Standardní smluvní doložky SCC a jak na ně - infografika
Evropská komise přijala dvě prováděcí nařízení s významným dopadem do oblasti zpracování osobních údajů. Od 27. června 2021 je možné používat nové standardní smluvní doložky pro předávání osobních údajů z EU/EHP do tzv. třetích zemí a nové standardní smluvní doložky pro smlouvy o zpracování osobních údajů mezi správci a zpracovateli.
Nové Standardní smluvní doložky SCC vstoupily v platnost 27. června 2021 a vývozci údajů, na něž se vztahuje GDPR, musí do 27. prosince 2022 přejít ze svých stávajících ujednání na nová ustanovení.
SCC mají modulární přístup a pokrývají různé scénáře vztahů mezi správci a zpracovateli a to s jak obecnými klauzulemi vztahujícími se na všechny scénáře, tak i některými přizpůsobenými každému scénáři.
SCC vyžadují, aby strany provedly posouzení dopadu přenosu osobních údajů podle Schrems II s ohledem na místní zákony a postupy cílové země, nicméně strany mají určitou flexibilitu tak, aby mohly aplikovat svůj úsudek založený na povaze přenosu dat a své praktické zkušenosti.
Tyto nové doložky znamenají vyšší míru dodržování předpisů a odpovědnosti ve vztahu ke GDPR u příjemců osobních údajů, kteří dříve na taková opatření možná nebyli zvyklí.
Nové doložky jsou v některých ohledech vylepšením (zejména pokud jde o zajištění převodů mezi zpracovateli (velká mezera ve starých doložkách)) a začleněním formulace podle článku 28. Nové SCC však neznamenají zlepšení současné povinnosti vývozců osobních údajů posoudit, zda by místní zákony mohly ovlivnit schopnost příjemce dodržet smluvní ustanovení. V případě takového zjištění by měla následovat povinnost přijmout nějaký druh opatření vedoucí k řešení tohoto problému.
První sada nových SCC se omezuje na zajištění vhodných záruk pro mezinárodní přenosy osobních údajů a týká se i Spojených států po zneplatnění Privacy Shieldu. Tato sada nahrazuje tři sady starých SCC přijatých podle směrnice o ochraně údajů 95/46 / ES v letech 2001, 2004 a 2010. Podle čl. 46, odst. 2, písm. a) GDPR může správce nebo zpracovatel předávat osobní údaje do třetí země, pouze pokud jsou takové záruky poskytnuty a jsou k dispozici vymahatelná práva a účinné právní prostředky nápravy pro subjekty údajů. Využívání a dodržování SCC ve smlouvách, které řídí tyto toky dat, splňují tuto hranici ochrany. Komise rovněž podporuje zahrnutí dalších záruk podle smluvních podmínek, které doplňují SCC.
Aktualizované SCC také zahrnují silnou ochranu subjektu údajů. Mezi obecné odpovědnosti vývozce osobních údajů podle nařízení GDPR patří poskytování informací subjektům údajů o záměru předat jejich osobní údaje, včetně kategorií zpracovávaných osobních údajů, práva na získání kopie standardních smluvních doložek a jakéhokoli dalšího přenosu. Kromě toho mohou subjekty údajů s určitými výjimkami vymáhat SCC jako příjemci třetích stran, pokud jde o povinnosti vývozce údajů a dovozce údajů. SCC proto musí postulovat povinnost, aby dovozce osobních údajů informoval subjekty údajů o kontaktním místě a neprodleně vyřídil jakékoli stížnosti nebo žádosti. V případě sporu mezi dovozcem údajů a subjektem údajů, který se dovolává svých práv jako oprávněné osoby jako třetí strany, může subjekt údajů podat stížnost u příslušného orgánu dozoru nebo postoupit spor příslušným soudům v EU.
Nové SCC také obsahují významné změny, které se pokoušejí řešit scénáře, se kterými se dříve nepočítalo.
Modulární přístup
Nové SCC mají modulární strukturu doložek, které vývozci údajů použijí na základě povahy jejich rolí a odpovědností ve vztahu k danému přenosu údajů:
- Přenosy mezi správci (modul 1)
Přenosy mezi správcem a zpracovatelem (modul 2)
Přenosy mezi zpracovateli (modul 3)
Přenosy mezi zpracovatelem a správcem (modul 4)
Správcem je obvykle vlastník údajů, který rozhoduje o účelu a prostředcích zpracování osobních údajů, zatímco zpracovatel je obecně poskytovatelem služeb zabývajícím se zpracováním osobních údajů podle potřeby.
