Autor: Robert Nešpůrek, Richard Otevřel
Loni v létě jsme vás informovali, že pro výměnu osobních údajů s mimoevropským zahraničím je potřeba počítat s novými standardními smluvními doložkami („SSD“), které v červnu 2021 přijala Evropská komise. Přechodné období jeden a půl roku se zdálo jako dostatečné i pro komplexní smluvní vztahy, které mohou zahrnovat globálně desítky společností. Nuže čas pokročil a pokud se ještě někdo do práce nepustil, tak už zbývá sotva šest měsíců k tomu, aby zajistil, že nejpozději 28. prosince bude mít předávání osobních údajů mimo Evropskou unii zajištěno novými smluvními vzory. Drobným bonusem pro opozdilce snad může být skutečnost, že Evropská komise mezitím reagovala na aktuální praxi při uzavírání SSD a vydala soubor otázek a odpovědí (Q&A), které hodlá i do budoucna pravidelně aktualizovat. Nejzajímavější postřehy přinášíme v textu níže.
SSD představují ve smyslu čl. 46 GDPR nástroj pro vytvoření vhodných záruk ochrany osobních údajů pro přenos osobních údajů do třetích zemí, jejichž právní řád nezaručuje dostatečnou úroveň ochrany osobních údajů. Konkrétně se jedná o vzorový text smlouvy mezi správcem či zpracovatelem osobních údajů, který hodlá předat osobní údaje do třetí země mimo Evropskou unii, resp. mimo EHP (tzv. vývozce údajů), a příjemcem osobních údajů v této třetí zemi (tzv. dovozce údajů).
Ač existují i další instrumenty pro tyto účely (například závazná podniková pravidla, tzv. BCR), jsou SSD dle průzkumu nejoblíbenějším nástrojem – až 88 % společností, které se účastnily průzkumu v roce 2019, jej používá právě pro zajištění compliance s GDPR při předávání osobních údajů mimo EU.
Podrobněji k charakteristice SSD vás odkážeme na náš předchozí příspěvek, ale i nadále platí, že ačkoliv pojmenování „vzorové doložky“ může implikovat jejich snadné používání, už i samotný obsah Q&A naznačuje něco jiného.
Evropskou komisí publikované SSD nepředstavují okamžitě použitelný dokument, v němž lze doplnit smluvní strany a stačí jej podepsat. Už jen struktura tzv. dokování, tedy příprava doložek na to, aby k nim mohly v budoucnu přistupovat další smluvní strany (využitelné zejména v globálních korporacích, jejichž složení se mění v průběhu času), totiž nepočítá s praktickým řešením toho, jak má kontraktace probíhat. Q&A tedy správně odkazují na to, že i způsob podepisování (zda je např. možné učinit elektronicky) závisí na zvoleném rozhodném právu a úpravě této otázky typicky v občanských zákonících dané země. A protože dokování předpokládá, že stávající smluvní strany musí souhlasit s přidáním např. dalšího zpracovatele, je vhodné si mechanismus zajištění takového souhlasu ujednat.
Evropská komise zdůrazňuje, že SSD nelze měnit (až na výslovně dané případy, kde ale naopak je změna spíše nutná) – výše uvedené se tak nejčastěji řeší tím, že samotné SSD se vkládají jako součást jiné smlouvy, která SSD takříkajíc „obalí“.
Následná práce s textem SSD vyžaduje při dodržení zákazu změn jiných částí (sankcí za porušení tohoto zákazu by byla praktická nepoužitelnost SSD jako automatického důkazu dodržení souladu s GDPR pro účely předávání osobních údajů mimo EU a nutnost dokládat zajištění záruk pro ochranu osobních údajů jiným způsobem), aby byly
(i) zvoleny správné moduly reflektující postavení vývozce a dovozce osobních údajů – jinak řečeno, smluvní vzor nejdříve proškrtat a vypustit nerelevantní pasáže,
(ii) doplněny volitelné údaje, jako např. rozhodné právo, dozorové orgány apod.,
(iii) vyplněny přílohy, kde by kromě základních parametrů smlouvy (např. kategorie předávaných osobních údajů) měl zaznít též popis technických a organizačních opatření k zajištění zabezpečení osobních údajů, a konečně
(iv) přidána vhodná dodatečná opatření pro zvýšení bezpečnostních záruk, což zmiňujeme níže ještě podrobněji.
Výsledné znění v praxi použitých SSD tak může být velice individualizované a značně odlišné od vzoru. Například volba správného modulu (jednoho ze čtyř) může být komplikována reálnou charakteristikou smluvních vztahů mezi dotčených stranami, tj. v rámci obchodní spolupráce může být importér dat (např. v Indii) částečně v roli správce a částečně v roli zpracovatele: tyto dvě polohy je třeba dostatečně rozlišit ve smlouvě, současně to však nebrání mít v té samé smlouvě sjednány oba moduly pokrývající obě eventuality.
V závěru upozorňují Q&A na situaci ohledně stále nepřekonaných následků rozhodnutí Schrems II (jejichž komplikovanost popisujeme zde) – i v případě využití SSD zůstává povinnost stran provést posouzení souladu právních předpisů třetí země (do níž se mají osobní údaje vyvážet), konkrétní okolnosti zpracování a veškerých technických a organizačních záruk. A přestože v pozici lépe či snadněji vyhodnotit uvedenou problematiku bude spíše dovozce v dané třetí zemi (společnost sídlící v Kalifornii bude snáz schopná zeptat se kalifornských právníků), je to nakonec vývozce údajů, kdo je primárně odpovědný podle GDPR za zhodnocení, jestli bude nutné navíc k SSD přidávat další opatření pro zajištění souladu s požadavky evropského práva (např. šifrování údajů, pseudonymizaci apod.). Pro tyto případy doporučujeme mít zpracovánu vhodnou robustní metodologii, pomocí níž je možné jak vyhodnotit právní systém země, kam chcete osobní údaje vyvážet, tak jaká opatření na základě takového vyhodnocení přijímat.
Už jen méně než šest měsíců zbývá do doby, než každý, kdo dnes používá původní SSD (anebo snad dokonce ještě spoléhá na zneplatněný Privacy Shield), bude muset mít vyjednány se svými obchodními partnery nové modernizované standardní smluvní doložky.
Náš tým v HAVEL & PARTNERS Vám pomůže
Radka Rainová
