Havel & Partners: aktualizované nástroje na prenos osobných údajov do krajín mimo EÚ

BRATISLAVA – Ak podnikáte v akomkoľvek odbore, ktorého súčasťou je výmena dát (vrátane osobných údajov) so zahraničím, a to predovšetkým tým mimoeurópskym – a dnes už snáď ani nezáleží, či sa pohybujete v digitálnom prostredí a spracúvanie dát je vaším každodenným chlebíčkom, zabezpečujete strojárenskú výrobu a globálny manažment pracuje s dátami zákazníkov aj
zamestnancov mimo EÚ alebo v čisto lokálnom biznise využívate podporu softvérových nástrojov pochádzajúcich zo Silicon Valley – potom ste si pravdepodobne s príchodom GDPR pred tromi rokmi hovorili, ako to bude ďalej s prenosom dát mimo GDPR zónu.

Túto otázku po troch rokoch zodpovedala Európska komisia, keď pripravila zmenu doterajšieho súboru jedenásť a dvadsať rokov starých zmluvných vzorov známych pod pojmom štandardné zmluvné doložky („ŠZD“).

ČO SÚ NOVÉ ŠTANDARDNÉ ZMLUVNÉ DOLOŽKY

Ide o rozhodnutie Európskej komisie, prijaté 4. júna 2021, s účinnosťou od 27. júna 2021. Nové ŠZD pripravila Komisia v súlade s Všeobecným nariadením o ochrane osobných údajov („GDPR“) s cieľom zohľadniť rozhodnutie Súdneho dvora EÚ vo veci Schrems II a následné odporúčanie EDPB týkajúce sa tohto rozhodnutia. ŠZD predstavujú v zmysle čl. 46 GDPR nástroj na vytvorenie vhodných záruk ochrany osobných údajov pre prenos osobných údajov do tretích krajín, ktorých právny poriadok nezaručuje dostatočnú úroveň ochrany osobných údajov. Konkrétne ide o vzorový text zmluvy medzi prevádzkovateľom alebo sprostredkovateľom osobných údajov, ktorý chce uskutočniť prenos osobných údajov do tretej krajiny mimo Európskej únie, resp. mimo EHP (tzv. vývozca údajov), a príjemcom osobných údajov v
tejto tretej krajine (tzv. dovozca údajov).

PREČO TU MÁME NOVÉ ŠZD?

Prijaté ŠZD reagujú na technologický a spoločenský pokrok a na potrebu zabezpečiť dostatočnú mieru ochrany osobných údajov. Existujúce ŠZD boli prijaté v roku 2001, resp. 2010, a to ešte pred účinnosťou všeobecného nariadenia o ochrane osobných údajov („GDPR“), pričom v praxi ich bolo
nutné často adaptovať, aby zodpovedali obchodnej realite spolupráce (napr. aj v rámci holdingových štruktúr globálnych spoločností), čo so sebou ale prinášalo riziko, že po takej adaptácii sa už nebudú považovať za ŠZD. Nové ŠZD tak pripravila Komisia v súlade s GDPR a s cieľom zohľadniť známe
rozhodnutie Súdneho dvora EÚ vo veci Schrems II a následné odporúčanie Európskeho výboru na ochranu osobných údajov týkajúce sa tohto rozhodnutia. Typicky najčastejšie druhy používaných adaptácií tak boli vlastne povýšené na vzor a modulárnym prístupom (viď tiež ďalej) bola umožnená
vyššia miera povolených zásahov do textu ŠZD. Pochopiteľne v ŠZD pribudli povinnosti, ktoré sa objavili v GDPR oproti predchádzajúcej úprave a súčasne je zreteľne deklarované, že ŠZD vo vzťahu medzi prevádzkovateľom a sprostredkovateľom plnia súčasne úlohu zmluvy o spracúvaní osobných
údajov podľa článku 28 GDPR.

ODKEDY?

Nové štandardné zmluvné ustanovenia možno použiť odo dňa účinnosti rozhodnutia, teda od 27. júna 2021. Európska komisia ale zaviedla dve prechodné obdobia.

Vďaka prvému je možné, aby prevádzkovatelia a sprostredkovatelia naďalej uzatvárali existujúce ŠZD (teda podľa vzorov z rokov 2001 a 2010), a to až do 26. septembra 2021 vrátane, čím bola poskytnutá ochranná doba predovšetkým pre už rozpracované zmluvy a na prípravu nových zmlúv.

Druhé prechodné obdobie umožňuje prevádzkovateľom a sprostredkovateľom spoliehať sa na staré ŠZD (teda uzavreté pred 27. septembrom 2021), a to až do 27. decembra 2022, ale s výhradou, že spracovateľské operácie, ktoré sú predmetom doterajších ŠZD, zostávajú bezo zmeny a že spoliehanie sa na tieto doložky zabezpečí, že sa na prenos osobných údajov budú vzťahovať dostatočné záruky.

Spoliehanie sa na toto prechodné obdobie je podľa nášho názoru veľmi rizikové, lebo spracovateľské operácie zriedka zostávajú nemenné a pokúsiť sa právne porovnať záruky podľa starých a nových ŠZD nemusia byť výhodnejšie ako jednoducho dohodnúť novú zmluvu. Ostatne množstvo dozorných
orgánov naprieč EÚ už odporúčalo, aby si vývozcovia údajov dohodli nové ŠZD čo najskôr a nečakali na koniec prechodného obdobia v budúcom roku.

PRE KOHO SÚ ŠZD URČENÉ?

