Autor: Robert Nešpůrek, Richard Otevřel
Minulý rok v lete sme vás informovali, že pri výmene osobných údajov s mimoeurópskym zahraničím je potrebné počítať s novými štandardnými zmluvnými doložkami („ŠZD“), ktoré v júni 2021 prijala Európska komisia; prechodné obdobie jeden a pol roka sa zdalo ako dostatočné aj pre komplexné zmluvné vzťahy, ktoré môžu zahŕňať globálne desiatky spoločností. Avšak čas pokročil a ak sa ešte niekto do práce nepustil, tak už zostáva sotva šesť mesiacov na to, aby zabezpečil, že najneskôr 28. decembra bude mať prenos osobných údajov mimo Európskej únie zabezpečený novými zmluvnými vzormi. Drobným bonusom pre oneskorencov snáď môže byť skutočnosť, že Európska komisia medzitým reagovala na aktuálnu prax pri uzatváraní ŠZD a vydala súbor otázok a odpovedí (Q&A), ktoré chce aj do budúcnosti pravidelne aktualizovať. Najzaujímavejšie postrehy prinášame v texte nižšie.
ŠZD predstavujú v zmysle článku 46 GDPR nástroj na vytvorenie vhodných záruk ochrany osobných údajov na prenos osobných údajov do tretích krajín, ktorých právny poriadok nezaručuje dostatočnú úroveň ochrany osobných údajov. Konkrétne ide o vzorový text zmluvy medzi prevádzkovateľom či sprostredkovateľom osobných údajov, ktorý chce uskutočniť prenos osobných údajov do tretej krajiny mimo Európskej únie, resp. mimo EHP (tzv. vývozca údajov), a príjemcom osobných údajov v tejto tretej krajine (tzv. dovozca údajov).
Aj keď existujú aj ďalšie nástroje na tieto účely (napríklad záväzné vnútropodnikové pravidlá, tzv. BCR), sú ŠZD podľa prieskumu najobľúbenejším nástrojom – až 88 % spoločností, ktoré sa zúčastnili prieskumu v roku 2019, ho používa práve na zabezpečenie compliance s GDPR pri prenose osobných údajov mimo EÚ.
Podrobnejšie k charakteristike ŠZD vás odkážeme na náš predchádzajúci príspevok, ale aj naďalej platí, že hoci pomenovanie „vzorové doložky“ môže implikovať ich jednoduché používanie, už aj samotný obsah Q&A naznačuje niečo iné.
Európskou komisiou publikované ŠZD nepredstavujú okamžite použiteľný dokument, v ktorom je možné doplniť zmluvné strany a stačí ho podpísať. Už len štruktúra tzv. dokovania, teda príprava doložiek na to, aby k nim mohli v budúcnosti pristupovať ďalšie zmluvné strany (využiteľné najmä v globálnych korporáciách, ktorých zloženie sa mení v priebehu času), totiž nepočíta s praktickým riešením toho, ako má kontraktácia prebiehať. Q&A teda správne odkazujú na to, že aj spôsob podpisovania (či je napr. možné vykonať elektronicky) závisí od zvoleného rozhodného práva a úpravy tejto otázky typicky v občianskych zákonníkoch danej krajiny. A pretože dokovanie predpokladá, že existujúce zmluvné strany musia súhlasiť s pridaním napr. ďalšieho sprostredkovateľa, je vhodné si mechanizmus zabezpečenia takéhoto súhlasu dohodnúť.
Európska komisia zdôrazňuje, že ŠZD nemožno meniť (až na výslovne dané prípady, kde ale naopak je zmena skôr nutná) – vyššie uvedené sa tak najčastejšie rieši tým, že samotné ŠZD sa vkladajú ako súčasť inej zmluvy, ktorá ŠZD takpovediac „obalí“.
Následná práca s textom ŠZD vyžaduje pri dodržaní zákazu zmien iných častí (sankciou za porušenie tohto zákazu by bola praktická nepoužiteľnosť ŠZD ako automatického dôkazu dodržania súladu s GDPR na účely prenosu osobných údajov mimo EÚ a nutnosť dokladať zabezpečenie záruk na ochranu osobných údajov iným spôsobom), aby boli
(i) zvolené správne moduly reflektujúce postavenie vývozcu a dovozcu osobných údajov – inými slovami, zmluvný vzor najskôr preškrtať a vypustiť nerelevantné pasáže,
(ii) doplnené voliteľné údaje, ako napr. rozhodné právo, dozorné orgány a pod.,
(iii) vyplnené prílohy, kde by okrem základných parametrov zmluvy (napr. kategórie prenášaných osobných údajov) mal zaznieť aj opis technických a organizačných opatrení na zaistenie bezpečnosti osobných údajov a napokon
(iv) pridané vhodné dodatočné opatrenia na zvýšenie bezpečnostných záruk, čo uvádzame nižšie ešte podrobnejšie.
Výsledné znenie v praxi použitých ŠZD tak môže byť veľmi individualizované a značne odlišné od vzoru. Napríklad voľba správneho modulu (jedného zo štyroch) môže byť komplikovaná reálnou charakteristikou zmluvných vzťahov medzi dotknutými stranami, t. j. v rámci obchodnej spolupráce môže byť importér dát (napr. v Indii) čiastočne v úlohe prevádzkovateľa a čiastočne v úlohe sprostredkovateľa: tieto dve polohy je treba dostatočne rozlíšiť v zmluve, súčasne to však nebráni mať v tej istej zmluve dohodnuté oba moduly pokrývajúce obe eventuality.
V závere upozorňujú Q&A na situáciu ohľadom stále neprekonaných následkov rozhodnutí Schrems II (ktorých komplikovanosť opisujeme tu) – aj v prípade využitia ŠZD zostáva povinnosť strán vykonať posúdenie súladu právnych predpisov tretej krajiny (do ktorej sa majú osobné údaje vyvážať), konkrétne okolnosti spracúvania a všetkých technických a organizačných záruk. A hoci v pozícii lepšie alebo ľahšie vyhodnotiť uvedenú problematiku bude skôr dovozca v danej tretej krajine (pre spoločnosť sídliacu v Kalifornii bude ľahšie opýtať sa kalifornských právnikov), je to nakoniec vývozca údajov, kto je primárne zodpovedný podľa GDPR za zhodnotenie, či bude nutné navyše k ŠZD pridávať ďalšie opatrenia na zabezpečenie súladu s požiadavkami európskeho práva (napr. šifrovanie údajov, pseudonymizáciu a pod.). Pre tieto prípady odporúčame mať spracovanú vhodnú robustnú metodológiu, pomocou ktorej je možné ako vyhodnotiť právny systém krajiny, kam chcete osobné údaje vyvážať, tak aj aké opatrenia na základe takéhoto vyhodnotenia prijímať.
Už len menej ako 6 mesiacov zostáva do doby, kým bude musieť mať každý, kto dnes používa pôvodné ŠZD (alebo snáď dokonca ešte spolieha na zneplatnený Privacy Shield), dohodnuté so svojimi obchodnými partnermi nové modernizované štandardné zmluvné doložky.
Náš tím v HAVEL & PARTNERS Vám pomôže
