Evropská komise připravuje nový vzor smlouvy pro předávání údajů mimo EU
Při předávání osobních údajů mimo EU je nutné přijímat dodatečná opatření k ochraně práv fyzických osob. Například uzavřít smlouvu s příjemcem dat ve třetí zemi. Komise nyní připravuje další vzorové smluvní doložky.
Proč řešit předávání osobních údajů mimo EU?
Obecné nařízení o ochraně osobních údajů (GDPR) vychází z toho, že v rámci Evropské unie jsou pravidla pro ochranu fyzických osob při zpracování údajů nastavena jednotně. Proto není důvodu toku dat v rámci EU bránit.
Za hranicemi Evropské unie, resp. Evropského hospodářského prostoru, už to neplatí. Organizace, která data předává do tzv. třetí země, musí zajistit, aby byla v odpovídajícím rozsahu zajištěna práva a svobody dotčených lidí. Bez ohledu na to, jestli osobní údaje předává ve skupině, využívá dodavatele ze třetí země nebo je sama dodavatelem, zpracovatelem údajů, který shromažďuje údaje pro správce se sídlem někde za mořem.
Typické nástroje pro ochranu dat
Pro zajištění dostatečné úrovně ochrany osobních údajů ve třetí zemi nabízí GDPR několik základních nástrojů:
Rozhodnutí o odpovídající ochraně osobních údajů
Evropská komise může rozhodnout, že určitá země, území nebo konkrétní odvětví ve třetí zemi má nastavena pravidla, která jsou rovnocenná naší úrovni ochrany osobních údajů. Mezi tyto bezpečné státy či oblasti patří např. Velká Británie, Švýcarsko, Japonsko, Jižní Korea, komerční sektor v Kanadě nebo USA, resp. ty americké společnosti, které se účastní programu Data Privacy Framework.
Závazná podniková pravidla
Skupina podniků, která má pobočky či dceřiné společnosti jak v EU, tak mimo ni, může přijmout vnitřní pravidla, jak si bude data předávat a jak bude zajišťovat ochranu práv subjektu údajů. Pokud jim pravidla schválí vedoucí dozorový orgánv EU, mohou na jejich základě údaje také předávat.
Smluvní nastavení práv a povinností
V praxi jednou z nejvyužívanějších možností je detailní úprava práv a povinností mezi vývozcem dat z EU a jeho dovozcem ve třetí zemi prostřednictvím smlouvy. Komise k tomu vydala vzorové standardní smluvní doložky, které pokrývají takřka všechny varianty předání osobních údajů a vztahů obou hlavních aktérů. Správce předává údaje správci mimo EU, správce využívá zpracovatele osobních údajů s místem zpracování mimo EU, naopak v Evropské unii sídlí zpracovatel a správce jinde atd.
Pro jistotu doplňme: Žádné z těchto opatření není samospasitelné. Před zahájením předávání osobních údajů mimo EU, stejně jako u každého komplexnějšího zpracování dat, byste měli zvážit, zda i přes přijaté opatření (smlouva, závazná podniková pravidla atd.) nejsou dotčené osoby a jejich práva vystavena nepřiměřeným rizikům. A pokud ano, tak přijmout dostatečná opatření, abyste tato rizika snížili. Například omezit rozsah předávaných údajů, chránit data šifrováním či pseudonymizací, doplnit další smluvní ujednání, posílit informační povinnost vůči subjektům údajů atd.
Kdo využije nové smluvní doložky?
Evropská komise oznámila, že připravuje další smluvní doložky pro bezpečné předávání osobních údajů do třetích zemí. V tuto chvíli čekáme na zveřejnění návrhu, který by měl být předložen k veřejné konzultaci v posledním čtvrtletí tohoto roku. Schválení nových vzorových doložek se očekává do poloviny roku 2025.
V jakých situacích budou nové smluvní doložky použitelné?
Nové doložky cílí na poměrně specifickou variantu, kdy příjemce dat sice sídlí mimo EU, ale GDPR se na něj, resp. na jím prováděné zpracování, i tak přímo vztahuje.
