Europska komisija objavila je 12. studenoga 2020. prijedlog novih standardnih klauzula o zaštiti podataka (koje se također nazivaju standardnim ugovornim klauzulama; „nacrt SCC-a“). Nacrt SCC-a je donesen neposredno nakon objave preporuka Europskog odbora za zaštitu podataka („EDPB”) za prijenos podataka iz trećih zemalja.
Predloženi nacrti SCC-a, u kombinaciji s preporukama za prijenos podataka iz trećih zemalja, uzimemo li u obzir i odluku Schrems II, mogli bi ( trebali bi) pružiti veću pravnu sigurnost.
Novi nacrt SCC-a
Koristi se modularni pristup. To znači da bi, kako sada stvari stoje, trebala postojati jedna SCC verzija koja pokriva sljedeća četiri scenarija:
- Modul 1: Prijenos između dva (ili više) regulatora (“voditelj obrade-voditelj obrade”).
- Modul 2: Prijenos s jednog voditelja obrade na jedanog (ili više) izvršitelja obrade („voditelj obrade-izvršitelj obrade“).
- Modul 3: Prijenos s izvršitelja obrade na jednog (ili više) izvršitelja obrade („izvršitelj obrade-izvršitelj obrade“).
- Modul 4: Prijenos s izvršitelja na jedan (ili više) voditelja obrade („izvršitelj obrade-voditelj obrade“).
U svjetlu odluke Schrems II
Neki od zahtjeva koji su postali žarište rasprave, posebno zbog odluke Schrems II, već su odraženi u ovom nacrtu SCC-a. Oni uključuju povećanu usredotočenost na zahtjeve za transparentnošću. Nadalje, oni uključuju diferenciranije postupanje s različitim pravnim zahtjevima zbog nacionalnih zakona koji se primjenjuju u zemlji izvan Europske unije / Europskog gospodarskog prostora (= treća zemlja).
Primjerice, u situaciji voditelj obrade-voditelj obrade, uvoznik podataka obvezan je pružiti određene informacije odgovarajućim ispitanicima, bilo izravno ili neizravno putem izvoznika podataka. To posebno uključuje informacije o identitetu uvoznika podataka i o svim relevantnim procesima podataka. Uvoznik podataka stoga mora pružiti informacije o vlastitim relevantnim procesima podataka i kao voditelj obrade.
U načelu, nacrt SCC-a sadrži klauzule u korist trećih strana. To znači da se ispitanik, kao treća može izravno osloniti na ove klauzule kako bi podnijeo zahtjev prema izvozniku podataka i / ili uvozniku podataka.
Nacrt SCC-a sadrži jasnu obvezu da u slučaju daljnjeg prijenosa podataka od strane uvoznika podataka trećoj strani (tzv. „Daljnji prijenos“), ili ta treća strana mora preuzeti odgovarajuće obveze SCC-a ili mora biti ˝izvedeno˝ odnosno predloženo drugo obrazloženje primjenjivo prema GDPR-u za takav daljnji prijenos.
Klauzula koja se primjenjuje na sve gornje standardne scenarije odnosi se na nacionalno pravo uvoznika podataka, kada strane, tj. izvoznik podataka i uvoznik podataka, ˝pretpostavljaju˝ da niti jedan lokalni zakon ne sprječava uvoznika podataka da izvršava svoje dužnosti u skladu s obvezama SCC-a. Uz to, svakako će ugovorne strane morati pripremiti procjenu učinka prijenosa podataka (tzv. TIA) i staviti je na raspolaganje nadležnom nadzornom tijelu za zaštitu podataka na zahtjev.
Nadalje, uvoznik podataka obvezan je odmah obavijestiti barem izvoznika podataka – i ako je moguće odgovarajuće ispitanike – ako suvereno tijelo zatraži pristup osobnim podacima obuhvaćenim obvezom SCC-a. Uvoznik podataka također bi trebao biti obvezan poduzeti mjere protiv takve narudžbe ako postoje naznake da je takva narudžba nezakonita.
Što je još relevantno?
Izvoznik podataka dobiva izvanredno pravo na raskid ugovora ako uvoznik podataka ne poštuje obvezu SCC-a.
Dodatak tehničkim i / ili organizacijskim zaštitnim mjerama sadrži mjesta s prijedlozima o tome koje se vrste mjera mogu ili moraju regulirati.
Kritike
Jedna od kritika koja se već pojavila tijekom postupka savjetovanja jest da ovaj nacrt SCC-a u konačnici ne može spriječiti tajni pristup vladinih agencija osobnim podacima ispitanika. Stoga ovaj nacrt ne rješava središnji problem odluke Schrems II.
Međutim, ovaj nacrt SCC-a dobar je u kontekstu kada ga promatramo kao važan alat za međunarodni prijenos podataka. Budući da sam nacrt SCC-a ne sadrži nikakve tehničke i / ili organizacijske zaštitne mjere, preporuke EDSA-e za transfere iz trećih zemalja trebale bi se paralelno čitati i primjenjivati.
Revidiranje starih ugovora i sporazuma
Ako se usvoje ovi nacrti SCC-a, postojeći (stari) SCC mora se revidirati i ažurirati u roku od jedne godine.
Međutim, nejasno je hoće li ovaj nacrt SCC-a u konačnici biti usvojen. Europska tijela za zaštitu podataka već su izrazila protivna mišljenja. Stoga vam ostaje pratiti situaciju i kao dobar službenik za zaštitu podataka uvijek biti spreman reagirati na vrijeme te prilagoditi svu potrebnu dosadašnju dokumentaciju novostima.