Standardní smluvní doložky
Standardní smluvní doložky (SCC) jsou předem schválené právní šablony vydané Evropskou komisí, které organizacím umožňují přenášet osobní údaje z EU do zemí mimo EU, které nemají přiměřené právní předpisy na ochranu údajů. Fungují jako smluvní záruka, že údaje budou chráněny podle standardů EU, i když opustí Unii.
Právní základ
Standardní smluvní doložky jsou stanoveny v rámci GDPR jako mechanismus pro zákonné mezinárodní přenosy údajů:
„Komise může […] přijmout standardní doložky o ochraně údajů pro záležitosti uvedené v odstavci 2 písm. c) a d)."
— Článek 46 odst. 2 písm. c) a článek 46 odst. 2 písm. d), nařízení (EU) 2016/679 (GDPR)
Proč na tom záleží
Standardní smluvní doložky jsou zásadní pro jakoukoli organizaci zapojenou do politické reklamy, která zpracovává osobní údaje přes hranice. Když služby politické reklamy využívají techniky cílení nebo techniky doručování reklam, které se opírají o osobní údaje, a tyto údaje jsou přenášeny do zemí mimo EU/EHP, SCC poskytují právní základ pro tyto přenosy.
Pro vydavatele, poskytovatele služeb politické reklamy a zadavatele spolupracující s mezinárodními partnery – jako jsou poskytovatelé cloudových služeb ve Spojených státech, analytické platformy nebo globální reklamní sítě – jsou SCC často nejpraktičtějším nástrojem k zajištění souladu s GDPR. Bez řádných mechanismů přenosu, jako jsou SCC, je přenos osobních údajů mimo EU nezákonný a může vést k významným sankcím ze strany orgánů pro ochranu osobních údajů.
Soudní dvůr Evropské unie jasně uvedl, že samotné SCC nejsou vždy dostačující. Organizace musí rovněž posoudit, zda právní předpisy cílové země by mohly podkopat ochranu zaručenou doložkami, a v případě potřeby zavést dodatečná ochranná opatření.
Klíčové body
- Předem schválené šablony: SCC jsou vypracovány Evropskou komisí a nemohou být měněny ve svých podstatných ustanoveních, což zajišťuje jednotné standardy ochrany
- Závazné povinnosti: Jak vývozce údajů (v EU), tak dovozce údajů (mimo EU) jsou smluvně zavázáni chránit údaje v souladu s právem EU
- Vyžadováno posouzení dopadu přenosu: Organizace musí posoudit, zda právní předpisy cílové země by mohly zasáhnout do záruk poskytovaných SCC
- K dispozici více verzí: Existují různé sady SCC pro různé scénáře přenosu (správce-správce, správce-zpracovatel, zpracovatel-zpracovatel)
- Alternativa k rozhodnutím o přiměřenosti: SCC se používají při přenosu údajů do zemí, které nemají rozhodnutí EU o přiměřenosti (jako jsou Spojené státy po Privacy Shield)
- Monitorování a dodržování: Obě strany musí zajistit průběžné dodržování a může být nutné pozastavit nebo ukončit přenosy, pokud nelze zaručit ochranu
Standardní smluvní doložky vs. Rozhodnutí o přiměřenosti
Standardní smluvní doložky a rozhodnutí o přiměřenosti jsou oba právními mechanismy pro přenos osobních údajů mimo EU, ale fungují odlišně.
Rozhodnutí o přiměřenosti je formální stanovisko Evropské komise, že konkrétní země poskytuje v podstatě rovnocennou úroveň ochrany údajů jako EU. Pokud existuje rozhodnutí o přiměřenosti (jako pro rámec EU-USA pro ochranu soukromí údajů, Spojené království nebo Kanadu), mohou údaje volně proudit do této země bez dodatečných ochranných opatření.
Standardní smluvní doložky se naproti tomu používají, když neexistuje rozhodnutí o přiměřenosti. Jsou to smluvní ujednání, která vyžadují, aby se obě strany zavázaly ke konkrétním povinnostem v oblasti ochrany údajů. Zatímco SCC poskytují flexibilitu a mohou být použity pro jakoukoli třetí zemi, vyžadují aktivnější implementaci, průběžné monitorování a posouzení dopadu přenosu – zatímco rozhodnutí o přiměřenosti zjednodušují dodržování předpisů tím, že tyto dodatečné kroky eliminují.
| Aspekt | Standardní smluvní doložky | Rozhodnutí o přiměřenosti |
|---|---|---|
| Rozsah | Konkrétní přenosy mezi stranami | Všechny přenosy do země |
| Schválení | Smluvní ujednání | Rozhodnutí Komise EU |
| Posouzení | Vyžadováno posouzení dopadu přenosu | Není třeba dalšího posouzení |
| Flexibilita | Vysoká (lze použít kdekoli) | Omezená (pouze určené země) |