Jakub Berthoty, zakladatel a CEO slovenské advokátní kanceláře Dagital Legal. A člověk, který má ve středoevropském prostoru jako jeden z mála osobní zkušenost ze schvalování tzv. závazných podnikových pravidel (Binding Corporate Rules, BCR).
BCR jsou jedním z právních nástrojů pro bezpečné předávání osobních údajů do třetích zemí dle GDRP. Jakub zastupoval skupinu podniků Piano Group před slovenským dozorovým úřadem v několikaletém řízení, při kterém byly jejich BCR schvalovány.
Jen pro srovnání, slovenský úřad schválil závazná podniková pravidla pouze pro Piano Group. Český, polský ani rakouský úřad zatím neakceptoval žádná. Maďarský úřad dosud schválil jedna BCR. I proto je Jakubova zkušenost velmi zajímavá.
Jakube, Dagital Legal se zaměřuje na ochranu soukromí a ochranu osobních údajů. Předávání dat mimo EU/EHP jste jistě řešili mnohokrát. Proč byl v případě Piano Group zvolena cesta BCR a ne třeba v praxi daleko častějších, standardních smluvních doložek? Vymyslel to klient sám, nebo to bylo na základě vašeho doporučení?
Jakub Berthoty (JB): Navrhli sme to klientovi ako jedinú možnosť, ktorou sa americká skupina dokáže vyhnúť neustálym zmenám v kontraktácii a problémom s transferom osobných údajov do USA. Po zrušení Safe Harbor a Privacy Shieldu museli americké spoločnosti opakovane kontraktovať klientov na zmluvné doložky, čo si v zásade vyžadovalo aj otvorenie Data Processing Agreementov. Okrem toho GDPR nerieši všetky prípady prenosov, čo potvrdzujú aj najnovšie doložky Komisie. Tieto prípady sme museli klientom komplikovane vysvetľovať. Odkaz na BCR je oveľa jednoduchším riešením.
V čem spatřujete výhodu BCR proti smluvním doložkám? Pro jaké situace, podniky či účely zpracování údajů se tento nástroj hodí?
JB: V prvom rade to, že si ich píšete sami. BCR majú však obrovskú výhodu v tom, že sú prakticky nezávislé od zmeny režimu tretej krajiny. Aplikujeme ich na všetky prenosy dát, ktoré sú v nich vysvetlené, a zoznam krajín a členov si vieme koncoročne aktualizovať. Okrem toho obsahujú aj dodatočné záruky, ktoré ponúkajú najvyšší režim ochrany práv pri prenosoch. Na BCR režim majú tiež klienti (klienta) najmenej otázok.
A v čem jsou hlavní rozdíly mezi BCR a smluvními doložkami nejen z pohledu zapojených organizací (správce, zpracovatel atd.), ale pro dotčené subjekty údajů? Je míra jejich kontroly nad předáváním dat podle vašeho názoru vyšší nebo srovnatelná, ovlivní je to vůbec?
JB: Obidva inštrumenty sa vo všeobecnosti snažia dosiahnuť to isté. Exportovať režim EÚ aj na organizácie mimo EÚ/EEA. Jeden to však robí na zmluvnej báze a druhý na báze administratívneho rozhodnutia a dobrovoľného pristúpenia. Vo výsledku je to veľmi podobné, avšak BCR majú jeden obrovský rozdiel. Skupina musí prejsť zdĺhavým procesom, pri ktorom si dozorné orgány posvietia aj na vnútorné veci, ako sú vzdelávací program, postavenie DPO v skupine, procesy monitorovania režimov v tretích krajín, interné predpisy, rozpočet na GDPR compliance a podobne. Pritom sú do procesu vždy zapojené viaceré dozorné orgány. V našom prípade napríklad francúzsky dozorný úrad (CNIL) zaujímal tzv. transfer impact assessment k prenosom do USA, ktorý klient vykonal a museli sme ho presvedčiť o tom, že máme prijaté vhodné dodatočné opatrenia v zmysle rozsudku Súdneho dvora EÚ vo veci Schrems II. Zmluvné doložky môže podpísať každý a deklarovať, je v súlade. BCR však znamenajú, že skupina prešla určitou kontrolou a je teda oveľa väčší predpoklad a istota súladu s reguláciou.
Jak rozsáhlé podklady bylo nutné pro slovenský úřad pro ochranu osobních údajů připravit?
JB: Samotné BCR a sprievodný formulár sú pomerne dosť náročné a obsiahle dokumenty. Pôvodne sme sa snažili mať prevádzkovateľské a sprostredkovateľské BCR v jednom. GDPR to síce nezakazuje, ale dozorným orgánom sa to nepáčilo, tak sme dokumentáciu museli rozdeliť a prerobiť. Okrem toho sme pracovali s internou skupinovou politikou, rámcovou skupinovou zmluvou o spracúvaní osobných údajov a procesmi, ktoré sa týkali vzdelávania, transfer impact assessmentov a posudzovania právneho režimu v tretích krajinách. Tam chceli dozorné orgány vidieť aj dôkazy o aplikácií pravidiel a procesov. Myslím, že sme ku všetkému mali celkovo asi 8 kôl pripomienok, po ktorých sa vždy dokumenty mierne upravovali.
Jaká byla první reakce slovenského úřadu, když jste mu oznámili záměr požádat o schválení BCR?
