Pred mikrofónom: Presadil som prvý závazné podnikové pravidlá na Slovensku!

Jakub Berthoty, zakladateľ a CEO slovenskej advokátskej kancelárie Dagital Legal. A človek, ktorý má v stredoeurópskom priestore ako jeden z mála osobnú skúsenosť zo schvaľovania tzv. záväzných podnikových pravidiel (Binding Corporate Rules, BCR).

BCR sú jedným z právnych nástrojov pre bezpečné odovzdávanie osobných údajov do tretích krajín podľa GDRP. Jakub zastupoval skupinu podnikov Piano Group pred slovenským dozorným úradom v niekoľkoročnom konaní, pri ktorom boli ich BCR schvaľované.

Len pre porovnanie, slovenský úrad schválil záväzné podnikové pravidlá iba pre Piano Group. Český, poľský ani rakúsky úrad zatiaľ neakceptoval žiadna. Maďarský úrad doteraz schválil jedna BCR. Aj preto je Jakubova skúsenosť veľmi zaujímavá.

Jakube, Dagital Legal sa zameriava na ochranu súkromia a ochranu osobných údajov. Zasielanie údajov mimo EÚ/EHP ste určite riešili mnohokrát. Prečo bola v prípade Piano Group zvolená cesta BCR a nie napríklad v praxi oveľa častejších, štandardných zmluvných doložiek? Vymyslel to klient sám, alebo to bolo na základe vášho odporúčania?

Jakub Berthoty (ďalej len JB): "Navrhli sme to klientovi ako jedinú možnosť, ktorej sa americká skupina dokáže vyhnúť neustálym zmenám v kontraktácii a problémom s transferom osobných údajov do USA. Po zrušení Safe Harbor a Privacy Shieldu museli americké spoločnosti opakovane kontraktovať klientov na zmluvné doložky, čo si v zásade vyžadovalo aj otvorenie Data Processing Agreementov. Okrem toho GDPR nerieši všetky prípady prenosov, čo potvrdzujú aj najnovšie doložky Komisie. Tieto prípady sme museli klientom komplikovane vysvetľovať. Odkaz na BCR je oveľa jednoduchším riešením."

V čom vidíte výhodu BCR proti zmluvným doložkám? Na aké situácie, podniky alebo účely spracovania údajov sa tento nástroj hodí?

JB: "V prvom rade to, že si ich píšete sami. BCR majú však obrovskú výhodu v tom, že sú prakticky nezávislé od zmeny režimu tretích krajín. Aplikujeme ich na všetky prenosy dát, ktoré sú v nich vysvetlené, a zoznam krajín a členov si vieme koncoročne aktualizovať. Okrem toho obsahujú aj dodatočné záruky, ktoré ponúkajú najvyšší režim ochrany práv pri prenosoch. Na BCR režim majú tiež klienti (klienta) najmenej otázok."

Aké rozsiahle podklady bolo nutné pre slovenský úrad na ochranu osobných údajov pripraviť?

JB: "Samotné BCR a sprievodný formulár sú pomerne dosť náročné a obsiahle dokumenty. Pôvodne sme sa snažili mať prevádzkovateľské a sprostredkovateľské BCR v jednom. GDPR to síce nezakazuje, ale dozorným orgánom sa to nepáčilo, tak sme dokumentáciu museli rozdeliť a prerobiť. Okrem toho sme pracovali s internou skupinovou politikou, rámcovou skupinovou zmluvou o spracúvaní osobných údajov a procesmi, ktoré sa týkali vzdelávania, transfer impact assessmentov a posúdenia právneho režimu v tretích krajinách. Tam chceli dozorné orgány vidieť aj dôkazy o aplikácii pravidiel a procesov. Myslím, že sme ku všetkému mali celkovo asi 8 kôl pripomienok, po ktorých sa vždy dokumenty mierne upravovali."

Aká pripomienka alebo aká otázka od zahraničných dozorných úradov vás najviac prekvapila?

JB: "Bol som prekvapený, ako ostro CNIL vystupuje proti americkým subjektom. Koniec-koncov je to vidieť aj na jeho rozhodnutiach. Odpovedali sme však aj na čisto neprávne odkazy a otázky tohto regulátora. CNIL napríklad tvrdil, že sme príliš malá skupina na BCR a pýtal sa, načo sú nám vlastne BCR, keď existujú štandardné zmluvné doložky. Samozrejme nič o veľkosti skupiny v GDPR ani usmerneniach nie je – vo vzťahu k možnosti prijať BCR. Zároveň CNIL vykladal usmernenia EDPB na transfer impact assessmentom oveľa reštriktívnejšie. Chvíľu sme mali dojem, že podľa CNIL nie je možné údaje do USA prenášať vôbec. Nakoniec však nemal výhrady, pretože ich mať reálne ani nemohl."