Global menu

Our global pages

Close

Nová pravidla pro předávání údajů mimo EU

  • Czech Republic
  • Privacy, data protection and cybersecurity - GDPR

21-09-2021

Evropská komise vydala nové vzorové standardní smluvní doložky („SSD“) k předávání osobních údajů mimo EU/EHP, které je nutné začít používat od 27. 9. 2021.

Co jsou to vlastně SSD a proč je to důležité?

Předávání osobních údajů do zemí mimo EU (resp. EHP) je možné bez dalšího pouze do zemí, u kterých EU na základě zvláštního rozhodnutí uznala, že poskytují odpovídající úroveň ochrany. Z poslední doby k tomu došlo např. ve vztahu k předávání do Velké Británie nebo Japonska.

Předání do ostatních zemí mimo EU je v zásadě možné, pouze pokud jsou vytvořeny vhodné záruky ochrany osobních údajů ze strany vývozce a dovozce údajů. A právě SSD jsou základním a v praxi zdaleka nejrozšířenějším nástrojem, jak je možné takové vhodné záruky podle GDPR vytvořit.

SSD představují vzorový závazný text smlouvy mezi vývozcem údajů z EU (správcem nebo nově i zpracovatelem osobních údajů a příjemcem údajů ze třetí země (správce nebo zpracovatel), jeho znění vydává Evropská komise.

Co se vlastně změnilo?

V červnu 2021 přistoupila Evropská komise k vydání nových SSD, které nahrazují původní SSD (aktualizované naposledy v roce 2010), a to jak s ohledem na nové požadavky GDPR, tak zejména v reakci na evropská soudní rozhodnutí ohledně předávání osobních údajů do USA (postupné zrušení mechanismů pro předávání Safe Harbour i následně i konečně Privacy Shield).

Zásadní koncepční změnou je rozšíření rozsahu nových SSD založeném na modulárním přístupu. Nové SSD upravují v jedné sadě čtyři různé moduly doložek, které vedle standardních vztahů mezi vývozcem a dovozcem údajů (správce – správce a správce – zpracovatel), upravují nyní zcela nově také vztahy zpracovatel – zpracovatel a zpracovatel – správce. Vývozce a dovozce údajů si musí podle svého vztahu zvolit příslušný modul, vybrat příslušná ustanovení, doložky a jejich přílohy vyplnit a uzavřít.

Dále přinášejí nové SSD podrobnější a některé zcela nové povinnosti pro vývozce a dovozce, a významně posilují práva subjektů údajů související s předáváním a jejich vymahatelnost, umožňují přistupování dalším stranám nebo upravují podrobnější povinnosti při zabezpečení nebo kontrolách.

Co a kdy musíte udělat?

Všichni správci a zpracovatelé musí především bezodkladně prověřit, zda a případně na jakém právním základě předávají nebo sdílejí osobní údaje (např. o svých zaměstnancích, zákaznících nebo návštěvnících svých webových stránek) mimo EU.

Pokud k takovému předávání využívají původní SSD, musí jako vývozci údajů přistoupit k následujícím krokům:

• Pouze do 27. 9. 2021 je možné využívat i staré původní znění SSD. Od 27. 9. 2021 je možné používat pro nově uzavírané vztahy spojené s předáváním údajů mimo EU již pouze nové SSD

• Nejpozději do 27. 12. 2021 musíte nahradit původní uzavřené staré SSD a uzavřít s dovozci údajů nové SSD

Jaké sankce hrozí?

Pokud nepřistoupíte k používání Nových SSD nebo k nahrazení původních SSD nejpozději do výše uvedených termínů, bude další předávání na jejich základě nezákonné. V takovém případě Vám budou hrozit nejen vysoké pokuty od příslušných dozorových úřadů (a to případně i zahraničních), ale budete odpovídat přímo za škodu či jinou újmu (způsobenou na straně dovozce) také přímo dotčeným fyzickým osobám.