Cieľom prijatých rozhodnutí je poskytnúť spoločnostiam komplexné zmluvné nástroje na zaručenie európskeho štandardu ochrany osobných údajov aj po ich exporte z EÚ, a to v súlade s požiadavkami obsiahnutými v GDPR.

Na rozdiel od súčasných ŠZD, ktoré sa vzťahovali len na obmedzené typy
prenosu osobných údajov, prinášajú nové ŠZD tzv. modulárny princíp, ktorý reaguje na komplexnosť právnych vzťahov a rôzne okolnosti prenosu. Prijaté ŠZD sú obzvlášť zaujímavé pre spoločnosti, ktorým doterajšie ŠZD pre svoju obmedzenosť nevyhovovali, alebo pre spoločnosti, u ktorých prenos osobných údajov môže byť z dôvodu zrušenia Privacy Shield ohrozený, či už ide o prevádzkovateľa, sprostredkovateľa alebo ďalších sprostredkovateľov.

ČO PRINIESLI NOVÉ ŠZD?

Možno ste počuli, že nové ŠZD prinášajú určité zjednodušenie v porovnaní so súčasnou praxou pri dojednávaní doložiek. V každom prípade však stále ide o komplexný dokument ponúkajúci veľa možností, ako má vyzerať výsledné riešenie. Z pohľadu právnej istoty prináša tzv. moduly, ktoré si vývozca údajov variantne vyberie, možnosť adaptovať ten istý vzor na konkrétny prípad spracúvania, teda či pôjde o vzťah prevádzkovateľ – prevádzkovateľ, alebo medzi dvoma sprostredkovateľmi či dokonca prípad v EÚ usadeného sprostredkovateľa pre mimoeurópskeho prevádzkovateľa; v rámci
modulov potom ešte existuje možnosť výberu konkrétnych možností, napr. režim ďalších sprostredkovateľov. Okrem týchto modulov potom ŠZD obsahujú pasáže, ktoré meniť nemožno, inak hrozí celkom zrejmé riziko, že už nebudú splnené požiadavky GDPR. ŠZD taktiež obsahujú nazvané ustanovenia, ktoré musia zmluvné strany doplniť, ako sú napríklad kategórie prenášaných osobných údajov, technické a organizačné opatrenia a iné.

Ako zásadný dopad rozhodnutia Schrems II možno v nových ŠZD vidieť novú povinnosť strán vykonať posúdenie súladu právnych predpisov tretej krajiny, konkrétne okolnosti spracúvania a všetkých technických a organizačných záruk. Inými slovami, ŠZD nemôžu byť len formalitou, ale musí byť reálne overené, že ich ustanovenia sú vymáhateľné a že z nich cudzie právo neurobí
nefunkčný dokument. Predovšetkým vývozca údajov, ako primárne zodpovedný podľa GDPR, teda musí starostlivo vyhodnotiť všetky uvedené okolnosti a zaviesť potrebné opatrenia (a ideálne ich práve vteliť do ŠZD napr. v rámci technických a organizačných opatrení) na zabezpečenie súladu s
požiadavkami európskeho práva (napr. šifrovanie údajov, pseudonymizácia a pod.).

Ďalej priniesli nové ŠZD povinnosti pre dovozcov údajov. Konkrétne ide o rozsiahle informačné povinnosti voči vývozcovi údajov v prípade, že orgán verejnej moci požaduje prenášané údaje. V tejto súvislosti zavádzajú ŠZD povinnosť dovozcu v tretej krajine preskúmavať zákonnosť žiadosti o
prístup k osobným údajom zo strany verejných orgánov tretej krajiny a viesť evidenciu jeho krokov vo vybavovaní týchto žiadostí, a na požiadanie preukázať vynaloženú snahu.

Dovozca údajov musí podľa nových ŠZD bezodkladne informovať vývozcu údajov, pokiaľ nie je z akéhokoľvek dôvodu schopný tieto doložky dodržať – nielen z jeho osobných dôvodov, ale napríklad vďaka zmene legislatívy danej krajiny. Ak teda z akýchkoľvek dôvodov nie je dovozca schopný zabezpečiť dodržanie doložiek, musí vývozca pozastaviť prenos osobných údajov. Zavádza sa tiež právo vypovedať ŠZD, ak do jedného mesiaca nedôjde k náprave, alebo dovozca podstatným spôsobom poruší ustanovenia ŠZD.

Nakoniec možno uvítať, že ŠZD výslovne zavádzajú možnosť voľby rozhodného práva ktoréhokoľvek z členských štátov EÚ (jedinou požiadavkou je, že takéto právo nebráni, aby dotknuté osoby boli z týchto zmluvných doložiek – ako primárne bilaterálneho zmluvného vzťahu – aj oprávnené), a tiežmožnosť voľby konkrétneho súdu členského štátu EÚ, ktorý bude o veci rozhodovať v prípade sporov.

Táto voľba však súvisí aj s praktickým problémom, ako vlastne zmluvné doložky uzavrieť, aby fungovali správne podľa zvoleného práva a zaväzovali dovozcu aj vývozcu osobných údajov, prípadne ďalšie strany, ktoré sa pomocou takzvanej dokovacej doložky môžu k ŠZD pridať, čo je užitočná funkcia najmä pre rozvetvené globálne koncerny.

AKO 

Už len menej ako 17 mesiacov zostáva do doby, než bude musieť mať každý, kto dnes používa pôvodné ŠZD (alebo sa snáď dokonca ešte spolieha na zneplatnený Privacy Shield), dohodnuté so svojimi obchodnými partnermi nové modernizované štandardné zmluvné doložky.

Štěpán Štarha, partner, advokátska kancelária HAVEL & PARTNERS