Nové znění standardních smluvních doložek

Pro předávání osobních údajů mimo Evropský hospodářský prostor (EHP) jsou nejčastěji používaným mechanismem tzv. standardní smluvní doložky (SCC) a související technická opatření. SCC hrají nezastupitelnou roli při předávání osobních údajů do zemí, které dle Evropské komise neposkytují odpovídající úroveň ochrany osobních údajů (např. USA). Správce či zpracovatel musí v takových případech předem přijmout dodatečná opatření, obvykle právě ve formě SCC. SCC představují vzorový text pro různé varianty odpovídající vztahu mezi smluvními stranami, který správce osobních údajů vloží do smlouvy o zpracování osobních údajů s příjemcem nacházejícím se v zemi mimo EHP.

Evropská komise přijala 4. června 2021 nové znění SCC, které nahradilo původní verzi. Evropská komise tak učinila především v reakci na požadavky stanovené obecným nařízením o ochraně osobních údajů č. 2016/679 (GDPR) a také na judikaturu Soudního dvora EU, který ve věci Schrems II zpochybnil spolehlivost původních doložek.

Nové znění SCC nabízí komplexnější řešení ochrany osobních údajů než předchozí verze. Zatímco staré doložky rozeznávaly pouze dva typy smluvních vztahů při přenosu osobních údajů (správce-zpracovatel a správce-správce), nová verze už myslí i na případné přenosy ve vztazích zpracovatel-zpracovatel a zpracovatel-správce. Kromě zvýšení flexibility ovšem nová verze přináší například i informační povinnost příjemce osobních údajů vůči osobě předávající osobní údaje či povinnosti při zabezpečení nebo kontrolách.

Od 27. září 2021 musí všechny nově uzavírané smlouvy týkající se předávání osobních údajů mimo EHP obsahovat buď nové znění SCC, či obdobná ustanovení, která budou vyhovovat stejným standardům. Není tedy nutné doslovně přejímat smluvní doložky, avšak případné individuální znění smluv musí splňovat stejné standardy a požadavky stanovené GDPR. Nespornou výhodu nových SCC představuje skutečnost, že je lze použít místo smlouvy o zpracování osobních údajů. Smlouvy uzavřené před tímto datem musí být revidovány do 27. prosince 2022 a neaktuální znění doložek v nich musí být upraveno v souladu s novými pravidly. Správcům či zpracovatelům osobních údajů tedy vzniká povinnost prověřit, zda jejich dosavadní úprava vyhovuje novým požadavkům, a případně provést vhodné změny, aby se vyhnuli riziku konání v rozporu s GDPR. 

Nesplní-li správce či zpracovatel zmiňované povinnosti, hrozí mu především vysoké pokuty, které se evropské dozorové úřady nezdráhají ukládat. V minulosti se jednalo hlavně o sankce za úniky osobních údajů, momentálně však stále větší procento tvoří pokuty za netransparentnost a nedodržování zásad zpracování údajů. Za porušení pravidel GDPR je možné společnosti vyměřit pokutu v objemu až čtyř procent z jejích ročních celosvětových tržeb, což už měla v praxi možnost pocítit například společnost WhatsApp, která v minulém roce obdržela pokutu ve výši 225 milionů eur od irského regulatorního úřadu. Dle irského úřadu WhatsApp porušoval pravidla týkající se transparentnosti při sdílení osobních údajů s jinými společnostmi, které taktéž vlastní Meta (bývalý Facebook). Kromě pokuty irský úřad také nařídil společnosti WhatsApp, aby změnila způsob, kterým osobní údaje zpracovává, ve snaze předejít budoucímu porušování práv koncových uživatelů.