Europska komisija objavila je 4. lipnja 2021.g nove standardne klauzule o zaštiti podataka (Standardne ugovorne klauzule: Standard Contractual Clauses , „SCC“).
O prijedlogu novih SCC-a klauzula već ste mogli čitati na našoj web stranici: https://www.akademija.hr/znate-li-za-novi-prijedlog-scc-klauzula/
Nove standardne ugovorne klauzule sadrže velik broj „Schrems II“ smjernica kako bi se udovoljilo zahtjevima Europskog suda pravde i Europskog odbora za zaštitu podataka što se tiče prijenosa podataka u treće zemlje. Ipak, nove standardne ugovorne klauzule neće biti uvijek dovoljne za potpuno udovoljavanje tim zahtjevima. Umjesto toga, provedba dodatnih zaštitnih mjera i dalje će često, ovisno od slučaja do slučaja, biti potrebna.
Ugovorne strane moraju provesti TIA
Nove standardne ugovorne klauzule predviđaju obveznu procjenu učinka prijenosa podataka (TIA) koju će provesti ugovorne strane. Obje strane moraju jamčiti da ne sumnjaju da su zahtjevi zemlje uvoznika podataka u skladu s europskim standardima. S obzirom na odluku ECJ-a Schrems II, ovo bi u nekim slučajevima moglo postati problematično, posebno za američke uvoznike. Procjena učinka mora se dokumentirati i na zahtjev dostaviti nadzornim tijelima.
Modularni pristup
Nadalje, nove standardne ugovorne klauzule slijede modularni pristup, što znači da će umjesto različitih skupova standardnih ugovornih klauzula, postojati (postoji) samo jedan skup standardnih ugovornih klauzula, koji se mogu prilagoditi upotrebom određenih modula i izostavljanjem drugih, ovisno o specifičnim pojedinostima o odgovarajućem prijenosu podataka. Iako ovo povećava fleksibilnost, ostaje za vidjeti hoće li to otežati korištenje klauzula.
Novi moduli su:
Modul 1: Prijenos između dva (ili više) regulatora (“voditelj obrade-voditelj obrade”)
Modul 2: Prijenos s jednog voditelja obrade na jednog (ili više) izvršitelja obrade („voditelj obrade-izvršitelj obrade“)
Modul 3: Prijenos s izvršitelja obrade na jednog (ili više) izvršitelja obrade („izvršitelj obrade-izvršitelj obrade“).
Modul 4: Prijenos s izvršitelja na jedan (ili više) voditelja obrade („izvršitelj obrade-voditelj obrade“).
SCC primjenjuje pristup zasnovan na riziku u skladu sa Schrems II, koji strankama omogućuje da uzmu u obzir kategorije podataka, gospodarski sektor u kojem se vrši prijenos i "praktično iskustvo" s "prethodnim instancama" vladinih zahtjeva za dostavu podataka.
Nove standardne ugovorne klauzule sadrže klauzulu o strogoj hijerarhiji, kao i klauzulu o odgovornosti koja će uvoznicima podataka vrlo otežati ograničenje odgovornosti u vezi s prijenosom podataka prema novim standardnim ugovornim klauzulama.
Postoje stroge kontrole daljnjih prijenosa – trebat će se gledati dalje od početnog slanja podataka.
Ukratko, nove standardne ugovorne klauzule bolje su prilagođene GDPR-u i provode neke od Schrems II zahtjeva. Međutim, zbog potrebne popratne procjene učinka prijenosa, zaključivanje novih standardnih ugovornih klauzula neće biti jednostavno.
Vrijeme u kojem se moraju revidirati ugovori
"Stare SCC“ se mogu koristiti još 3 mjeseca za nove prijenose podataka.
Što se tiče prijenosa podataka koji su već u tijeku, "stare SCC“ se mogu koristiti narednih 18 mjeseci.
Dakle, sav tekući prijenos podataka na temelju standardnih ugovornih klauzula morat će se prebaciti na nove klauzule u sljedećih 18 mjeseci.
Stoga, pripremite se!
Trebate:
- utvrditi u kojim slučajevima treba zaključiti nove standardne ugovorne klauzule
- pripremiti standardne ugovorne klauzule koji su potrebne za vas tako da odabere odgovarajući modul
- pripremiti procjenu učinka prijenosa
- dokumentirati i preispitivati poduzete mjere.
EU je također objavila "standardne ugovorne klauzule" za imenovanja izvršitelja obrade. To su standardni DPA obrasci koji se odnose na zahtjeve iz članka 28. GDPR-a
Nove SCC klauzule može pogledati ovdje:
https://ec.europa.eu/info/sites/default/files/1_en_annexe_acte_autonome_cp_part1_v5_0.pdf
