Kako smo i već detaljno pisali, presudom Schrems II Europskog suda
https://curia.europa.eu/juris/liste.jsf?num=C-311/18
od 16.07.2020. praktički svi prijenosi osobnih podataka iz EU u SAD postali su nezakoniti.
 
Važno je napomenuti da je EU-US Privacy Shield ukinut, odnosno, stavljen van snage, i ne smijemo da više spominjati u našim politikama privatnosti, kakve slučajeve u praksi vidimo.
 
Kao "zamjensko zakonito rješenje" svaki voditelj ili izvršitelj obrade, da kolokvijalno pojednostavimo, svaki pravni subjekt u RH i EU, mora odmah pronaći neki drugi temelj zakonitosti prijenosa osobnih podataka u SAD traženjem rješenja u člancima 46-49. GDPR-a.
 
Članak 46. stavak 1. GDPR-a određuje ovu obvezu, citiramo: "osobne podatke mogu prenijeti samo ako je voditelj obrade ili izvršitelj obrade predvidio odgovarajuće zaštitne mjere i pod uvjetom da su ispitanicima na raspolaganju provediva prava i učinkovita sudska zaštita."
 
Uvjerljivo najzastupljenije "zamjensko" rješenje koje će mnogi od nas morati implementirati jesu:
 
Standardne ugovorne klauzule (Standard Contractual Clauses, SCC) + Dodatne mjere
 
Kako bi ozakonili prijenos podataka u SAD, ali i u svaku "treću zemlju", odnosno, zemlju izvan EEA (osim Andore, Argentine, Kanade za komercijalne organizacije, Farskih otoka, Guernsey, Izraela, Isle of Man, Japana, Jerseya, Novog Zelanda, Švicarske, Urugvaja i UK u koje je prijenos dozvoljen bez posebnih preduvjeta), pravni subjekti kao izvoznici podataka dužni su izraditi procjenu učinka prijenosa (Transfer Impact Assessment, TIA) kojom se moraju preispitati i dokumentirati posebne okolnosti svakog prijenosa, relevantne zakoni i prakse odredišne zemlje te relevantni ugovorne, tehničke i organizacijske zaštitne mjere za povećanje zaštite prenesenih podataka radi procjene razine zaštite u toj trećoj zemlji.
 
Na neki su način izvoznici podataka obvezni učiniti ono što Europska komisija nije uspjela.
 
Od slučaja do slučaja analiza zaštite koju pruža treća zemlja uvoznika podataka i provedba odgovarajućih dodatnih zaštitnih mjera kada postoje naznake da tamošnje zakonodavstvo može utjecati na temeljna prava i slobode građana EU – primjerice kada postoji potencijalni rizik od tajnog nadzora ili praćenja – uvoznik podataka u trećoj zemlji mora uvesti dodatne mjere kako bi zaštitio osobne podatke koji dolaze iz EU/EEA. To mogu biti tehničke, organizacijske i/ili ugovorne mjere.
 
To će biti vrlo opterećujuće za mikro, male i srednje poduzetnike, ali i velike organizacije koje obavljaju stotine, ako ne i tisuće, prijenosa osobnih podataka iz EU/EEA.
 
O tome smo vrlo kritički pričali na međunarodnoj konferenciji 28.01.2021., na YouTube snimci od 03:03:33 https://www.youtube.com/watch?v=i_rmxGpcFxA
 
U ovom članku fokusiramo se izričito na Standardne ugovorne klauzule
 
Europska komisija je u lipnju 2021. usvojila dva skupa Standardnih ugovornih klauzula (SCC):
 
- za reguliranje odnosa između voditelja obrade prema izvršitelju obrade ili kaskadno prema njegovom podizvršitelju, ali nisu obvezujuće:
 
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32021D0915
 
- za ozakonjenje prijenosa osobnih podataka u treće zemlje, izrađene modularno:
 
https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914
 
Važno je znati da se stare, dosadašnje SCC, može ugovarati do 27.09.2021., a svi pravni subjekti koji ih imaju već stare sklopljene iste moraju zamijeniti novima do 27.12.2022. godine.
 
IAPP (International Associatiation of Privacy Professionals), kojoj je autor ovog članka i dugogodišnji član i nositelj CIPP/E (Certified Information Privacy Professional / Europe) certifikata, globalno najpriznatijeg kad je u pitanju znanje i praksa u području GDPR okvira, izradio je predloške Standardnih ugovornih klauzula za sve moguće scenarije:
 
- Voditelj obrade kao Izvoznik podataka - Voditelj obrade kao uvoznik podataka
 
- Voditelj obrade kao Izvoznik podataka - Izvršitelj obrade kao uvoznik podataka
 
- Izvršitelj obrade kao Izvoznik podataka - Izvršitelj obrade kao uvoznik podataka
 
- Izvršitelj obrade kao Izvoznik podataka - Voditelj obrade kao uvoznik podataka
 
Predlošci su ovdje javno dostupni na engleskom jeziku u Microsoft Word verzijama:
 
https://iapp.org/resources/article/eu-standard-contractual-clauses-word-documents