Nový návrh standardních smluvních doložek pro předávání osobních údajů do třetích zemí a úpravu vztahů mezi správcem a zpracovatelem

25. listopadu 2020

Dne 12. listopadu 2020 zveřejnila Evropská komise dva návrhy prováděcích aktů (rozhodnutí): jednak (1) návrh, který obsahuje nový soubor standardních smluvních doložek pro předávání osobních údajů z EU do třetích zemí (dále též „SSD“), jednak (2) návrh nových standardních smluvních doložek pro smlouvy o zpracování osobních údajů mezi správci a zpracovateli podle čl. 28 odst. 7 GDPR. Na nové SSD všichni netrpělivě čekají poté, co Soudní dvůr Evropské unie prohlásil ve svém rozsudku Schrems II. z července 2020 neplatnost programu EU-USA Štít soukromí (Privacy Shield), i když zůstává nejasné, zda tyto nové SSD dokáží překonat těžkosti plynoucí z legislativy států, kam jsou osobní údaje předávány, a která je v rozporu s GDPR (jako např. legislativa USA umožňující plošné sledování elektronické komunikace bez odpovídajícího zajištění soukromí evropských subjektů údajů).

Občané a další zainteresované osoby mají čas do 10. prosince 2020 na to, aby poskytli zpětnou vazbu k výše uvedeným návrhům. Po tomto datu bude příslušný výor hlasovat o přijetí nebo zamítnutí návrhu prováděcích aktů.

Zveřejněný návrh prováděcího aktu o SSD zahrnuje mimo jiné přílohu obsahující konkrétní smluvní doložky; tato příloha je založena na modulárním přístupu zohledňujícím různé scénáře přeshraničního předávání osobních údajů. Strany, které se účastní předávání osobních údajů mimo EU, mohou při předávání osobních údajů vycházet z obecných doložek a příslušného modulu použitelného pro daný případ zpracování.

Nové standardní smluvní doložky mohou být použity pro předávání osobních údajů (1) od správců v EU správcům ve třetí zemi, (2) od správců v EU zpracovatelům ve třetí zemi, (3) od zpracovatelů v EU dalším zpracovatelům (podzpracovatelům) ve třetí zemi, (4) od správců nacházejících se ve třetí zemi, na něž se vztahují povinnosti dle GDPR, zpracovatelům mimo územní působnost GDPR a (5) od zpracovatelů nacházejících se ve třetí zemi, na něž se vztahují povinnosti dle GDPR, dalším zpracovatelům (podzpracovatelům) mimo územní působnost GDPR.

Navrhované SSD jsou vydané v souladu s GDPR. Jejich působnost je širší než působnost starých SSD, neboť se týkají většího počtu situací zpracování a předávání osobních údajů a jsou založené na flexibilnějším přístupu, pokud jde například o počet stran, které se mohou ke smlouvě připojit.

Nové SSD nezbavují strany povinnosti předem posoudit pravděpodobné důsledky aplikace právních předpisů třetí země. Dle nových SSD jsou strany povinny provést analýzu minimální přiměřenosti s cílem vyhodnotit, zda budou právní předpisy třetí země bránit dovozci údajů v dodržování SSD v praxi.

Standardní smluvní doložky nově požadují, aby byla subjektům údajů na požádání poskytnuta kopie nových SSD a aby byly informovány zejména o (a) každé změně účelu zpracování a (b) totožnosti jakékoli třetí osoby, které budou osobní údaje předány. SSD rovněž nově (1) stanoví, že jakékoli další předání osobních údajů dovozcem příjemci v jiné třetí zemi vyžaduje, aby se takový příjemce připojil k SSD, nebo aby subjekt údajů udělil k tomu výslovný a informovaný souhlas; (2) podrobněji upravují odpovědnost mezi stranami a vůči subjektům údajů, a dále též upravují kompenzační povinnosti mezi stranami zapojenými do předávání osobních údajů; (3) reagují na zvláštní situace zpracování, například sloučení zpracovatelem údajů osobních údajů, které nespadají do působnosti GDPR, s osobními údaji naopak spadajícími do působnosti GDPR; (4) výslovně vyžadují, aby další zpracovatel (subzpracovatel) zpracovával osobní údaje v souladu s pokyny jak zpracovatele, tak správce osobních údajů, atd.

