 GDPR.
Nová standardní smluvní ustanovení lze použít od vstupu rozhodnutí v účinnost, tedy od 27. června 2021.
Evropská komise ale zavedla dvě přechodná období.
Spoléhání se na toto přechodné období je dle našeho názoru velmi rizikové, neboť zpracovatelské operace málokdy zůstávají neměnné a pokusit se právně porovnat záruky podle starých a nových SSD nemusí být výhodnější než jednoduše sjednat kontrakt nový. Ostatně řada dozorových orgánů napříč EU již doporučovala, aby si vývozci údajů sjednali nové SSD co nejdříve a nečekali na konec přechodného období v příštím roce.
Cílem přijatých rozhodnutí o SSD je poskytnout společnostem komplexní smluvní nástroje k zaručení evropského standardu ochrany osobních údajů i po jejich exportu z EU, a to v souladu s požadavky obsaženými v GDPR.
Na rozdíl od stávajících SSD, které se vztahovaly pouze na omezené typy přenosu osobních údajů, přináší nové SSD tzv. modulární princip, který reaguje na komplexnost právních vztahů a různé okolnosti převodu.
Přijaté SSD jsou zvlášť zajímavé pro společnosti, kterým dosavadní SSD pro svou omezenost nevyhovovaly, anebo pro společnosti, u kterých přenos osobních údajů může být pro zrušení Privacy Shieldu ohrožen, ať už jde o správce, zpracovatele či další zpracovatele.
Možná jste zaslechli, že nové SSD přinášejí určité zjednodušení ve srovnání se stávající praxí při sjednávání doložek. V každém případě se však stále jedná o komplexní dokument nabízející mnoho možností, jak má vypadat výsledné řešení.
Z pohledu právní jistoty přináší tzv. moduly, které si vývozce údajů variantně vybere, možnost adaptovat ten samý vzor na konkrétní případ zpracování, tedy zda půjde o vztah správce – správce, nebo mezi dvěma zpracovateli, či dokonce případ v EU usazeného zpracovatele pro mimoevropského správce.
V rámci modulů pak ještě existuje možnost výběru konkrétních možností, např. režim dalších zpracovatelů. Vedle těchto modulů pak SSD obsahují pasáže, které měnit nelze, jinak hrozí celkem zřejmé riziko, že už nebudou naplněny požadavky GDPR.
SSD taktéž obsahují nadepsaná ustanovení, která musí smluvní strany doplnit, jako jsou např. kategorie předávaných osobních údajů, technická a organizační opatření aj.
Jako zásadní dopad rozhodnutí Schrems II lze v nových SSD spatřovat novou povinnost stran provést posouzení souladu právních předpisů třetí země, konkrétní okolnosti zpracování a veškerých technických a organizačních záruk.
Jinými slovy, SSD nemohou být jen formalitou, ale musí být reálně ověřeno, že jejich ustanovení jsou vymahatelná a že z nich cizí právo neudělá nefunkční dokument. Především vývozce údajů, jako primárně odpovědný podle GDPR, tedy musí pečlivě vyhodnotit všechny zmíněné okolnosti a zavést potřebná opatření (a ideálně je právě vtělit do SSD např. v rámci technických a organizačních opatření) pro zajištění souladu s požadavky evropského práva (např. šifrování údajů, pseudonymizaci apod.).
Dále přinesly nové SSD povinnosti pro dovozce údajů. Konkrétně se jedná o rozsáhlou informační povinnost vůči vývozci údajů v případě, že orgán veřejné moci požaduje převážené údaje. V této souvislosti zavádí SSD povinnost dovozce ve třetí zemi přezkoumávat zákonnost žádosti o přístup k osobním údajům ze strany veřejných orgánů třetí země a vést evidenci jeho kroků ve vyřizování těchto žádostí a na požádání prokázat vynaloženou snahu.
Dovozce údajů musí podle nových SSD neprodleně informovat vývozce údajů, pokud není z jakéhokoli důvodu schopen tyto doložky dodržet – nejen z jeho osobních důvodů, ale třeba díky změně legislativy dané země. Pokud tedy z jakýchkoli důvodů není dovozce schopen zabezpečit dodržení doložek, musí vývozce pozastavit přenos osobních údajů. Zavádí také právo vypovědět SSD, pokud do jednoho měsíce nedojde k nápravě, nebo dovozce podstatným způsobem poruší ustanovení SSD.
Nakonec lze uvítat, že SSD výslovně zavádí možnost volby rozhodného práva kteréhokoliv z členských států EU (jediným požadavkem je, že takové právo nebrání, aby subjekty údajů byly z těchto smluvních doložek – jako primárně dvojstranného smluvního vztahu – také oprávněné) a také možnost volby konkrétního soudu členského státu EU, který bude o věci rozhodovat v případě sporů.
Tato volba ovšem souvisí i s praktickým problémem, jak vlastně smluvní doložky uzavřít, aby fungovaly správně podle zvoleného práva a zavazovaly jak dovozce, tak vývozce osobních údajů, popřípadě další strany, které se pomocí tzv. dokovací doložky mohou k SSD přidat, což je užitečná funkce zejména pro rozvětvené globální koncerny.
Už jen méně než 17 měsíců zbývá do doby, než bude muset mít každý, kdo dnes používá původní SSD (anebo snad dokonce ještě spoléhá na zneplatněný Privacy Shield), vyjednány se svými obchodními partnery nové modernizované standardní smluvní doložky.
Náš tým v HAVEL & PARTNERS Vám pomůže
Radka Rainová