Evropská komise připravuje nový vzor smlouvy pro předávání údajů mimo EU
Při předávání osobních údajů mimo EU je nutné přijímat dodatečná opatření k ochraně práv fyzických osob. Například uzavřít smlouvu s příjemcem dat ve třetí zemi. Komise nyní připravuje další vzorové smluvní doložky.
Proč řešit předávání osobních údajů mimo EU?
Obecné nařízení o ochraně osobních údajů (GDPR) vychází z toho, že v rámci Evropské unie jsou pravidla pro ochranu fyzických osob při zpracování údajů nastavena jednotně. Proto není důvodu toku dat v rámci EU bránit.
Za hranicemi Evropské unie, resp. Evropského hospodářského prostoru, už to neplatí. Organizace, která data předává do tzv. třetí země, musí zajistit, aby byla v odpovídajícím rozsahu zajištěna práva a svobody dotčených lidí. Bez ohledu na to, jestli osobní údaje předává ve skupině, využívá dodavatele ze třetí země nebo je sama dodavatelem, zpracovatelem údajů, který shromažďuje údaje pro správce se sídlem někde za mořem.
Typické nástroje pro ochranu dat
Pro zajištění dostatečné úrovně ochrany osobních údajů ve třetí zemi nabízí GDPR několik základních nástrojů:
Rozhodnutí o odpovídající ochraně osobních údajů
Evropská komise může rozhodnout, že určitá země, území nebo konkrétní odvětví ve třetí zemi má nastavena pravidla, která jsou rovnocenná naší úrovni ochrany osobních údajů. Mezi tyto bezpečné státy či oblasti patří např. Velká Británie, Švýcarsko, Japonsko, Jižní Korea, komerční sektor v Kanadě nebo USA, resp. ty americké společnosti, které se účastní programu Data Privacy Framework.
Závazná podniková pravidla
Skupina podniků, která má pobočky či dceřiné společnosti jak v EU, tak mimo ni, může přijmout vnitřní pravidla, jak si bude data předávat a jak bude zajišťovat ochranu práv subjektu údajů. Pokud jim pravidla schválí vedoucí dozorový orgánv EU, mohou na jejich základě údaje také předávat.
Smluvní nastavení práv a povinností
V praxi jednou z nejvyužívanějších možností je detailní úprava práv a povinností mezi vývozcem dat z EU a jeho dovozcem ve třetí zemi prostřednictvím smlouvy. Komise k tomu vydala vzorové standardní smluvní doložky, které pokrývají takřka všechny varianty předání osobních údajů a vztahů obou hlavních aktérů. Správce předává údaje správci mimo EU, správce využívá zpracovatele osobních údajů s místem zpracování mimo EU, naopak v Evropské unii sídlí zpracovatel a správce jinde atd.
Pro jistotu doplňme: Žádné z těchto opatření není samospasitelné. Před zahájením předávání osobních údajů mimo EU, stejně jako u každého komplexnějšího zpracování dat, byste měli zvážit, zda i přes přijaté opatření (smlouva, závazná podniková pravidla atd.) nejsou dotčené osoby a jejich práva vystavena nepřiměřeným rizikům. A pokud ano, tak přijmout dostatečná opatření, abyste tato rizika snížili. Například omezit rozsah předávaných údajů, chránit data šifrováním či pseudonymizací, doplnit další smluvní ujednání, posílit informační povinnost vůči subjektům údajů atd.
Kdo využije nové smluvní doložky?
Evropská komise oznámila, že připravuje další smluvní doložky pro bezpečné předávání osobních údajů do třetích zemí. V tuto chvíli čekáme na zveřejnění návrhu, který by měl být předložen k veřejné konzultaci v posledním čtvrtletí tohoto roku. Schválení nových vzorových doložek se očekává do poloviny roku 2025.
V jakých situacích budou nové smluvní doložky použitelné?
