Stanovisko 17/2020 k návrhu standardních smluvních doložek předloženému slovinským dozorovým úřadem

Stanovisko 17/2020 k návrhu standardních smluvních doložek předloženému slovinským dozorovým úřadem

(čl. 28 odst. 8 obecného nařízení o ochraně osobních údajů)

Přijato dne 19. května 2020

OBSAH

1 Shrnutí skutečností 4

2 Posouzení 4

2.1 Obecné odůvodnění sboru týkající se souboru standardních smluvních doložek 4

2.2 Analýza návrhu standardních smluvních doložek 5

2.2.1 Obecná poznámka k celým SSD 5

2.2.2 Preambule (doložka 1 SSD) 5

2.2.3 Zpracovatel údajů jedná podle pokynů (doložka 3 SSD) 6

2.2.4 Mlčenlivost (doložka 4 SSD) 6

2.2.5 Zabezpečení zpracování (doložka 5 SSD a dodatek C.2) 6

2.2.6 Předávání údajů do třetích zemí nebo mezinárodním organizacím (doložka 7 SSD a dodatek C.6 SSD) 7

2.2.7 Poskytování součinnosti správci údajů (doložka 8 SSD a dodatek C.3 SSD) 7

2.2.8 Ohlašování případů porušení zabezpečení osobních údajů (doložka 9 SSD) 7

2.2.9 Výmaz a vrácení údajů (doložka 10 SSD a dodatek C.4) 7

2.2.10 Audit a inspekce (článek 11 SSD a dodatky C.7 a C.8) 8

2.2.11 Nabytí účinnosti a ukončení (doložka 13 SSD) 8

2.2.12 Kontakty / kontaktní osoby správce a zpracovatele údajů (článek 14 SSD) 8

2.2.13 Dodatek A 8

2.2.14 Dodatek B 9

3 Závěry 9

4 Závěrečné poznámky 9

Evropský sbor pro ochranu osobních údajů

s ohledem na čl. 28 odst. 8, článek 63 a čl. 64 odst. 1 písm. d), odst. 3 – 8 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen

„nařízení GDPR“),

s ohledem na Dohodu o EHP a zejména přílohu XI a protokol 37 k uvedené dohodě ve znění rozhodnutí Smíšeného výboru EHP č. 154/2018 ze dne 6. července 20181,

s ohledem na články 10 a 22 svého jednacího řádu ze dne 25. května 2018,

vzhledem k těmto důvodům:

1) Hlavní úlohou Evropského sboru pro ochranu osobních údajů (dále jen „sbor“) je zajistit jednotné uplatňování obecného nařízení o ochraně osobních údajů v celé Unii. Za tímto účelem vydá sbor stanovisko na základě čl. 64 odst. 1 písm. d) GDPR, pokud bude mít dozorový úřad (dále jen „DÚ“) v úmyslu stanovit standardní smluvní doložky (dále jen „SSD“) podle čl. 28 odst. 8 nařízení. Cílem tohoto stanoviska je proto přispět k harmonizovanému přístupu, pokud jde o opatření přijímaná dozorovým úřadem, jejichž účelem je vyvolat právní účinky, pokud jde o operace zpracování, které podstatným způsobem dopadají na významný počet subjektů údajů v několika členských státech, a k důslednému provedení konkrétních ustanovení nařízení GDPR.

2) V podmínkách vzájemného vztahu mezi správcem údajů a zpracovatelem údajů (nebo zpracovateli údajů) stanoví nařízení GDPR ve svém článku 28 pro zpracování osobních údajů soubor ustanovení týkajících se uzavření konkrétní smlouvy mezi zúčastněnými stranami a kogentní ustanovení, která by do ní měla být začleněna.

3) Podle čl. 28 odst. 3 nařízení GDPR se zpracování prováděné zpracovatelem údajů „řídí smlouvou nebo jiným právním aktem podle práva Unie nebo členského státu, které zavazují zpracovatele vůči správci ”; je tedy stanoven soubor konkrétních aspektů, které upravují smluvní vztah mezi stranami, mimo jiné včetně předmětu a délky trvání zpracování, jeho povahy a účelu, druhu osobních údajů a kategorií subjektů údajů.