Evropská komise zvlášť navrhla standardní smluvní doložky, které by se používaly ve smlouvách o zpracování osobních údajů mezi správci a zpracovateli. Tyto standardní smluvní doložky jsou reakcí Evropské komise na ustanovení čl. 28 odst. 7 GDPR, které Evropské komisi umožňuje „stanovit standardní smluvní doložky“ pro záležitosti uvedené v čl. 28 odst. 3 a 4 GDPR v případě, že správce zapojí do zpracování zpracovatele, aby pro správce prováděl konkrétní zpracovatelské činnosti. Evropská komise vypracovala tyto standardní smluvní doložky pro smlouvy o zpracování osobních údajů s cílem standardizovat práva a povinnosti příslušných stran při zpracování osobních údajů i v případě předávání údajů uvnitř Evropského hospodářského prostoru.

Název cookie	Typ a funkce	Zdroj	Doba uložení
SERVERID	Nezbytně nutná cookie - Zajišťuje, aby uživatel během konkrétního návštěvy/sezení používal tentýž server. Cookie nastavuje poskytovatel infrastruktury a jedná se funkční nezbytně nutný prvek.	PRK Partners	Session
CMS-{ID}-FE	Nezbytně nutná cookie - ukládá unikátní identifikátor pro danou session na webu	PRK Partners	Session
CMS-{ID}-FE-language	Nezbytně nutná cookie - ukládá unikátní identifikátor pro zvolený jazyk webu	PRK Partners	1 den
CMS-{ID}-FE-cookies_allow_ac	Nezbytně nutná cookie - ukládá nastavení souhlasu návštěvníka se sběrem analytických údajů o jeho pohybu na webu.	PRK Partners	5 let
CMS-{ID}-FE-cookies_allow_mc	Nezbytně nutná cookie - ukládá nastavení souhlasu návštěvníka se sběrem údajů pro marketingové účely.	PRK Partners	5 let
CMS-{ID}-FE-cookies_notification	Nezbytně nutná cookie - ukládá informaci, zda byla již v minulosti potvrzena cookie lišta	PRK Partners	5 let

Název cookie	Typ a funkce	Zdroj	Doba uložení
_ga	Analytická cookie - Cookie slouží k rozlišení jedinečných uživatelů přiřazením náhodně vygenerovaného čísla jako identifikátoru. Je zahrnuta do každé žádosti o stránku na webu a používá se k výpočtu údajů o návštěvnících, relacích a kampaních pro analytické přehledy stránek.	Google	2 roky
_gat	Analytická cookie - Soubor cookie _gat se používá k omezení požadavků na analytiku k omezení požadavků odesílaných z vašeho prohlížeče do služeb Google. Soubory cookie mají několik omezení, která mohou způsobit nadměrné vykazování počtu uživatelů	Google	1 den
_gid	Analytická cookie - Registruje jedinečný identifikátor, který se používá ke generování statistických údajů o tom, jak návštěvník web používá	Google	1 den
_hjIncludedInSample	Analytická cookie - Slouží k webové analýze nástrojem HotJar, identifikuje návštěvníka během relace	HotJar	Session
_hjid	Analytická cookie - Ukládá unikátní identifikátor návštěvníka webu.	HotJar	1 rok
_dc_gtm_UA-*	Analytická cookie - Uplatňuje se, pokud jsou Google Analytics vložené přes Google Tag Manager. Má stejnou funkci jako _gat.	Google	Session

Název cookie	Typ a funkce	Zdroj	Doba uložení
_fbp	Marketingová cookie - Slouží k trackování návštěv napříč webovými stránkami	Facebook	3 měsíce
_gcl_au	Marketingová cookie - Zjišťování reklamní efektivity v rámci webů, které uživatel navštěvuje	Google Adsense	3 měsíce
NID	Marketingová cookie - Ukládá jedinečný identifikátor, který identifikuje vracejícího se uživatele a je využito pro cílení reklamy	Google	6 měsíců