Rozhodné právo ve zpracovatelských smlouvách
Zajímavý bod, s nímž se v praxi setkává, nebo by se alespoň měl setkávat, pověřenec pro ochranu osobních údajů, jsou smlouvy.
Vedle ustanovení obsažených v hlavní smlouvě o spolupráci s další společností (vztah odběratel-dodavatel) jde konkrétně především o tzv. zpracovatelské smlouvy dle čl. 28 GDPR a Standardní smluvní doložky dle čl. 46 GDPR ("SCC"), které umožňují přenosy osobních údajů mimo EU.
Využívá-li správce či zpracovatel dodavatele (tedy další zpracovatele), kteří pro něj dle jeho pokynů zpracovávají osobní údaje, musí s nimi dle čl.28 GDPR uzavřít zpracovatelskou smlouvu.
Cestují-li tato data mimo EU do tzv. třetí země, která nebyla Evropskou komisí prohlášena za z pohledu ochrany údajů bezpečnou, pak obvykle musí navíc uzavřít i SCC. Výjimku tvoří např. Závazná podniková pravidla ("BCR"), ale ta jsou v praxi používána poměrně málo. Za předání dat do třetí země se přitom považuje i situace, kdy má dodavatel pobočku mimo EU, která zajišťuje zpracování v časech, kdy EU spí a její pracovníci vzdáleně k datům přistupují, či mohou přistupovat. To zahrnuje prakticky všechny větší cloudové služby.
Upozorňuji, že tyto povinnosti platí nejen pro klasické dodavatele, ale i pro různé často přehlížené SAAS poskytovatele využívané v rámci backofficu jako např. Google, Zoom, Slack a další.
Zapojení pověřence
Dle čl. 38 odst. 1 GDPR společnost musí svého pověřence pro ochranu osobních údajů (DPO) o angažování dodavatele vždy informovat (jde jednoznačně o „záležitost týkající se zpracování osobních údajů“) a měla by si tedy vyžádat jeho stanovisko. A platí to i naopak, pokud je společnost zpracovatelem, nabízí dalším firmám službu, jejíž součástí je zpracování osobních údajů. Stanovisko pověřence musí být nezávislé, tedy DPO by dané smlouvy a faktické fungování a nastavení spolupráce neměl sám od počátku připravovat, jinak by kontroloval sám sebe. Nicméně nějaká menší konzultace při psaní někým jiným je jistě přípustná a může celý proces uzavření smlouvy urychlit.
Ve smlouvě je pak spousta ustanovení, které by pověřenec měl zkontrolovat. Dnes se budu zabývat jen jedním z nich, někdy trochu přehlíženým. Jedná se o u jednání o tzv. "rozhodném právu". To znamená dohoda, právem kterého státu se bude smlouva a z ní vzniklé právní vztahy řídit. A třeba i řešit případné spory.
Celkem často se k očím DPO dostane hlavní smlouva o spolupráci, zpracovatelská smlouva a SCC a tyto mohou být každá pod jiným rozhodným právem. Důvodem může být třeba to, že hlavní smlouva vychází ze šablony společnosti, zatímco šablona zpracovatelské smlouvy je "vnucená" dodavatelem a SCC pak jsou jen odkázané na web Evropské komise. Ve výsledku tak může nastat situace, kdy v každém dokumentu je uvedeno jiné rozhodné právo. Další komplikace do toho může vnést třeba to, kdy různé smlouvy připravují různé týmy v různých zemích, kde korporace podniká.
Proč je rozhodné právo důležité?
Rozhodné právo určuje, podle jakých zákonů se bude text ve smlouvě posuzovat a který soud bude řešit případné spory.
Pokud tedy uzavřete smlouvu podle práva státu Delaware v USA, což je klasika u mnoha SAAS dodavatelů, pak pokud by dodavatel neplnil nebo by třeba došlo k úniku dat, bude žalovatelný v Delaware a text bude posuzován dle zákonů státu Delaware. Jste-li např. vázáni zákony na ochranu spotřebitele a GDPR, pak hodně štěstí při domáhání se Vašich práv.
Je-li využito rozhodné právo ČR, pak na smlouvu se uplatní mnoho zákonných ochran a práv, která platí automaticky, aniž by byla ve smlouvě přímo zmíněna. Oblíbené "disclaimery" a "indemnifikace" přítomné v mnoha smlouvách psaných dle US zvyklostí, které jinak dodavatele zbavují téměř všech povinností a odpovědností, mohou být dle českého práva jednoduše neúčinné. Naopak, při využití některých jiných právních systémů (rozhodného práva) zkrátka co není explicitně ve smlouvě psáno, to neexistuje a to také nevymůžete, ať se stane cokoliv.