4) Podle čl. 28 odst. 6 nařízení GDPR a aniž je dotčena konkrétní smlouva mezi správcem údajů a zpracovatelem údajů, mohou smlouva nebo jiný právní akt uvedený v čl. 28 odst. 3 a 4 nařízení GDPR vycházet zcela nebo částečně ze standardních smluvních doložek. Tyto standardní smluvní doložky se přijímají ve vztahu k záležitostem uvedeným v odstavcích 3 a 4.

5) Ustanovení čl. 28 odst. 8 nařízení GDPR dále stanoví, že dozorový úřad je oprávněn přijmout soubor standardních smluvních doložek v souladu s mechanismem jednotnosti uvedeným v článku 63. To znamená, že dozorové úřady jsou prostřednictvím mechanismu jednotnosti povinny spolupracovat s ostatními členy sboru a případně i s Evropskou komisí. Dozorové úřady jsou podle čl. 64 odst. 1

1 Pokud se v tomto stanovisku hovoří o „Unii”, rozumí se tím „EHP“.

písm. d) povinny sdělit sboru případný návrh rozhodnutí, jehož cílem je vymezit standardní smluvní doložky podle čl. 28 odst. 8. V této souvislosti je sbor povinen vydat stanovisko k dané záležitosti podle čl. 64 odst. 3, pokud již ve stejné věci stanovisko nevydal.

6) Přijaté standardní smluvní doložky představují soubor záruk, které budou použity tak, jak jsou, protože jejich smyslem je ochrana subjektů údajů a zmírňování konkrétních rizik související se základními zásadami ochrany osobních údajů.

7) Stanovisko sboru bude podle čl. 64 odst. 3 nařízení GDPR ve spojení s čl. 10 odst. 2 jednacího řádu sboru přijato do osmi týdnů od prvního pracovního dne poté, co předseda a příslušný dozorový úřad rozhodnou, že předložený spis je úplný. Z rozhodnutí předsedy lze tuto lhůtu s přihlédnutím ke složitosti dané věci prodloužit o dalších šest týdnů.

EVROPSKÝ SBOR PRO OCHRANU OSOBNÍCH ÚDAJŮ TEDY PŘIJAL TOTO STANOVISKO:

1 SHRNUTÍ SKUTEČNOSTÍ

1. Slovinský dozorový úřad (dále jen „slovinský DÚ“) předložil sboru návrh rozhodnutí a návrh standardních smluvních doložek a požádal o stanovisko podle čl. 64 odst. 1 písm. d) pro zajištění jednotného přístupu na úrovni Unie. Rozhodnutí o úplnosti spisu bylo přijato dne 21. února 2020. Sekretariát sboru rozeslal spis všem členům jménem předsedy dne 21. února 2020.

2. Sbor obdržel návrh SSD od slovinského DÚ společně s návrhem rozhodnutí, ve kterém byly objasněny východiska a struktura standardních smluvních doložek. Oba dokumenty předložil slovinský DÚ v anglickém jazyce.

3. V souladu s čl. 10 odst. 2 jednacího řádu sboru2 se předseda vzhledem ke složitosti dané věci rozhodl prodloužit počáteční období pro přijetí v délce osmi týdnů o dalších šest týdnů (do 29. května 2020).

2 POSOUZENÍ

2.1 Obecné odůvodnění sboru týkající se souboru standardních smluvních doložek

4. Jakýkoli soubor standardních smluvních doložek předložených sboru podle čl. 28 odst. 8 a čl. 64 odst. 1 písm. d) musí blíže upřesňovat ustanovení článku 28 nařízení GDPR. Cílem stanoviska sboru je zajistit jednotnost a správné uplatňování článku 28 nařízení GDPR, pokud jde o předložený návrh doložek, které by mohly sloužit jako standardní smluvní doložky podle čl. 28 odst. 8 nařízení GDPR.

5. Sbor bere na vědomí, že návrh SSD předložený sboru, se skládá ze dvou částí:

1) obecné části, která obsahuje obecná ustanovení, která budou použita „tak, jak jsou“ a

2 6. verze, ve znění posledních změn, která byla přijata dne 29. ledna 2020.

2) konkrétní části, kterou musí strany doplnit s ohledem na konkrétní zpracování upravené příslušnou smlouvou.

6. Kromě toho slovinský DÚ ve svém návrhu rozhodnutí objasňuje, že vzorová smlouva (SSD) „upravuje hlavní problémy, o kterých často správci a zpracovatelé diskutují při určování svých vzájemných práv a povinností“, a že v konkrétnější rovině „řeší primárně obsah stanovený v čl. 28 odst. 3 nařízení GDPR“, ale „také se zabývá otázkami, které mohou podle [jejich] zkušeností vyvolávat mezi stranami nejistotu a vyžadují tedy zvláštní pozornost“.

