Aktualizované instrumenty pro předávání osobních údajů do zemí mimo EU – standardní smluvní doložky verze 2021: rok a čtvrt na přesmluvnění
Pokud podnikáte v jakémkoliv oboru, jehož součástí je výměna dat (včetně osobních údajů) se zahraničím, a to především tím mimoevropským, pak jste si nejspíše s příchodem GDPR před třemi lety říkali, jak to bude dál s předáváním dat mimo GDPR zónu.
Dnes už snad ani nezáleží, zda se pohybujete v digitálním prostředí a zpracování dat je vaším denním chlebem, zajišťujete strojírenskou výrobu a globální management, pracujete s daty zákazníků i zaměstnanců mimo EU anebo v čistě lokálním byznysu využíváte podpory softwarových nástrojů pocházejících ze Silicon Valley. Otázku předávání osobních dat po třech letech zodpověděla Evropská komise, když připravila změnu dosavadního souboru jedenáct a dvacet let starých smluvních vzorů známých pod pojmem standardní smluvní doložky („SSD“).
Co jsou nové standardní smluvní doložky
Jedná se o rozhodnutí Evropské komise přijaté 4. června 2021, s účinností od 27. června 2021. Nové SSD připravila Komise v souladu s Obecným nařízením o ochraně osobních údajů („GDPR“) s cílem zohlednit rozhodnutí Soudního dvora EU ve věci Schrems II a následné doporučení EDPB týkající se tohoto rozhodnutí.
SSD představují ve smyslu čl. 46 GDPR nástroj pro vytvoření vhodných záruk ochrany osobních údajů pro přenos osobních údajů do třetích zemí, jejichž právní řád nezaručuje dostatečnou úroveň ochrany osobních údajů. Konkrétně se jedná o vzorový text smlouvy mezi správcem či zpracovatelem osobních údajů, který hodlá předat osobní údaje do třetí země mimo Evropskou unii, resp. mimo EHP (tzv. vývozce údajů), a příjemcem osobních údajů v této třetí zemi (tzv. dovozce údajů).
Proč tu máme nové SSD?
Přijaté SSD reagují na technologický a společenský pokrok a na potřebu zajistit dostatečnou míru ochrany osobních údajů. Stávající SSD byly přijaty v roce 2001, resp. 2010, a to ještě před účinností Obecného nařízení o ochraně osobních údajů („GDPR“), přičemž v praxi je bylo nutné často adaptovat, aby odpovídaly obchodní realitě spolupráce (např. i v rámci holdingových struktur globálních společností). To s sebou ale přinášelo riziko, že po takové adaptaci už nebudou považovány za SSD.
Nové SSD tak připravila Komise v souladu s GDPR a s cílem zohlednit známé rozhodnutí Soudního dvora EU ve věci Schrems II a následné doporučení Evropského sboru pro ochranu osobních údajů týkající se tohoto rozhodnutí.
Typicky nejčastější druhy používaných adaptací tak byly vlastně povýšeny na vzor a modulárním přístupem (viz též dále) byla umožněna vyšší míra povolených zásahů do textu SSD. Pochopitelně v SSD přibyly povinnosti, které se objevily v GDPR oproti předchozí úpravě a současně je zřetelně deklarováno, že SSD ve vztahu mezi správcem a zpracovatelem plní současně roli zpracovatelské smlouvy podle čl. 28 GDPR.
Od kdy?
Nová standardní smluvní ustanovení lze použít od vstupu rozhodnutí v účinnost, tedy od 27. června 2021.
Evropská komise ale zavedla dvě přechodná období.
- Díky prvnímu je možné, aby správci a zpracovatelé i nadále uzavírali stávající SSD (tedy podle vzorů z let 2001 a 2010), a to až do 26. září 2021 včetně, čímž byla poskytnuta ochranná doba především pro již rozjednané kontrakty a na přípravu kontraktů nových.
- Druhé přechodné období umožňuje správcům a zpracovatelům spoléhat se na staré SSD (tedy uzavřené před 27. zářím 2021), a to až do 27. prosince 2022, ale s výhradou, že operace zpracování, které jsou předmětem dosavadních SSD, zůstávají beze změny a že spoléhání se na tyto doložky zajistí, že se na předávání osobních údajů budou vztahovat dostatečné záruky.
Další články
Evropská unie rozšiřuje regulaci AI. Obsah generovaný nebo upravený umělou inteligencí musí být pro uživatele rozpoznatelný
Jednou z nejzásadnějších změn v oblasti regulace AI budou nová pravidla transparentnosti, která vstoupí v účinnost 2. srpna 2026. Zavádějí povinnost jakýkoli AI obsah označit, informovat o deepfakes a upozornit uživatele, pokud komunikuje s umělou inteligencí.
Svěřenské fondy v realitních transakcích: Transparentní evidence skutečných majitelů versus limity AML prověrky
Využívání institutu svěřenských fondů zažívá v České republice v posledních letech dynamický nárůst, a to nejen jako nástroj pro správu rodinného majetku (family office) či mezigenerační transfer, ale stále častěji i jako entita vystupující v roli investora na realitním trhu. Pro realitní zprostředkovatele a další povinné osoby však toto uspořádání představuje značnou výzvu v oblasti Anti-Money Laundering (AML) procesů.
Maximální ceny pohonných hmot vyhlašované Ministerstvem financí
Ministerstvo financí od 8. dubna tohoto roku vyhlašuje v reakci na aktuální situaci na světových trzích a v návaznosti na to na domácím trhu každý pracovní den maximální ceny pohonných hmot na následující den, v případě vyhlášení v pátek na následující víkend a pondělí. Jaký je právní základ tohoto jeho počínání?
Česká republika rozšiřuje povinný screening zahraničních investic
Zahraniční investoři zvažující vstup do cílových společností aktivních na českém trhu by měli věnovat pozornost zásadní změně v oblasti prověřování zahraničních investic (FDI). Od 1. listopadu 2025 se v důsledku novely zákona o prověřování zahraničních investic výrazně rozšířil okruh transakcí, které podléhají povinné notifikaci a schválení ze strany Ministerstva průmyslu a obchodu. Povinnému screeningu budou nově častěji podléhat investice zejména v digitálním, technologickém, zdravotnickém či energetickém sektoru.
Nová „tlačítková” povinnost pro e-shopy
Od června 2026 budou muset provozovatelé e-shopů umístit na svůj web speciální tlačítko, jehož prostřednictvím bude moci spotřebitel jednoduše odstoupit od smlouvy. Tuto povinnost přináší připravovaná novela občanského zákoníku, která vychází z unijní směrnice. Jejím cílem je zajistit, aby bylo odstoupení od smlouvy pro spotřebitele stejně snadné jako její uzavření.
