Před mikrofonem: Prosadil jsem první závazná podniková pravidla na Slovensku!
- Datum: 09.01.2024
- Autor: František Nonnemann
Závazná podniková pravidla (BCR) jsou jedním z nástrojů pro transfer dat podle GDPR. Jedny z prvních BCR ve střední Evropě pomáhal prosadit advokát Jakub Berthoty.
Jakub Berthoty, zakladatel a CEO slovenské advokátní kanceláře Dagital Legal. A člověk, který má ve středoevropském prostoru jako jeden z mála osobní zkušenost ze schvalování tzv. závazných podnikových pravidel (Binding Corporate Rules, BCR).
BCR jsou jedním z právních nástrojů pro bezpečné předávání osobních údajů do třetích zemí dle GDRP. Jakub zastupoval skupinu podniků Piano Group před slovenským dozorovým úřadem v několikaletém řízení, při kterém byly jejich BCR schvalovány.
Jen pro srovnání, slovenský úřad schválil závazná podniková pravidla pouze pro Piano Group. Český, polský ani rakouský úřad zatím neakceptoval žádná. Maďarský úřad dosud schválil jedna BCR. I proto je Jakubova zkušenost velmi zajímavá.
Jakube, Dagital Legal se zaměřuje na ochranu soukromí a ochranu osobních údajů. Předávání dat mimo EU/EHP jste jistě řešili mnohokrát. Proč byl v případě Piano Group zvolena cesta BCR a ne třeba v praxi daleko častějších, standardních smluvních doložek? Vymyslel to klient sám, nebo to bylo na základě vašeho doporučení?
Jakub Berthoty (JB): Navrhli sme to klientovi ako jedinú možnosť, ktorou sa americká skupina dokáže vyhnúť neustálym zmenám v kontraktácii a problémom s transferom osobných údajov do USA. Po zrušení Safe Harbor a Privacy Shieldu museli americké spoločnosti opakovane kontraktovať klientov na zmluvné doložky, čo si v zásade vyžadovalo aj otvorenie Data Processing Agreementov. Okrem toho GDPR nerieši všetky prípady prenosov, čo potvrdzujú aj najnovšie doložky Komisie. Tieto prípady sme museli klientom komplikovane vysvetľovať. Odkaz na BCR je oveľa jednoduchším riešením.
V čem spatřujete výhodu BCR proti smluvním doložkám? Pro jaké situace, podniky či účely zpracování údajů se tento nástroj hodí?
JB: V prvom rade to, že si ich píšete sami. BCR majú však obrovskú výhodu v tom, že sú prakticky nezávislé od zmeny režimu tretej krajiny. Aplikujeme ich na všetky prenosy dát, ktoré sú v nich vysvetlené, a zoznam krajín a členov si vieme koncoročne aktualizovať. Okrem toho obsahujú aj dodatočné záruky, ktoré ponúkajú najvyšší režim ochrany práv pri prenosoch. Na BCR režim majú tiež klienti (klienta) najmenej otázok.
Jak rozsáhlé podklady bylo nutné pro slovenský úřad pro ochranu osobních údajů připravit?
JB: Samotné BCR a sprievodný formulár sú pomerne dosť náročné a obsiahle dokumenty. Pôvodne sme sa snažili mať prevádzkovateľské a sprostredkovateľské BCR v jednom. GDPR to síce nezakazuje, ale dozorným orgánom sa to nepáčilo, tak sme dokumentáciu museli rozdeliť a prerobiť. Okrem toho sme pracovali s internou skupinovou politikou, rámcovou skupinovou zmluvou o spracúvaní osobných údajov a procesmi, ktoré sa týkali vzdelávania, transfer impact assessmentov a posudzovania právneho režimu v tretích krajinách. Tam chceli dozorné orgány vidieť aj dôkazy o aplikácií pravidiel a procesov. Myslím, že sme ku všetkému mali celkovo asi 8 kôl pripomienok, po ktorých sa vždy dokumenty mierne upravovali.
Jaká připomínka nebo jaký dotaz od zahraničních dozorových úřadů vás nejvíce překvapila?
JB: Bol som prekvapený, ako ostro CNIL vystupuje proti americkým subjektom. Koniec-koncov je to vidno aj na jeho rozhodnutiach. Odpovedali sme však aj na čisto neprávne odkazy a dotazy tohoto regulátora. CNIL napríklad tvrdil, že sme príliš malá skupina na BCR a pýtal sa, načo sú nám vlastne BCR, keď existujú štandardné zmluvné doložky. Samozrejme nič o veľkosti skupiny v GDPR ani usmerneniach nie je – vo vzťahu k možnosti prijať BCR. Zároveň CNIL vykladal usmernenia EDPB k transfer impact assessmentom oveľa reštriktívnejšie. Chvíľu sme mali dojem, že podľa CNIL nie je možné údaje do USA prenášať vôbec. Nakoniec však nemal výhrady, lebo ich mať reálne ani nemohol.