7. Z aspektů, ke kterým by měl sbor přihlédnout, upřesnil slovinský DÚ členům sboru ve své žádosti to, že se řídil příkladem SSD předloženým dánským DÚ3 a zvážil stanovisko sboru 14/2019, které sbor přijal dne 9. července 20194. Sbor bere na vědomí, že slovinský DÚ vzal v úvahu uvedené stanovisko, které již sbor přijal k návrhu SSD za účelem dodržení článku 28 nařízení GDPR, a připomíná, že hodnocení každého návrhu rozhodnutí podléhajícího mechanismu jednotnosti se provádí individuálně a na základě jeho vlastní podstaty, s přihlédnutím k cíli zajištění jednotnosti.

8. Pokud stanovisko mlčí k jedné nebo několika doložkám SSD předložených slovinským DÚ, znamená to, že sbor nepožaduje, aby slovinský DÚ podnikal v souvislosti s danou konkrétní doložkou jakékoli další kroky.

2.2 Analýza návrhu standardních smluvních doložek

2.2.1 Obecná poznámka k celým SSD

9. Vzhledem k tomu, že smlouva podle článku 28 nařízení GDPR by měla dále rozvádět a objasňovat, jak budou splněny povinnosti podle čl. 28 odst. 3 až 4, je nutné SSD analyzovat v jejich plném rozsahu.

10. Sbor dále připomíná, že možnost použít standardní smluvní doložky přijaté dozorovým úřadem nebrání stranám v tom, aby doplňovaly další doložky nebo další záruky za předpokladu, že tyto nebudou přímo nebo nepřímo v rozporu s přijatými standardními smluvními doložkami nebo nebudou zasahovat do základních práv nebo svobod subjektů údajů. Dále, pokud budou standardní doložky pozměněny, nebude se mít za to, že strany provedly přijaté standardní smluvní doložky.

2.2.2 Preambule (doložka 1 SSD)

11. Pokud jde o doložku 1.5 SSD, sbor poznamenává, že standardní smluvní doložky přijímané za účelem naplnění článku 28 sledují i jiné cíle. Sbor tedy vyzývá slovinský DÚ, aby přeformuloval danou větu takto: „Účelem doložek je chránit práva subjektů údajů, zmírňovat konkrétní rizika ochrany údajů a zajistit jasnost ve vztahu mezi správcem a zpracovatelem a ohledně příslušných práv a povinností“.

3 Konečné znění standardních smluvních doložek pro účely dodržení článku 28 nařízení GDPR přijatých dánským DÚ je k dispozici na tomto odkazu: xxxxx://xxxx.xxxxxx.xx/xxx-xxxx-xxxxx/xxx-xxxxxxxxx/xxxxxxxx-xx/xx-xx- standard-contractual-clauses-purposes-compliance-art_en.

4 Stanovisko sboru 14/2019 k návrhu standardních smluvních doložek předložených dánským DÚ (čl. 28 odst. 8 nařízení GDPR), přijaté dne 9. července 2019, je k dispozici na tomto odkazu: xxxxx://xxxx.xxxxxx.xx/xxxxx/xxxx/xxxxx/xxxxx/xxxx0/xxxx_xxxxxxx_000000_xx_xxx_xx.xxx.

2.2.3 Zpracovatel údajů jedná podle pokynů (doložka 3 SSD)

12. Pokud jde o doložku 3.1 SSD, sbor vyzývá slovinský DÚ, aby do formulace „právo Unie [nebo] členského státu“ doplnil slovo „nebo“.

13. V doložce 3.3 SSD stanoví, že „[zpracovatel údajů a případně zástupce zpracovatele v souladu s čl. 30 odst. 2 nařízení GDPR bude vést evidenci o všech kategoriích činností zpracování prováděných jménem správce“. Ačkoli čl. 28 odst. 3 nařízení GDPR výslovně nestanoví správci a zpracovateli povinnost zahrnout do smlouvy povinnost zpracovatele vést evidenci podle čl. 30 odst. 2 nařízení GDPR, sbor má za to, že toto opatření přispívá k „prokázání souladu“ a je praktické v tom, že „pomáhá správci při zajišťování dodržování povinností podle článků 32 až 36 “(čl. 28 odst. 3 písm. h) a f) nařízení GDPR).

