Iskustva s terena nam govore da je danas broj organizacija koje ne prenose osobne podatke izvan EU/EEA u manjini i da su praktički sve tvrtke ili organizacije raznih vrsta, koje poznaju GDPR, upoznate i s pojmom Standardnih ugovornih klauzula (SCC, Standard Contractual Clauses).
Nešto je ipak manji broj organizacija koje nisu upoznate da su "na snazi" novi SCC-ovi koje je donijela Europska komisija sredinom 2021. godine:
A. za reguliranje odnosa između voditelja obrade prema izvršitelju obrade ili kaskadno prema njegovom podizvršitelju:
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32021D0915
B. za ozakonjenje prijenosa osobnih podataka u treće zemlje, izrađene modularno:
https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914
Kad su u pitanju međunarodni transferi osobnih podataka iz EU/EEA u treće zemlje u kojima ne postoji primjerena zaštita prava i sloboda pojedinaca, uključujući i SAD, uvjerljivo najzastupljeniji pravni mehanizam (88% udjela prema analizi Europske komisije) kojim se legalizira prijenos osobnih podataka iz EU/EEA jesu SCC-ovi koje prethodno spominjemo u točki B. i koje od 27.12.2022. moramo implementirati umjesto do starih SCC-ova.
Svježa je vijest da je Europska komisija javno objavila dokument pitanja i odgovora vezanih za navedena dva skupa SCC-ova, kojima se nastoji otkloniti nepravilnosti i dvojbe u njihovoj primjeni.
Izdvojit ćemo neke od najvažnijih:
- tekst SCC-ova se ne smije mijenjati, već se moraju/mogu koristiti specifični moduli u njihovim tekstovima ili ponuđene opcije i mogu se dopunjavati nužnim odrednicama kao što su nadležnost sudova ili nadzornih tijela ili rokovi prijave povrede i sl.
- tekst SCC-ova može se unijeti u šire ugovore sklopljene između dviju strana, uz uvjet da takvi ugovori nisu u suprotnosti sa samim odredbama SCC-ova
- primjer: dodatnim ugovornim odredbama ne smije se isključiti odgovornost bilo koje od strana u ugovoru, s obzirom da je to u suprotnosti s odredbama GDPR-a i SCC-ova
- u SCC-ovima vezanim za ugovorni odnos između voditelja i izvršitelja obrade ponuđene su dvije opcije odobravanja angažmana podizvršitelja i voditelj i izvršitelj obrade biraju jednu od njih, dok tekst druge opcije moramo izbrisati iz konačnog teksta ugovora
- novi SCC-ovi po prvi puta uključuju i tzv. "Docking clause" mogućnost, kojom se omogućava da se zajedničkom ugovornom odnosu mogu i naknadno pridružiti i treće strane koje pri tom preuzimaju sve utvrđene obveze
- primjer: voditelj obrade prenosi osobne podatke u treću zemlju temeljem sklopljenih SCC-ova svom izvršitelju obrade. Izvršitelj obrade naknadno želi angažirati podizvršitelja i uporabom "docking clause" opcije na jednostavan se način podizvršitelj "ubacuje" u postojeći ugovorni odnos. Pri tom je neophodno da sve strane ponovno potpišu i ovjere Annex I SCC-ova kako bi takve izmjene bile pravno valjane. Naravno, važno je i nadograditi ostale Annexe s obzirom na stvarne okolnosti angažmana izvršitelja i podizvršitelja obrade
- ako koristimo SCC-ove Europske komisije, u skladu s pravilima njihove primjene i bez njihovih izmjena, tada nije potrebno posebno odobrenje nacionalnog nadzornog tijela već ih može preispitivati isključivo Europski sud
- SCC-ovi podrazumijevaju da voditelji obrade daju dokumentirane upute izvršiteljima obrade kako smiju obrađivati osobne podatke u njihovo ime, bez definiranja radi li se o pisanim ili usmenim uputama, važno je samo da su dokumentirane
- izvršitelji obrada moraju unutar SCC-ova izrijekom navesti identitete podizvršitelja obrada, i nije dovoljno samo navesti kategorije podizvršitelja
- inicijalno SCC-ovi ne definiraju točan rok u kojem izvršitelji obrade mora obavijestiti voditelja obrade o povredi osobnih podataka, već definiraju da obavještavanje mora biti izvršeno bez nepotrebnog odgađanja a ugovorne strane mogu definirati za to specifičan rok (npr. 6 ili 12 sati od sumnje ili saznanja o povredi, op.a.)
