Změna standardních smluvních doložek pro předávání osobních údajů do třetích zemí a dodatečná bezpečnostní opatření

Pokud se tak prozatím nestalo a nestane se tak ani v brzké době, z níže uvedených důvodů doporučujeme poskytovatele ke změně smluvní dokumentace vyzvat. Bez příslušných úprav hrozí riziko sankčního postihu ze strany Úřadu pro ochranu osobních údajů. Důvody jsou následující.

Právní úprava na ochranu osobních údajů rozlišuje (čl. 44 an. GDPR) mezi zeměmi, které poskytují osobním údajům odpovídající úroveň ochrany srovnatelnou se standardem evropské legislativy. Takovými zeměmi jsou členské státy EU a EHS, dále země, které Evropská komise svým rozhodnutím o odpovídající ochraně označí za bezpečné (pozn. aktuálně se již bez dalšího za bezpečné nepovažují státy, které ratifikovaly úmluvu Rady Evropy o ochraně osob se zřetelem na automatizované zpracování osobních dat z roku 1981). V ostatních případech, mají-li být údaje předány k rukám správce nebo zpracovatele mimo bezpečnou zemi v právě uvedeném smyslu, se vyžaduje (čl. 46 GDPR) přijetí vhodných záruk. Teprve není-li přijetí vhodných záruk možné, lze přistoupit k předávání osobních údajů na základě některé z výjimek, jak jsou formulovány v čl. 49 GDPR.

Prostředky k zajištění odpovídající úrovně ochrany při předávání osobních údajů do třetích zemí jsou (zjednodušeně řečeno) jednak (čl. 47 GDPR) závazná podniková pravidla, která jsou určena primárně pro skupiny podniků, a jednak standardní smluvní doložky obsažené v rozhodnutí Komise.

Standardní smluvní doložky jsou použitelné jak pro vztahy správce – zpracovatel, tak pro vztahy správce – správce.

Jejich fungování je snadné. Předpokládá se toliko implementace do smluvního vztahu dotčených osob.

Historicky existovalo několik rozhodnutí Komise o standardních smluvních doložkách. V návaznosti na GDPR, a to je podstatné z hlediska shora uvedené komunikace zejména s poskytovateli internetových a jiných podobných služeb, došlo rozhodnutím Komise č. 2021/914 ze dne 4. června 2021 o standardních smluvních doložkách pro předávání osobních údajů do třetích zemí podle nařízení Evropského parlamentu a Rady (EU) 2016/679 k jejich nahrazení právě zmíněným rozhodnutím, které obsahuje univerzální soubor modulárních standardních smluvních doložek použitelných pro všechny zmíněné vztahy.

Počínaje dnem 27. září 2021 tak již nemohou být využívány dřívější standardní smluvní doložky a ve všech případech je třeba postupovat podle rozhodnutí č. 2021/914.

Vedle toho se stanoví, že do 27. prosince 2022 musí být u všech smluv uzavřených do 27. září 2021, které jako prostředek zajištění ochrany využívaly dřívější rozhodnutí Komise o standardních smluvních doložkách, tyto doložky nahrazeny rozhodnutím Komise č. 2021/914, resp. standardními smluvními doložkami podle jmenovaného rozhodnutí.

V této souvislosti se nabízí připomenout, že v návaznosti na rozhodnutí Soudního dvora EU ve věci Schrems II (C-311/18) nelze standardní smluvní doložky bez dalšího považovat za prostředek zajištění odpovídající úrovně ochrany pro předávání osobních údajů. Vždy je třeba předem vyhodnotit, zda smluvní doložky s přihlédnutím k legislativě, úrovni právního státu a uplatňování jeho principů, jakož i dalším relevantním okolnostem, poskytují na straně příjemce údajů ve třetí zemi dostatečnou míru ochrany. Vyhodnocení těchto aspektů je vhodné provést v součinnosti s odborně způsobilou osobou (nebo státním úřadem) ve třetí zemi. V případě pozitivního závěru lze standardní smluvní doložky využít bez dodatečných záruk. Jinak je třeba přijmout dodatečné záruky (technické, smluvní, organizační) k posílení ochrany předávaných údajů. K dodatečným zárukám se lze odkázat na doporučení Evropského sboru pro ochranu osobních údajů č. 1/2020 ze dne 10. listopadu 2020 o opatřeních, která doplňují nástroje pro předávání s cílem zajistit soulad s úrovní ochrany osobních údajů v EU.

Jsme si vědomi, že problematika a právní úprava ochrany osobních údajů je relativně komplikovaná a právní regulace předávání osobních údajů do třetích zemí zvlášť.