Jak je to možné?
Jedná se o tzv. extrateritoriální působnost GDPR, která se uplatní zejména tehdy, pokud správce nebo zpracovatel usazený mimo EU provádí zpracování osobních údajů, které souvisí s:
-
nabídkou zboží nebo služeb subjektům údajů v Unii, bez ohledu na to, zda je od nich požadována platba; nebo
-
monitorováním chování fyzických osob, pokud k němu dochází v rámci Unie.
Popišme si to blíže na 2 příkladech:
Příklad první: Provozovatel e-shopu se sídlem v Číně provozuje několik jazykových mutací svého online obchodu. Mezi nimi i českou. Popis zboží je česky, česky lze objednat, do České republiky lze zboží doručit. Je zjevné, že čínská firma cíleně nabízí zboží či služby obyvatelům České republiky. Přestože nikde v Evropě nemá žádnou pobočku, i tak je toto zpracování v režimu GDPR.
Příklad druhý: Americká společnost provozuje aplikaci pro monitorování pohybu cyklistů po městech. V ostrém provozu ji nabízí pouze v USA a Kanadě. Pro vylepšování aplikace ale čas od času sbírá data z různých velkých měst po celém světě, včetně Evropské unie. Pokud jsou tato data charakteru osobních údajů (dají se přímo či nepřímo přiřadit ke konkrétní fyzické osobě), GDPR se na tuto společnost, resp. dané zpracování, opět přímo uplatní.
Nové standardní smluvní doložky už v roce 2025
Spolupracujete s mimoevropským subjektem, který nějakým způsobem nabízí své produkty v EU, nebo naopak využívá data evropských obyvatel? Je to váš obchodní partner, dodavatel, nebo naopak odběratel vašich služeb? Pak budou tyto smluvní doložky určeny právě pro vás!
Další články
5 otázek pro Petra Kohouta: Jak AI mění pravidla veřejných zakázek?
Mgr. Petr Kohout, LL.M. není typický úředník. Jako vedoucí právního oddělení Krajského úřadu Středočeského kraje má na starosti mimo jiné metodiku veřejných zakázek – a zároveň patří k nejhlasitějším propagátorům umělé inteligence ve veřejné správě v Česku. Dvakrát po sobě získal titul Osobnost AI v kategorii veřejná správa, stojí u zrodu Platformy pro AI ve veřejné správě a je spoluautorem e-booku Nástroje AI ve veřejné správě. Na Kongresu Právní prostor 2026, který se konal 28.-29. dubna 2026, vystoupil s příspěvkem „Umělá inteligence ve veřejných zakázkách".
Kdy musí management začít řešit úpadek společnosti?
Turbulentní ekonomické prostředí posledních let přináší otázku, kterou si dnes klade stále více podnikatelů i manažerů: Kdy už je situace firmy natolik vážná, že management musí začít řešit hrozící úpadek?
Investování pod dohledem: Jak regulace formuje crowdfunding úvěrů
Rozvoj investičních platforem přináší vedle nových příležitostí i otázky právní odpovědnosti, regulace a ochrany investorů. V tomto rozhovoru jsme se s Lukášem Hartlem, novým CEO a jednatelem platformy CreditShare, bavili o tom, jak fungují klíčové kontrolní mechanismy, kde vznikají rizika a jakou roli hraje dohled při budování důvěry v tento typ investování.
Kryptoměny a realitní úschova v roce 2026: Legislativní limity tokenizovaných transakcí a smart kontraktů
Vstup kryptoaktiv do hlavního proudu realitního trhu v roce 2026 již není pouhou technologickou kuriozitou, ale pragmatickou výzvou pro právní praxi.
Kongres Právní prostor 2026: legislativní změny, AI a justiční blok
Kongres Právní prostor se dočkal již svého 14. ročníku. V Seči u Chrudimi se sešlo přes 150 účastníků a 16 přednášejících, aby se věnovali tématům, která aktuálně hýbou světem práva – od legislativních změn přes AI až po aktuální otázky justice.
.webp)