- ugovore temeljem SCC-ova za međunarodne transfere treba modificirati na način da se koriste za to predviđeni moduli 1-4, s obzirom radi li se o prijenosu podataka od voditelja ili izvršitelja kao izvoznika prema voditelju ili izvršitelju kao uvozniku osobnih podataka
- SCC-ovi za međunarodne transfere u sebi sadrže i sve nužne sastavnice kojima se ispunjavaju i obveze iz članka 28. GDPR-a, a kojima se definiraju odnosi između voditelja i izvršitelja obrade, pa time nije potrebno sklapati zasebne ugovore o obradi podataka (Data Protection Agreement)
- od 27.12.2022. neće se smjeti koristiti stari SCC-ovi za međunarodne transfere, koje je Europska komisija donijela 2001., 2004. i 2010. godine
- primjer: EU kompanije koristi usluge obračuna plaća od strane tvrtke u Singapuru, mora sklopiti SCC-ove (Modul 2 za odnos voditelj-izvršitelj)
- primjer: putnička agencija na Tajlandu nudi svoje usluge EU/EEA korisnicima i daje podatke lokalnom hotelu, pri tom može koristiti SCC-ove (Modul 1 za odnos voditelj-vodiitelj) za reguliranje odnosa s hotelom što se tiče obrade osobnih podataka
- ako se pak radi o voditeljima i izvršiteljima obrade koji su ionako obveznici GDPR-a, SCC-ovi za međunarodne transfere se ne primjenjuju, već će Europska komisija izraditi i dodanu verziju SCC-ova za takve slučajeve
- novi SCC-ovi Europske komisije za međunarodne transfere nisu primjenjivi za prijenos podataka prema međunarodnim organizacijama, s obzirom da međunarodne organizacije teško mogu prihvatiti nadležnost EU nadzornih tijela te će Europska komisija izraditi posebne SCC-ove za takve scenarije
- svaki pojedinac čiji se osobni podaci prenose izvan EU/EEA temeljem SCC-ova mora biti informiran o tome i mora imati pravo dobiti kopiju sklopljenih SCC-ova, uključujući i potpisane Annexe. Pri tom ugovorne strane smiju "sakriti" samo dijelove kojima bi se otkrivale poslovne tajne ili osobni podaci trećih osoba, uz objašnjenje razloga skrivanja
Uz SCC-ove moramo osigurati i dodatne zaštitne mjere koje je propisao EDPB u svojim preporukama o mjerama kojima se dopunjuju alati za prijenos kako bi se osigurala usklađenost s razinom zaštite osobnih podataka EU-a
https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en
pri čemu su pravni subjekti kao izvoznici podataka dužni izraditi procjenu učinka prijenosa (Transfer Impact Assessment, TIA) kojom se moraju preispitati i dokumentirati posebne okolnosti svakog prijenosa, relevantne zakoni i prakse odredišne zemlje te relevantni ugovorne, tehničke i organizacijske zaštitne mjere za povećanje zaštite prenesenih podataka radi procjene razine zaštite u toj trećoj zemlji.
Prema istima, od slučaja do slučaja analiza zaštite koju pruža treća zemlja uvoznika podataka i provedba odgovarajućih dodatnih zaštitnih mjera kada postoje naznake da tamošnje zakonodavstvo može utjecati na temeljna prava i slobode građana EU – primjerice kada postoji potencijalni rizik od tajnog nadzora ili praćenja – uvoznik podataka u trećoj zemlji mora uvesti dodatne mjere kako bi zaštitio osobne podatke koji dolaze iz EU/EEA. To mogu biti tehničke, organizacijske i/ili ugovorne mjere.
Pitanja i odgovori u vezi SCC-ova od strane Europske komicije:
https://ec.europa.eu/info/sites/default/files/questions_answers_on_sccs_en.pdf