Při předávání osobních údajů do třetích zemí a mezinárodním organizacím mimo Evropský hospodářský prostor (dále jen „EHP“) je nezbytné zajistit soulad postupu zejména s Kapitolou V (čl. 44 až 50) nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“), aby i v těchto případech byla zajištěna dostatečná ochrana předávaných osobních údajů.

První variantou, která umožňuje takové předávání, je rozhodnutí Evropské komise (dále jen „Komise“), že daná třetí země, jisté území, či odvětví, popř. mezinárodní organizace, poskytuje dostatečnou úroveň ochrany osobních údajů. Dokud je tato úroveň zajištěna, nic nebrání předání osobních údajů bez dalšího.

Pokud však Komise ve výše uvedeném smyslu nerozhodne, je možné podle čl. 46 odst. 1 GDPR využít další varianty - tzv. vhodné záruky, je-li současně zabezpečena vymahatelnost práv a účinnost právní ochrany subjektů údajů. V ustanovení čl. 46 odst. 2 GDPR jsou specifikovány vhodné záruky, které nevyžadují povolení dozorového úřadu. Čl. 46 odst. 3 GDPR pak dále vyjmenovává vhodné záruky, k jejichž použití je takové povolení nezbytné.

Stručný přehled vhodných záruk je následující:

• vhodné záruky, které nevyžadují povolení dozorového úřadu:
  • právně závazný a vymahatelný nástroj mezi orgány veřejné moci nebo veřejnými subjekty (např. dvoustranná mezinárodní dohoda);
  • závazná podniková pravidla schválená dozorovým úřadem;
  • standardní doložky o ochraně osobních údajů přijaté Komisí;
  • standardní doložky o ochraně osobních údajů přijaté dozorovým úřadem s následným schválením Komisí;
  • schválený kodex chování se závazky prosazování vhodných záruk a
  • schválený mechanismus pro vydání osvědčení se závazky prosazování vhodných záruk.
• vhodné záruky, k jejichž použití je nezbytné povolení dozorového úřadu:
  • smluvní doložky a
  • ustanovení určená k vložení do správních ujednání mezi orgány veřejné moci nebo veřejnými subjekty obsahující vymahatelná a účinná práva subjektu údajů (např. memorandum o porozumění).

Konečně nelze-li osobní údaje předávat do třetích zemí bezpečně způsoby zde vyjmenovanými (tj. na základě adekvátního rozhodnutí Komise nebo vhodných záruk), přichází v úvahu výjimky pro specifické situace zavedené čl. 49 GDPR. Mezi podmínkami, za kterých lze takové předání uskutečnit, nalezneme např. důležité důvody veřejného zájmu, souhlas subjektu údajů či předání v zájmu určení, výkonu, příp. obhajoby právních nároků apod.

Jednou z možností nevyžadujících další povolení dozorového úřadu je tedy využití standardních smluvních doložek. Jedná se o nenáročný nástroj, který fakticky představuje vzorový text smlouvy. Tu uzavírá správce s příjemcem osobních údajů, kterým může být buď další správce, nebo zpracovatel.[1] Dle druhu příjemce je v současnosti možné zvolit ze tří sad standardních smluvních doložek.[2]

Při předávání dalšímu správci osobních údajů se jedná o standardní smluvní doložky přijaté následujícími rozhodnutími Komise:

• Rozhodnutí Komise ze dne 15. června 2001 o standardních smluvních doložkách pro předávání osobních údajů do třetích zemí podle směrnice 95/46/ES a
• Rozhodnutí Komise ze dne 27. prosince 2004, kterým se mění rozhodnutí 2001/497/ES, pokud jde o zavádění alternativního souboru standardních smluvních doložek pro předávání osobních údajů do třetích zemí.

V případě předávání zpracovateli jsou standardní smluvní doložky stanoveny Rozhodnutím Komise ze dne 5. února 2010 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle směrnice Evropského parlamentu a Rady 95/46/ES.

Jejich obsah tvoří kromě identifikace smluvních stran také ujednání o vzájemných právech a povinnostech i o jejich odpovědnosti, jakož i bližší podrobnosti předávání osobních údajů.

„Významnou součástí standardních smluvních doložek je také doložka ve prospěch třetí strany, která přiznává subjektům údajů práva, která mohou uplatňovat zejména vůči vývozcům nebo dovozcům osobních údajů, ale také vůči dílčímu zpracovateli.“[3]

Všechny z výše uvedených standardních smluvních doložek je možné uzavřít jako samostatnou smlouvu, mohou však být také začleněny do obchodních podmínek nebo jiné smlouvy uzavřené mezi stranami.[4] Učinění standardních smluvních doložek součástí jiné smlouvy se jeví jako příhodné obzvlášť v situaci, kdy mají být osobní údaje předány zpracovateli, se kterým je nutné uzavřít též smlouvu o zpracování osobních údajů. Obojí je tak možné vyřídit jedním společným dokumentem.[5]

Standardizovaný text těchto doložek však nesmí být stranami měněn. Došlo-li by ke změnám, nejednalo by se již o vhodnou záruku bez nutnosti dalšího povolení dozorového úřadu, ale o smluvní doložky, pro jejichž použití by takové povolení naopak bylo nezbytné získat.[6]

Dosavadní rozhodnutí Komise o standardních smluvních doložkách byla vydána ještě dle směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995“) a zůstávají platná až do okamžiku jiného rozhodnutí Komise.

Zároveň doposud nebyly žádné standardní smluvní doložky přijaty českým Úřadem pro ochranu osobních údajů.

Hana Zabloudilová

Weinhold Legal, v.o.s. advokátní kancelář

Orlí 708/36
602 00 Brno

e-mail: wl@weinholdlegal.com
tel: +420 541 636 452