JB: Prvá reakcia bola, že úrad začal správne konanie, o čom nás upovedomil. Toto bolo kľúčové, lebo náš nešťastný zákon o ochrane osobných údajov pozná všeličo, ale proces schvaľovania BCR nie. Na to autori akosi pozabudli. Pozná síce BCR, ale v režime mimo pôsobnosti GDPR, čo je samo o sebe nepodarený vtip. Postupovali sme teda čisto podľa Správneho poriadku a GDPR, nič v našom zákone použiteľné nebolo. Preto sme mali na začiatku aj obavy, či úrad bude konať. Našťastie sme ho presvedčili, že konať musí.
Jak celý proces probíhal a jak dlouho trval?
JB: Trval takmer 3 roky. Myslím, že ani náš úrad na začiatku nevedel, čo nás čaká. Konanie malo viacero fáz, ktoré vôbec nie sú v GDPR popísané, ale definujú ich viaceré usmernenia WP29. Proces vyzerá tak, že najprv si BCR prejde vo viacerých kolách vedúci úrad (v tomto prípade slovenský) a potom sa BCR riešia na úrovni Európskeho zboru na ochranu osobných údajov (EDPB) aj s ďalšími dozornými orgánmi. Jeden dozorný orgán je menovaný ako co-reportér, ktorý vôbec nemusí mať nič spoločné s umiestnením Vašich prevádzkarni. Náš co-reportér bol rumunský dozorný orgán. Ide o zbieranie pripomienok, ich zapracovanie a úpravu dokumentov, ktoré sa opakuje v niekoľkých kolách. Na schválenie EDPB ide až úplne hotový dokument. GDPR v podstate pozná začiatok a koniec tohoto procesu.
Jaká připomínka nebo jaký dotaz od zahraničních dozorových úřadů vás nejvíce překvapila?
JB: Bol som prekvapený, ako ostro CNIL vystupuje proti americkým subjektom. Koniec-koncov je to vidno aj na jeho rozhodnutiach. Odpovedali sme však aj na čisto neprávne odkazy a dotazy tohoto regulátora. CNIL napríklad tvrdil, že sme príliš malá skupina na BCR a pýtal sa, načo sú nám vlastne BCR, keď existujú štandardné zmluvné doložky. Samozrejme nič o veľkosti skupiny v GDPR ani usmerneniach nie je – vo vzťahu k možnosti prijať BCR. Zároveň CNIL vykladal usmernenia EDPB k transfer impact assessmentom oveľa reštriktívnejšie. Chvíľu sme mali dojem, že podľa CNIL nie je možné údaje do USA prenášať vôbec. Nakoniec však nemal výhrady, lebo ich mať reálne ani nemohol.
Neměl jste už někdy chuť klientovi doporučit, aby to vzdal, žádost stáhnul a předávání osobních údajů mimo EU/EHS řešil jiným způsobem?
JB: Nemal, naozaj som to chcel dotiahnuť do konca. V praxi to klientovi naozaj pomáha a šetrí čas pri kontraktácii jeho vlastných klientov. Pre nás ako kanceláriu je to oveľa lepšia referencia ako akékoľvek iné ocenenie. Máme na poličke prvý schválený kódex správania (SAK) a BCR v republike. Už len získať prvú certifikáciu a pečať a zbierka bude hotová 😊
BCR pro Piano Group jsou schválené už něco málo přes rok (od prosince 2022). Jak fungují v praxi, potřebuje vás ještě klient?
Určite nás potrebuje menej pri kontraktácii klientov. V praxi je však stále nevyhnutné posudzovať tretie krajiny, reagovať na zmeny v právnom režime v tretích krajinách, aktualizovať transfer impact assessment a zoznamy BCR členov a krajín. Len v rovine cezhraničných prenosov je tých procesov dosť, ale majú skôr internú povahu a nezasahujú do zmlúv.
Kdybyste na počátku věděli, jak bude proces probíhat, doporučili byste klientovi znovu jít cestou BCR?
JB: Určite áno, len by som náš pôvodný časový a cenový odhad o niečo navýšil. Proces bol naozaj náročný, ale som rád, že klient to v konečnom dôsledku oceňuje a teší sa s nami.
Máte nějaké další zájemce, ozval se někdo další, kdo by chtěl využít vašich zkušeností a také požádat o schválení BCR na Slovensku?
JB: Je málo celosvetových skupín, ktoré majú hlavnú prevádzkareň (provoznu) umiestnenú na Slovensku. V Česku je ich určite viac. Výhodou procesu je, že nemá veľa spoločného s lokálnym právom. Ak však skupina nemá hlavnú prevádzkareň v EÚ, môže si rovnako ako Piano vymenovať prevádzkareň v ktoromkoľvek členskom štáte s tzv. delegovanými právomocami hlavnej prevádzkarne. Musíte však vedieť presvedčiť dozorné orgány, že práve tento dozorný orgán je ten vedúci. Myslím si, že existuje málo povedomia o tom, čo tento inštitút spolu s one-stop shop pravidlami v skutočnosti ponúka. Výsledkom BCR je, že neexistuje spor ohľadne toho, kto je hlavný dozorný orgán v EU. Ak by ktorýkoľvek iný dozorný orgán v EÚ chcel začať konanie alebo uložiť sankciu proti klientovi, musel by dané rozhodnutie vydať slovenský dozorný orgán, ktorý sa môže a nemusí stotožniť so všetkými závermi ostatných európskych úradov.