Aktualizované standardní smluvní doložky
Evropská komise přijala dne 4. června 2021 prováděcí rozhodnutí 2021/914 o standardních smluvních doložkách pro předávání osobních údajů do třetích zemí podle nařízení Evropského parlamentu a Rady 2016/679 („GDPR“), a také prováděcí rozhodnutí 2021/915 o standardních smluvních doložkách mezi správci a zpracovateli. Obě rozhodnutí Komise obsahují v příloze nové znění tzv. standardních smluvních doložek („SCC“).
SCC pro předávání osobních údajů do třetích zemí
V rámci Evropské unie platí volný pohyb osobních údajů. Když chtějí správci či zpracovatelé osobních údajů z Evropské unie předávat údaje do třetích zemí, musí nejprve zjistit, zda tato země zaručuje dostatečnou úroveň ochrany, tedy zda Komise vydala pro danou zemi příslušné rozhodnutí. Rozhodnutí o odpovídající úrovni ochrany osobních údajů platí aktuálně například pro Švýcarsko, Velkou Británii, Kanadu či Japonsko.
V případě, že rozhodnutí o odpovídající ochraně vydáno nebylo, jako je tomu například u Spojených států amerických, musí správce či zpracovatel z Evropské unie před předáním osobních údajů do takové země přijmout dodatečná opatření. Nejčastěji používaným opatřením je právě uzavření SCC s příjemcem osobních údajů ve třetí zemi; dále lze využít například závazných podnikových pravidel.
Důvody přijetí nových SCC pro předávání osobních údajů do třetích zemí
Nové SCC mají usnadnit předávání osobních údajů správcům nebo zpracovatelům usazeným ve třetí zemi a zajistit vhodné záruky pro mezinárodní předávání osobních údajů tak, aby úroveň ochrany byla v zásadě rovnocenná úrovni ochrany zaručené v Evropské unii. Postupně nahradí dosud používané SCC vycházející ze směrnice Evropského parlamentu a Rady 95/46/ES, kterou v květnu 2018 nahradilo GDPR.
Aktualizované SCC kombinují obecná ustanovení s modulárním přístupem. To znamená, že obsahují (i) ustanovení, která mají zůstat nezměněna bez ohledu na smluvní strany, které SCC uzavírají, a (ii) ustanovení, která mají být přidána či odebrána ze smlouvy v závislosti na smluvních stranách, které SCC uzavírají (správce a správce, správce a zpracovatel, zpracovatel a správce, nebo zpracovatel a zpracovatel).
Od kdy se nové SCC pro předávání osobních údajů do třetích zemí použijí
Dle rozhodnutí Komise bylo možné nové SCC užívat od 27. června 2021. Komise zároveň určila dvě období pro používaní staršího znění SCC. Prvním milníkem je 27. září 2021, a to s tím, že do tohoto data mohou správci a zpracovatelé nadále uzavírat starší znění SCC. SCC staršího znění uzavřené před 27. zářím 2021 se dle Rozhodnutí Komise považují za SCC poskytující vhodné záruky až do 27. prosince 2022, za předpokladu, že operace zpracování, které jsou předmětem SCC staršího znění, zůstávají beze změny a že spoléhání se na tyto doložky zajistí, že se na předávání osobních údajů budou vztahovat vhodné záruky.
Od 27. prosince 2022 se dle Rozhodnutí Komise očekává, že správci a zpracovatelé, při předávání osobních údajů do třetích zemí, plně přejdou na nové SCC. Nejpozději do 27. prosince 2022 bude tedy nutné veškeré SCC staršího znění uzavřené před 27. zářím 2021 dodatkovat či ukončit a nahradit je uzavřením nových SCC.
SCC k využití mezi správci a zpracovateli
V případech, kdy správce nepoužívá při zpracování osobních údajů jen své vlastní zaměstnance, ale i třetí subjekty v postavení zpracovatele, vzniká mu dle GDPR řada povinností. Jednou z nich je i povinnost uzavřít smlouvu o zpracování osobních údajů (případně jiný právní akt) s náležitostmi stanovenými v článku 28 GDPR.
Konkrétnější návod, jak má smlouva o zpracování osobních údajů vypadat, aby splňovala všechny požadavky GDPR, dosud správci neměli. Po vydání nového rozhodnutí Komise mohou za tímto účelem využít nové vzorové SCC, tedy jednoduchou smlouvu o zpracování osobních údajů, na kterou se mohou spolehnout. Nové SCC jsou navíc do jisté míry variabilní, kdy je smluvním stranám ponechána volba např. režimu jmenování dalších zpracovatelů apod.
Využití vzorových SCC ve vztahu mezi správcem a zpracovatelem není povinné. Správce a zpracovatel se tak při navázání smluvního vztahu mohou rozhodnout, zda spolu sjednají individuální smlouvu s obsahem vyhovujícím požadavkům GDPR, nebo zda zcela nebo zčásti využijí nové SCC přijaté v rámci rozhodnutí Komise. Pokud již smlouvu dle požadavků GDPR sjednanou mají, není nutné ji z důvodu vydání nových SCC měnit. Nicméně alespoň základní kontrolu obsahu uzavřených smluv podle nových SCC lze jen doporučit.
V případě jakýchkoli otázek k tématu osobních údajů se prosím obraťte na autory článku nebo na další členy advokátní kanceláře EY Law či týmu EY, se kterým spolupracujete.
Autoři:
| Zdroj: | EY |