Nové doložky cílí na poměrně specifickou variantu, kdy příjemce dat sice sídlí mimo EU, ale GDPR se na něj, resp. na jím prováděné zpracování, i tak přímo vztahuje.
Jak je to možné?
Jedná se o tzv. extrateritoriální působnost GDPR, která se uplatní zejména tehdy, pokud správce nebo zpracovatel usazený mimo EU provádí zpracování osobních údajů, které souvisí s:
-
nabídkou zboží nebo služeb subjektům údajů v Unii, bez ohledu na to, zda je od nich požadována platba; nebo
-
monitorováním chování fyzických osob, pokud k němu dochází v rámci Unie.
Popišme si to blíže na 2 příkladech:
Příklad první: Provozovatel e-shopu se sídlem v Číně provozuje několik jazykových mutací svého online obchodu. Mezi nimi i českou. Popis zboží je česky, česky lze objednat, do České republiky lze zboží doručit. Je zjevné, že čínská firma cíleně nabízí zboží či služby obyvatelům České republiky. Přestože nikde v Evropě nemá žádnou pobočku, i tak je toto zpracování v režimu GDPR.
Příklad druhý: Americká společnost provozuje aplikaci pro monitorování pohybu cyklistů po městech. V ostrém provozu ji nabízí pouze v USA a Kanadě. Pro vylepšování aplikace ale čas od času sbírá data z různých velkých měst po celém světě, včetně Evropské unie. Pokud jsou tato data charakteru osobních údajů (dají se přímo či nepřímo přiřadit ke konkrétní fyzické osobě), GDPR se na tuto společnost, resp. dané zpracování, opět přímo uplatní.
Nové standardní smluvní doložky už v roce 2025
Spolupracujete s mimoevropským subjektem, který nějakým způsobem nabízí své produkty v EU, nebo naopak využívá data evropských obyvatel? Je to váš obchodní partner, dodavatel, nebo naopak odběratel vašich služeb? Pak budou tyto smluvní doložky určeny právě pro vás!
Další články
DPH při dovozu zboží přes jiný stát EU: kde vzniká daňová povinnost
Jak se uplatňuje DPH při dovozu zboží z třetích zemí přes jiný stát EU než je místo skutečné spotřeby a jaké povinnosti mají dovozce a konečný odběratel? Rozhodující pro DPH není místo dovozu, ale místo skutečné spotřeby.
Možnosti využití AI v právní praxi
Dnes budu hovořit o tom, jakým způsobem využívám umělou inteligenci při své právní praxi. Proberu jednotlivé nástroje, které lze použít, a také standardní postup k docílení správného výsledku. Ještě před tím je možná dobré se zeptat, proč bychom právě umělou inteligenci měli používat.
Evropská komise představila návrh nových pokynů pro posuzování fúzí
Evropská komise dne 30. dubna 2026 zveřejnila návrh nových pokynů pro posuzování fúzí („Merger Guidelines“, dále jen „Pokyny“). Jedná se o nejrozsáhlejší revizi evropských pravidel pro kontrolu spojování soutěžitelů za posledních dvacet let.
Švarcsystém pod drobnohledem inspekce práce
Co odhalily kontroly inspekce práce v letech 2024–2025? Pokuty v milionech, neohlášené kontroly a sektory, kde inspektoři hledají nejčastěji.
Autonomní zbraňové systémy: Kdo odpovídá za chybu?
Autonomní zbraňový systém může po aktivaci sám vyhledat objekt odpovídající předem nastavenému cílovému profilu a použít proti němu sílu. Člověk přitom nemusí předem znát konkrétní cíl, přesné místo ani okamžik zásahu. Právě tím se takový systém liší od běžného dálkově ovládaného dronu, u něhož konkrétní cíl zpravidla vybírá operátor. Právní otázka tedy nezní, zda o likvidaci cíle „rozhodl“ stroj, ale kdo rozhodl o vývoji, nastavení a nasazení systému, jaké měl informace a zda mohl jeho působení ovlivnit.
