Předávání osobních údajů do zahraničí je jevem, bez kterého se dnes neobejde mezinárodní obchod, a je častý nejen v rámci globálních platform jako jsou SaaS[1] řešení, ale také při vnitropodnikové správě dat u nadnárodních korporací v rámci sdílených systémů (CRM, HR apod.).
Obecně
Většina smluv upravujících či týkajících se předávání osobních údajů mimo EU, resp. EHP, pracovala s tzv. standardními smluvními doložkami schválenými Evropskou komisí jako smluvní nástroj k zajištění náležité ochrany předávaných osobních údajů.
Co jsou to vlastně standardní smluvní doložky?
V rámci Evropské unie platí volný pohyb osobních údajů. Pokud ale chtějí správci či zpracovatelé osobních údajů z EU předávat osobní údaje do třetích zemí, které EU neuznala jako zemi poskytující odpovídající úroveň ochrany osobních údajů (uznanými jsou např. Japonsko či Velká Británie), musí správce či zpracovatel z EU před předáním osobních údajů do takové země buď (i) uzavřít s příjemcem osobních údajů ve třetí zemi smlouvu obsahující standardní smluvní doložky, (ii) přijmout společně s příjemcem závazná podniková pravidla zajišťující dostatečnou ochranu předávaných osobních údajů, nebo (iii) použít a s příjemcem ve smlouvě zakotvit vlastní smluvní doložky zajišťující dostatečnou ochranu předávaných osobních údajů.
Standardní smluvní doložky jsou jedním z nejpoužívanějších nástrojů pro vytvoření vhodných záruk ochrany osobních údajů pro jejich přenos do třetích zemí mimo EU.
Standardní smluvní doložky představují vzorový text smlouvy o zpracování osobních údajů uzavírané mezi správcem či zpracovatelem osobních údajů (tzv. vývozce údajů) a příjemcem osobních údajů v třetí zemi (tzv. dovozce údajů). Tento text je možné včlenit do jiné smlouvy či do obchodních podmínek nebo jej užít jako text samostatné smlouvy.
Nové standardní smluvní doložky
V červnu 2021, s platností od 27. června 2021, však Evropská komise v reakci na judikaturu přijala novou verzi standardních smluvních doložek pro předávání osobních údajů z EU s jinou strukturou, která by nyní měla pokrýt přenosy osobních údajů komplexnějším způsobem. Nové standardní smluvní doložky nahrazují ty předchozí z roku 2010.
Nové standardní smluvní doložky nejenže implementují požadavky obecného nařízení o ochraně osobních údajů (GDPR), ale zejména reagují na rozhodnutí Soudního dvora EU ve věci Schrems II[2], které zpochybnilo spolehlivost původních standardních smluvních doložek a označilo EU-US Privacy Shield za neplatný.
Nové standardní smluvní doložky kombinují obecná ustanovení s modulárním přístupem. To znamená, že se skládají z (i) pevných ustanovení, která nelze změnit, ii) modulů, které mají být do smlouvy přidány či odebrány v závislosti na smluvních stranách, a iii) nadepsaných ustanovení, která mají smluvní strany doplnit (např. kategorie předávaných osobních údajů).
Zatímco původní standardní smluvní doložky rozeznávaly pouze dva typy předávání osobních údajů (správce-zpracovatel a správce-správce), nové standardní smluvní doložky přináší větší flexibilitu a poskytují čtyři moduly pro čtyři typy potenciálních přenosů dat: (i) správce-správce, (ii) správce-zpracovatel, (iii) zpracovatel-zpracovatel a (iv) zpracovatel-správce.
Dále nové standardní smluvní doložky přináší nové instituty a ujednání, jako jsou tzv. dokovací doložky, informační povinnost příjemce osobních údajů vůči osobě předávající osobní údaje, povinnosti při zabezpečení nebo kontrolách či možnost volby rozhodného práva kteréhokoliv z členských států EU.
Co je nyní třeba udělat?
Všechny nové smlouvy uzavřené od 27. září 2021, které zahrnují předávání osobních údajů, budou muset obsahovat nové standardní smluvní doložky.
Pokud jde o historické smlouvy uzavřené před 27. září 2021, které zahrnují předávání osobních údajů, tyto budou muset ujednání o předávání osobních údajů, pokud pracují s původními standardními smluvními doložkami, nahradit do 27. prosince 2022 novým zněním standardních smluvních doložek.
Závěr
Pro správce a zpracovatele vzniká povinnost prověřit, zda dosavadní smlouvy o zpracování osobních údajů, resp. o jejich předávání, vyhovují požadavkům GDPR a nových standardních smluvních doložek.
Nesplní-li správce či zpracovatel zmíněné povinnosti, stane se veškeré předávání údajů na jejich základě nezákonným, tedy v rozporu s GDPR. Vedle rizika vysokých pokut od dozorových úřadů, a to včetně těch zahraničních, také ponesou odpovědnost za škodu či jinou újmu přímo dotčeným fyzickým osobám.
V případě jakýchkoli dotazů týkající se této problematiky či aktuální právní úpravy Vám jsme k dispozici. Neváhejte se na nás obrátit.
Mgr. Jakub Málek, partner – malek@plegal.cz
Kristýna Nguyenová, právní asistentka – nguyenova@plegal.cz
15. 10. 2021
[1] Software jako služba, (anglicky) Software as a Service.
[2] Rozsudek Soudního dvora EU ve věci C-311/