2.2.4 Mlčenlivost (doložka 4 SSD)

14. Sbor bere na vědomí, že doložka 4.2 SSD odkazuje na možnost správce požádat zpracovatele, aby prokázal, že osoby jednající z jeho oprávnění, které mají přístup k osobním údajům, jsou vázány povinností mlčenlivosti a přístup k osobním údajům jim je poskytnut pouze na základě jejich potřeby tyto údaje znát. Sbor tedy vyzývá slovinský DÚ, aby doložku nepatrně přeformuloval v zájmu její větší srozumitelnosti. Doložka by například mohla mít toto znění: “Zpracovatel údajů na žádost správce údajů prokáže, že dotčené osoby jednající z jeho pověření jsou vázány výše uvedenou povinností mlčenlivosti a přístup k osobním údajům je jim poskytnut pouze na základě jejich potřeby tyto údaje znát„.

2.2.5 Zabezpečení zpracování (doložka 5 SSD a dodatek C.2)

15. Pokud jde o doložku 5.1 SSD, sbor by rád zdůraznil, že obecně není vhodné, aby standardní smluvní doložky pouze znovu konstatovaly obsah ustanovení nařízení GDPR. Měly by spíše upřesňovat konkrétní uplatňování příslušných povinností. Ačkoli se tato doložka se nepovažuje za problematickou, sbor vyzývá slovinský DÚ, aby jí nepatrně přeformuloval (např. „Podle článku 32 nařízení GDPR, který stanoví, že [...] strany provedou [...]“).

16. Pokud jde o doložku 5.35 SSD, sbor chápe, že se jedná o odkaz na posouzení rizik, které zpracovatel provádí nezávisle s cílem dodržet ustanovení článku 32 a 83. bodu odůvodnění nařízení GDPR. Sbor vyzývá slovinský DÚ, aby objasnil, že toto posouzení se týká zpracování, které správce svěřil zpracovateli, a připomíná, že správce tím v žádném případě není zproštěn svých povinností dodržovat články 25, 32, 35 a 36 nařízení GDPR. Doložku 5.3 lze přeformulovat například takto: „Podle článku 32 nařízení GDPR je i zpracovatel povinen nezávisle na správci údajů posuzovat rizika pro práva a svobody fyzických osob vyplývající z činnosti zpracování, kterou mu správce svěřil, a provádět opatření k jejich zmírnění. Za tímto účelem je správce údajů povinen poskytovat zpracovateli údajů veškeré informace nezbytné k označení a vyhodnocení těchto rizik“.

5 Návrh doložky 5.3 stanoví následující: „Podle článku 32 nařízení GDPR je i zpracovatel povinen nezávisle na správci údajů vyhodnocovat rizika pro práva a svobody fyzických osob vyplývající ze zpracování a provádět opatření k jejich zmírnění. Za tímto účelem je správce údajů povinen poskytovat zpracovateli údajů veškeré informace nezbytné k označení a vyhodnocení těchto rizik“.

17. V příloze C.2 se strany vyzývají, aby uvedly seznam bezpečnostních opatření, na nichž se dohodly a která musí zpracovatel údajů provést. Sbor připomíná, že úroveň podrobnosti těchto informací musí být taková, aby umožnila správci posoudit vhodnost opatření a dostát své odpovědnosti.

2.2.6 Předávání údajů do třetích zemí nebo mezinárodním organizacím (doložka 7 SSD a dodatek C.6 SSD)

18. Sbor vyzývá slovinský DÚ, aby postavil najisto, že slova „třetí země“ odkazují na země mimo EHP a nikoli na jakoukoli zemi mimo Slovinsko. To lze provést doplněním textu „[...] třetích zemí (tj. zemí mimo Evropský hospodářský prostor) [...]“ do doložky 7.1.

19. Pokud jde o doložku 7.3 SSD, sbor vybízí slovinský DÚ, aby upřesnil, že „oprávnění“ správce není alternativním výrazem pro „doložené pokyny“, nýbrž že popisuje možný obsah těchto pokynů. Sbor rovněž vyzývá slovinský DÚ, aby dále upřesnil vztah mezi doložkami 7.1, 7.2 a 7.3. Doložka 7.3 by tak mohla nově znít takto: „Bez doložených pokynů správce údajů, které by například stanovily oprávnění nebo zvláštní požadavek podle práva EU nebo členského státu, kterému zpracovatel údajů podléhá, nemůže zpracovatel údajů v rámci doložek [...]“.

