Čekejte, prosím...
Autor:
Weinhold Legal
Zdroj:
Legal Alert 6/2021
Věcná hesla:
Doložka
Ochrana osobních údajů
Smluvní vztahy
Uložit word Uložit pdf Poslat odkaz
A A A

Hledaný výraz nenalezen

Hledaný § nenalezen
[Legal Alert 6/2021]
GDPR – předávání mimo EU/EHP. Nové standardní smluvní doložky platné od 27. června 2021!

Uveřejnění nových SSD

Evropská komise uveřejnila dne 4. června 2021 na svých internetových stránkách prováděcí rozhodnutí (2021/914) o standardních smluvních doložkách ve smyslu čl. 46 odst. 1 a 2 písm. c) GDPR (dále jen „SSD“). Přílohou tohoto rozhodnutí jsou právě nové SSD. V Úředním věstníku Evropské Unie byly vyhlášeny dne 7. června 2021 a účinnosti nabydou dne 27. června 2021. SSD jsou jedním z nástrojů, na základě kterých mohou být osobní údaje předávány mimo území EU/EHP.

Přijetí nových SSD je zcela zásadní, neboť se jedná o první SSD, které byly přijaty dle GDPR a reflektují tak aktuální vývoj v oblasti ochrany osobních údajů. Původní standardní smluvní doložky byly totiž přijaty za účinnosti dnes již překonané směrnice Evropského parlamentu a Rady 95/46/ES, která byla GDPR zrušena.

 

Charakter nových SSD

 

Modulární systém

Nové SSD jsou postaveny na modulárním systému, kdy namísto několika různých doložek, které byly využívány v minulosti v závislosti na tom, v jakém postavení se subjekty zapojené do předávání osobních údajů nacházely, jsou nyní pro všechny situace předávání osobních údajů do třetích zemí využívány jednotné SSD, které však budou upravovány využíváním a vynecháváním jednotlivých modulů, které tyto SSD obsahují, a to v závislosti na potřebách a charakteru konkrétních procesů předávání

Nové SSD například zaplňují mezeru, která v předchozích doložkách působila obtíže, když nově obsahují také úpravu předávání mezi zpracovateli osobních údajů a předávání od zpracovatele z EU/EHP ke správci mimo EU/EHP.

Ačkoliv je tento systému prezentován jako moderní, flexibilní a může působit dojmem, že systém SSD je sjednocením zjednodušen, teprve budoucí praxe ukáže, zda modulární systém nepovede k nepřehlednosti a ztížení jejich praktického využívání.

 

Reakce na Schrems II

Nové SSD mimo jiné reagují na složitou situaci, která vznikla okolo předávání osobních údajů do třetích zemí (zejména do USA) po rozsudku Soudního dvora Evropské unie (dále jen „SDEU“) ve věci C-311/18 známého pod označením „Schrems II“.

V tomto ohledu je zásadní záruka, kterou dle doložky 14 SSD poskytují smluvní strany, a sice že nemají důvod se domnívat, že právní předpisy a postupy ve třetí zemi určení, které se vztahují na zpracování osobních údajů dovozcem údajů, včetně jakýchkoli požadavků na zpřístupnění osobních údajů nebo opatření, kterými se povoluje přístup orgánům veřejné moci, brání dovozci údajů při plnění svých povinností podle těchto doložek.

Tato záruka reaguje právě na jeden z požadavků SDEU ve věci Schrems II, který apeloval na nutnost přezkumu právniho řádu dovozce osobních údajů a zajištění toho, aby osobní údaje byly fakticky (nikoliv pouze formálně) dostatečně chráněny při předávání založeném na SSD.

Nové SSD pak stanoví demonstrativní výčet toho, co strany při poskytování výše uvedené záruky musejí vzít v úvahu. Jedná se například o konkrétní okolnosti předávání, druh příjemce, účely zpracování, kategorie a formát předávaných osobních údajů, právní řád třetí země (zejména s ohledem na zpřístupnění údajů orgánům veřejné moci), veškeré dodatečné záruky apod. Toto posouzení pak strany musejí vyhotovit v písemné podobě a poskytnout jej na vyžádání dozorovému úřadu.

Nadto nové SSD zavádějí mechanismus pro řešení situace, kdy dovozce osobních údajů obdrží žádost orgánu veřejné moci ke zpřístupnění osobních údajů. V takovém případě je dovozce povinen vývozce osobních údajů neprodleně uvědomit, a pokud je to možné, musí uvědomit také subjekt údajů. Pokud by takový postup právní řád třetí země zakazoval, pak musí vynaložit veškeré úsilí k tomu, aby od tohoto zákazu bylo upuštěno a toto úsilí musí dovozce zdokumentovat a na žádost dokumentaci předložit vývozci.

Je třeba upozornit, že nové SSD jsou stále pouze smluvního charakteru a zavazují tedy pouze smluvní strany - dovozce a vývozce osobních údajů. Samy o sobě proto nejsou způsobilé překonat případné narušení náležité úrovně ochrany osobních údajů právním řádem třetí země.

 

Přechodné období

Rozhodnutí Evropské komise stanoví, že SSD vstupují v platnost dvacátým dnem po vyhlášení v Úředním věstníků Evropské Unie. Jak již bylo uvedeno, k vyhlášení došlo dne 7. června 2021, tudíž SSD vstoupí v platnost dne 27. června 2021 a od té doby je možné je využívat.

Naopak původní doložky se ke dni 27. září 2021 ruší. Po tomto datu již tedy nebude možné původní doložky pro další procesy předávání do třetích zemí využít a pro toto předávání bude nezbytné využít právě SSD. To však neznamená, že se předávání založené na původních doložkách stane po 27. září 2021 nezákonným. Rozhodnutí Evropské komise totiž stanoví období dalších patnácti měsíců, po které je možné se na předávání založené na základě původních doložkách nadále spoléhat, pokud jde o plnění smluv uzavřených před datem zrušení původních doložek, za předpokladu, že operace zpracování, které jsou předmětem smlouvy, zůstanou nezměněny.

Nejpozději do 27. prosince 2022 tak musejí být všechny původní doložky nahrazeny SSD. I proto lze doporučit, aby po 27. červnu 2021 byly využívány již nové SSD.

 

Co dělat nyní?

Pakliže jste v situaci, kdy se zabýváte předáváním osobních údajů do třetích zemí, tj. mimo země EU/EHP, a zákonnost předávání plánujete založit na SSD, pak doporučujeme využít nové SSD poté, co vstoupí v platnost.

Pakliže již předáváte osobní údaje do třetích zemí na základě původních doložek, pak je třeba myslet na to, že do konce roku 2022 je nezbytné tyto doložky nahradit SSD. Doporučujeme tento proces nenechávat na poslední chvíli a zahájit vyjednávání s dovozci osobních údajů co možná nejdříve.

V případě potřeby se na nás neváhejte obrátit. Náš specialiovaný tým Vám rád poskytne nezbytnou podporu v komplikované oblasti předávání osobních údajů do třetí zemí.