Obecně platí, že smlouvy se neuzavírají pro běžnou a normálně fungující obchodní spolupráci. Tehdy totiž smlouvy nikoho nezajímají a nikdo je nečte. Smlouvy se vlastně uzavírají hlavně ze dvou důvodů:
Něco se pokazilo a je potřeba vymoci plnění na dodavateli (např. odškodnění poškozeného zákazníka). Smlouva tedy řeší, jak postupovat, když je vše špatně a dodavatel už není nejlepší kamarád.
Nebo jste nuceni úřadu, auditorovi, mateřské společnosti či zákazníkovi prokázat soulad ("compliance") s nějakou regulací, např GDPR. Smlouva (je-li funkční) vás pak chrání proti pokutě či jiným problémům.
Pokud se ukáže, že ujednání ve smlouvě uvedená jsou sice hezká, ale podle sjednaného rozhodného práva jsou neúčinná, pak Vám taková smlouva mnohdy ani v jednom z těchto případů nepomůže.
Volba rozhodného práva může znamenat vyšší náklady a vyšší rizika
Na rozhodné právo je tedy nutné si dát pozor. Vždy je třeba zvážit, zda smlouvu uzavřenou třeba podle indického nebo amerického práva umíte vymáhat. Zda a jak rychle dokážete sehnat a zaplatit právníka s licencí v dané zemi. A mít alespoň rámcovou představu, kolik by to stálo.
Rozumné se jeví uzavírat smlouvy s pobočkou dodavatele, která je usídlena v EU, a tedy je povinna EU právo dodržovat. Pro společnosti působící v ČR tedy obvykle využít české právo. U nadnárodní firmy lze zvážit právo vaší mateřské firmy a jiným variantám se vyhnout.
Jak pomůže pověřenec pro ochranu osobních údajů?
Dobrý pověřenec pro ochranu osobních údajů ověří i tento aspekt a doporučí vhodnou úpravu. Tím chrání jednak subjekty údajů, ale také vedení právnické osoby (jednatelé, členové představenstva) i samotnou právnickou osobu, u níž je pověřencem.
Ano, je to právě řádně vybraný a kvalifikovaný pověřenec, který může společnosti, a to nejen jejím pracovníkům poveřeným řízením vztahů s dodavateli, ušetřit mnoho starostí a rizikových nákladů. V rámci interního kontrolního systému organizace se jeví jako velmi efektivní opatření povinné vyžádání stanoviska od pověřence pro všechny klíčové fáze procesu výběru a zasmluvnění dodavatele. Ideálním se jeví konzultovat pověřence již ve fázi záměru angažovat konkrétního dodavatele, zpracovatele osobních údajů, kdy pověřenec může včas nasměrovat činnosti správným směrem. Pomůže se například vyhnout dodavatelům ze zemí neposkytujícím adekvátní ochranu osobních údajů, nebo předejít drahým komplikacím plynoucím z požadavků na data residency či lokalizaci dat, a ušetřit tak komplikace a náklady v pozdějších fázích.
Zároveň je třeba v záverečné fázi zasmluvňování, ale vždy ještě před podpisem, získat souhlasné stanovisko od pověřence, že daná smlouva obsahuje povinné náležitosti, je vymahatelná a nepředstavuje pro subjekty údajů ani pro danou podepisující právnickou osobu vysoká rizika. Podobné nastavení procesu může dodat statutárním zástupcům kýžený komfort při podepisování smluv.
5 doporučení pro praxi
Všechny smlouvy s dopadem na zpracování osobních údajů nechte přezkoumat Pověřencem. Ještě před jejich podpisem.
Sjednávejte jen takové rozhodné právo, které vás chrání a které umíte vymáhat.
Ptáte-li se na radu kolem ochrany osobních údajů právníka, pak se vždy ptejte takového, který je oprávněn poskytovat právní rady v dotyčných jurisdikcích a k dotyčným jurisdikcím, nebo je alespoň dokáže rychle sehnat.
Při uzavírání smluv mějte na paměti, že to má být efektivní nástroj pro řešení špatných časů a problémů s odběratelem nebo dodavatelem.
Nemáte-li dostatečně silnou vyjednávací pozici k reálné úpravě textu smlouvy, pak ji alespoň uzavřete s pobočkou dodavatele v EU.