2.2.7 Poskytování součinnosti správci údajů (doložka 8 SSD a dodatek C.3 SSD)

20. Sbor je toho názoru, že ve vzorové smlouvě je nutné se vyhnout jakémukoli odkazu na konkrétní vnitrostátní dozorový úřad, protože určení příslušného dozorového úřadu bude záviset na konkrétním zpracování, o které v daném případě jde, a na konkrétních okolnostech. Sbor proto doporučuje, aby byly z doložky 8.2 odstraněny odkazy na slovinský DÚ a aby byly nahrazeny v písmenech a. i d. vynechávkou doplněnou o poznámku, aby příslušný dozorový úřad stanovily samy strany (např.

„[uveďte příslušný DÚ]“).

2.2.8 Ohlašování případů porušení zabezpečení osobních údajů (doložka 9 SSD)

21. Pokud jde o doložku 9.3 SSD, sbor doporučuje nahradit odkaz na doložku 9.2.a odkazem na doložku

8.2.a. Dále sbor doporučuje nahradit odkaz na dodatek D v doložce 9.4 odkazem na dodatek C.3 a nahradit odkaz na doložky 9.1 a 9.2 v příloze C.3 odkazy na doložky 8.1 a 8.2.

22. Pokud jde o dodatek C.3, sbor vyzývá slovinský DÚ, aby v poznámkách vyzývajících strany k tomu, aby začlenily další specifikace, nezmiňoval „úlohu a povinnosti zpracovatele údajů“, protože takto široká formulace by mohla vést k nejistotě ohledně toho, co by měly strany do vynechávek doplnit. Sbor proto navrhuje uvést kroky, které má zpracovatel podniknout, a postup, který musí dodržet při poskytování součinnosti správci (pokud jde o ohlašování případů porušení zabezpečení údajů a posuzování dopadů na ochranu údajů).

2.2.9 Výmaz a vrácení údajů (doložka 10 SSD a dodatek C.4)

23. Pokud jde o doložku 10.1 SSD, sbor vyzývá slovinský DÚ, aby objasnil, že zpracovatel by měl osobní údaje buď vymazat nebo vrátit (a smazat jejich kopie), s výjimkou případů, kdy právo EU nebo členského státu vyžaduje, aby zpracovatel tyto osobní údaje dále uchovával. Vzhledem k tomu, že výjimka ze zákonné povinnosti se vztahuje jak na možnost 1, tak na možnost 2, neměla by být slova

„ledaže právo Unie nebo členského státu vyžaduje uchování osobních údajů“ psána tučně a měla by být prezentována tak, aby je strany nechápaly pouze jako odkaz na druhou možnost. Sbor navrhuje

další upřesnění tohoto znění (např. „ledaže právo Unie nebo členského státu vyžaduje další uchovávání osobních údajů zpracovatelem“).

24. V příloze C.4 sbor doporučuje, aby příklad odkazoval nejen na „časové období“, ale případně i na

„skutečnost“ („(UVEĎTE ČASOVÉ OBDOBÍ / SKUTEČNOST)“), protože by mohly nastat situace, kdy nebude možné stanovit přesný časový rámec, jelikož povinnost výmazu údajů nastane při naplnění konkrétní skutečnosti. Kromě toho by měl dodatek C.4 namísto doložky 11.1 odkazovat na doložku 10.1.

2.2.10 Audit a inspekce (článek 11 SSD a dodatky C.7 a C.8)

25. Xxxx doporučuje, aby byl odkaz na dodatky C.6 a C.7 v doložce 11.2 nahrazen odkazem na dodatky C.7 a C.8.

26. Sbor dále připomíná, že audity uvedené v čl. 28 odst. 3 písm. h) nařízení GDPR provádí buď sám správce nebo jím pověřený auditor. Sbor doporučuje, aby slovinský DÚ přizpůsobil první možnost v dodatcích C.7 a C.8 tak, aby uváděla, že auditor třetí strany byl pověřen správcem. Text příkladů v dodatcích C.7 a C.8 by tedy měl být pozměněn takto: „Zpracovatel údajů je povinen se (UVEĎTE ČASOVOU LHŮTU) na náklady (ZPRACOVATELE ÚDAJŮ / SPRÁVCE ÚDAJŮ) podrobit (AUDITU/INSPEKCI) ze strany nezávislé třetí strany pověřené správcem ohledně toho, jak zpracovatel údajů dodržuje nařízení GDPR, platné předpisy EU nebo členského státu o ochraně osobních údajů a doložky. Nezávislý auditor třetí strany předloží (ZPRÁVU AUDITORA / PROTOKOL O INSPEKCI). Strany se dohodly, že v souladu s doložkami lze použít následující typy (ZPRÁVY AUDITORA / PROTOKOLU O INSPEKCI): (VLOŽTE „SCHVÁLENÉ“ ZPRÁVY AUDITORA / PROTOKOLY O INSPEKCI) [...]”.

