Předáváte osobní údaje mimo EU? Pozor na nové standardní smluvní doložky
Evropská komise přijala dvě prováděcí nařízení s významným dopadem do oblasti zpracování osobních údajů. Od 27. června 2021 je možné používat nové standardní smluvní doložky pro předávání osobních údajů z EU/EHP do tzv. třetích zemí a nové standardní smluvní doložky pro smlouvy o zpracování osobních údajů mezi správci a zpracovateli. Takto je dále posílena ochrana osobních údajů, a to zejména ve vztahu k jejich zpracování ve třetích zemích.
Doložky pro předávání osobních údajů z EU do třetích zemí
Nové standardní smluvní doložky pro předávání osobních údajů z EU/EHP do třetích zemí jsou prvními obdobnými doložkami přijatými za účinnosti GDPR. Reagují na rozhodnutí Soudního dvora EU z července 2020, který označil tzv. EU-US Privacy Shield („Štít soukromí“) za neplatný a podstatně tak ztížil předávání osobních údajů do USA. Doložky by měly vedle zajištění vhodných záruk pro předávání osobních údajů reagovat také na významný posun v digitalizaci společnosti a zajistit vyšší flexibilitu při předávání osobních údajů a také zpřístupnit tyto doložky více osobám.
Tyto doložky propojují obecná ustanovení s jednotlivými scénáři (moduly) pro předávání osobních údajů mezi správci a zpracovateli ze třetích zemí. Správci a zpracovatelé si tak mohou z nastíněných scénářů vybrat ten, který jim v daném případě (osobní údaje se předávají mezi dvěma správci, mezi správcem a zpracovatelem, mezi zpracovatelem a správcem či mezi dvěma zpracovateli) nejlépe vyhovuje, a mohou své povinnosti při předávání osobních údajů v konkrétních případech přizpůsobit. Při zpracování osobních údajů tak počítají s více možnými případy než dosavadní standardní smluvní doložky a oproti nim nově upravují mimo jiné situace, kdy se předávají osobní údaje od zpracovatele z EU/EHP správci z třetí země anebo mezi více zpracovateli.
Nové standardní smluvní doložky lze používat už od 27. června 2021, na ty dosavadní se bude možné při předávání osobních údajů do třetích zemí spoléhat v některých případech až do 27. prosince 2022. I přesto doporučujeme začít s aktualizací smluv uzavřených s dodavateli a odběrateli co nejdříve, jestliže obsahují tyto standardní smluvní doložky.
Doložky pro smlouvy o zpracování osobních údajů
Tyto nové standardní smluvní doložky, které jsou použitelné při předávání osobních údajů v rámci EU a EHP, slouží jako vzor pro smlouvy o zpracování osobních údajů uzavírané mezi správci a zpracovateli (příp. také dalšími, navazujícími zpracovateli, dochází-li k jejich řetězení) podle čl. 28 odst. 3 a 4 GDPR. Zahrnutím těchto doložek do příslušné smlouvy dochází ke splnění požadavků na smlouvu o zpracování osobních údajů dle GDPR, a tedy i k minimalizaci rizika, že osobní údaje budou zpracovateli předány bez existujícího či platného právního titulu.
Tyto doložky, které taktéž umožňují přistoupení více osob, by měly především standardizovat práva a povinnosti správce a zpracovatele v případech, kdy se do zpracování osobních údajů zapojuje jeden či více zpracovatelů. V konečném důsledku by tak měly usnadnit a zefektivnit dosavadní proces uzavírání smluv o zpracování osobních údajů.
Nové standardní smluvní doložky pro smlouvy o zpracování osobních údajů je možné používat taktéž už od 27. června 2021. S ohledem na výše uvedené proto doporučujeme posoudit, zda dosavadní smlouvy o zpracování osobních údajů vyhovují požadavkům GDPR, a případně zajistit jejich aktualizaci.