Předchozí SCC neuvažovaly o přenosech mezi správci nebo mezi zpracovatelem a správcem. Pokud při uzavírání smluv k takovým okolnostem došlo, mělo to za následek mnoho zmatených právníků a potenciální mezeru v zákonných přenosech dat. Aktualizace navíc - poprvé - uznávají, že vývozcem údajů může být subjekt mimo EU, což je užitečné, když se například na vývozce údajů ze zemí mimo EU vztahuje GDPR a chce předat údaje jinému subjektu v rámci EU.
Více stran
Aktualizované SCC umožňují více než dvěma stranám dodržovat smluvní podmínky SCC a dalším správcům a zpracovatelům by mělo být „umožněno přistoupit ke standardním smluvním doložkám jako vývozci nebo dovozci údajů po celou dobu platnosti smlouvy. O tomto složitějším smluvním „ekosystému“ staré SCC neuvažovaly.
Schrems II
S ohledem na rozhodnutí Schrems II obsahují nejnovější pokyny ustanovení, která řeší potenciální neschopnost dodržovat nové SCC v důsledku nepříznivých zákonů v zemi dovozce údajů. To zahrnuje ustanovení o tom, jak řešit žádosti státních orgánů o přístup k osobním údajům podle GDPR. Kromě toho musí strany zaručit, že v době souhlasu se SCC nemají žádný důvod se domnívat, že zákony a postupy platné pro dovozce údajů nejsou v souladu s novými požadavky SCC. Vyžaduje se také posouzení příslušných zákonů a postupů v zemi dovozce údajů na základě konkrétních okolností předání. Mnoho z těchto ustanovení odráží doporučení Evropské rady pro ochranu údajů (EDPB), která byla vydána v listopadu 2020 v návaznosti na Schrems II.
Nové SCC neřeší všechny obavy vznesené Soudním dvorem ve věci Schrems II a nadále existuje silný zájem na tom, aby USA a EU dosáhly dohody o novém štítu na ochranu soukromí a tato jednání v současné době probíhají - s primárním cílem vyhnout se budoucí Schrems III. Mezitím je třeba se spolehnout na SCC a další dostupné mechanismy pro přeshraniční přenosy dat do USA.
Subzpracovatelé
Nové SCC platí také pro scénáře subzpracovatelů. Například pokud je subzpracovatel dovozcem údajů v souladu s čl.28 odst.2 a 4 GDPR, musí SCC vymezit postup pro obecné nebo zvláštní povolení od vývozce údajů a požadavek na písemnou smlouvu se subzpracovatelem zajišťující stejnou úroveň ochrany jako podle ustanovení. Nové SCC dosahují souladu jak s článkem 28 GDPR, který upravuje dohody o zpracování údajů (DPA), tak s článkem 46, který upravuje přeshraniční přenosy, čímž se lze vyhnout nutnosti dvou samostatných smluv.
Správci a zpracovatelé
Druhá sada nových SCC poskytuje standardní zpracovatelskou smlouvu a související ustanovení, a to i pokud jde o jmenování zpracovatelů podle čl. 28, odst.7 GDPR. Tato standardní dohoda se primárně používá pro zpracovatele a správce usazené v EHP. K dnešnímu dni se organizace za tímto účelem spoléhaly na své vlastní zpracovatelské smlouvy.
Doporučení
Organizace mohou mít potenciálně desítky nebo dokonce stovky dodavatelských, zákaznických a dalších vztahů, které se při přeshraničních přenosech dat spoléhají na SCC. Vzhledem k významu a času pro povinné přijetí je třeba začít okamžitě reagovat na
- pohopení novýh SCC,
- určení, zda jsou ovlivněny jakékoli současné administrativní nebo technické procesy zpracování osobních údajů, a
- aktualizaci smluv, zásad a postupů dle potřeby.
Před 27. září 2021
Projděte si požadavky nových SCC tak, abyste pochopili, zda je nutné provést jakékoli interní administrativní nebo technické změny, aby bylo možné případně uzavřít nové SCC.
Připravte zpracovatelské smlouvy a nové SCC pro smluvní formuláře a šablony.
Identifikujte všechny aktuální smlouvy s dodavateli, zákazníky nebo jinými subjekty, které zahrnují a pracují podle starých SCC, včetně těch, které zahrnují subdodavatele.
Před 27. prosincem 2022
Identifikujte všechny existující smlouvy, které bude nutné do 27. prosince 2022 aktualizovat nebo změnit na nové SCC.
Identifikujte smlouvy odrážející vztahy mezi zpracovateli a správci - scénáře, které dříve nebyly zohledněny - a určete, zda jsou nová SCC nezbytná, i když aktuálně žádná SCC nemáte uzavřené.
Komunikujte s protistranami a vstupujte do smluvních jednání, abyste zajistili včasné přijetí nových SCC.
Infografika vztahů a řešení
SCC I CZ - pdf
SCC II CZ - pdf
SCC I - EUR Lex
SCC II - EUR Lex