2.2.11 Nabytí účinnosti a ukončení (doložka 13 SSD)

27. Pokud jde o doložku 13.5 SSD, sbor vyzývá slovinský DÚ, aby toto neuváděl jako konkrétní doložku, protože zahrnuje pouze podpisy stran, a navrhuje, aby byly strany a jejich podpisy označovány stejným způsobem (např. „Jméno“, „Funkce“, „Datum“, „Podpis“, a aby byly odstraněny odkazy na „Telefonní číslo“ a „E-mail“, které již jsou součástí doložky 14.2).

2.2.12 Kontakty / kontaktní osoby správce a zpracovatele údajů (článek 14 SSD)

28. Sbor vyzývá slovinský DÚ, aby následujícím způsobem přeformulovat doložku 14.1: „Každá strana určí osobu odpovědnou za plnění smlouvy“.

2.2.13 Dodatek A

29. Ačkoli sbor chápe, že cílem dodatku A je podat bližší informace o činnostech zpracování prováděných zpracovatelem údajů jménem správce údajů, připomíná, že strany by měly činnosti zpracování popsat co nejpodrobněji. Je tedy třeba zajistit, aby mohly uvedené příklady, které ilustrují možný obsah oddílů dodatku, pro strany fungovat jako návod k tomuto popisu.

30. Vycházeje z výše uvedených skutečností sbor vítá iniciativu slovinského DÚ zařadit do dodatku A.4 příklady a dokonce by navrhoval jejich další rozšíření s přihlédnutím k tomu, že většina činností zpracování se týká hned několika kategorií subjektů údajů zároveň, které lze následně zařazovat do kategorií hned několika způsoby, např. zákazníci, spotřebitelé (dospělí/děti), dodavatelé, kteří jsou třetími stranami.

2.2.14 Dodatek B

31. Sbor vyzývá slovinský DÚ, aby postavil najisto, že strany mohou v dodatku B.1 uvést více dílčích zpracovatelů, i když v příkladu figuruje pouze jedno pole.

3 ZÁVĚRY

32. Sbor velmi vítá, že Slovinský DÚ iniciativně předložil návrh SSD k poskytnutí stanoviska s cílem přispět k harmonizovanému provádění nařízení GDPR.

33. Sbor je toho názoru, že v návrhu SSD slovinského dozorového úřadu předloženém k poskytnutí stanoviska je nutné provést další úpravy, aby jej bylo možné považovat za standardní smluvní doložky. Pokud budou provedena všechna doporučení, bude slovinský dozorový úřad moci používat tento návrh smlouvy jako standardní smluvní doložky podle čl. 28 odst. 8 nařízení GDPR, aniž by bylo nutné jeho následné přijetí Komisí EU.

4 ZÁVĚREČNÉ POZNÁMKY

34. Toto stanovisko je určeno slovinskému dozorovému úřadu (Informacijski pooblaščenec) a bude zveřejněno podle čl. 64 odst. 5 písm. b) nařízení GDPR.

35. Podle čl. 64 odst. 7 a 8 nařízení GDPR sdělí dozorový úřad předsedovi elektronickou formou do dvou týdnů od obdržení stanoviska, zda změní svůj návrh SSD, nebo zda jej ponechá v původním znění. Ve stejné lhůtě poskytne pozměněný návrh SSD nebo případně příslušné důvody, pro které nemá v úmyslu řídit se tímto stanoviskem nebo některou z jeho částí. Dozorový úřad sdělí sboru konečné rozhodnutí pro jeho zařazení do registru rozhodnutí, na která se vztahuje mechanismus jednotnosti, v souladu s čl. 70 odst. 1 písm. y) nařízení GDPR.

za Evropský sbor pro ochranu osobních údajů předsedkyně

(Xxxxxx Xxxxxxx)