Iskustva s terena nam govore da je danas broj organizacija koje ne prenose osobne podatke izvan EU/EEA u manjini i da su praktički sve tvrtke ili organizacije raznih vrsta, koje poznaju GDPR, upoznate i s pojmom Standardnih ugovornih klauzula (SCC, Standard Contractual Clauses).

Nešto je ipak manji broj organizacija koje nisu upoznate da su "na snazi" novi SCC-ovi koje je donijela Europska komisija sredinom 2021. godine:

 

A. za reguliranje odnosa između voditelja obrade prema izvršitelju obrade ili kaskadno prema njegovom podizvršitelju:

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32021D0915

 

B. za ozakonjenje prijenosa osobnih podataka u treće zemlje, izrađene modularno:

https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914

 

Kad su u pitanju međunarodni transferi osobnih podataka iz EU/EEA u treće zemlje u kojima ne postoji primjerena zaštita prava i sloboda pojedinaca, uključujući i SAD, uvjerljivo najzastupljeniji pravni mehanizam (88% udjela prema analizi Europske komisije) kojim se legalizira prijenos osobnih podataka iz EU/EEA jesu SCC-ovi koje prethodno spominjemo u točki B. i koje od 27.12.2022. moramo implementirati umjesto do starih SCC-ova.

Svježa je vijest da je Europska komisija javno objavila dokument pitanja i odgovora vezanih za navedena dva skupa SCC-ova, kojima se nastoji otkloniti nepravilnosti i dvojbe u njihovoj primjeni.

Izdvojit ćemo neke od najvažnijih:

 

  • tekst SCC-ova se ne smije mijenjati, već se moraju/mogu koristiti specifični moduli u njihovim tekstovima ili ponuđene opcije i mogu se dopunjavati nužnim odrednicama kao što su nadležnost sudova ili nadzornih tijela ili rokovi prijave povrede i sl.

 

  • tekst SCC-ova može se unijeti u šire ugovore sklopljene između dviju strana, uz uvjet da takvi ugovori nisu u suprotnosti sa samim odredbama SCC-ova

 

  • primjer: dodatnim ugovornim odredbama ne smije se isključiti odgovornost bilo koje od strana u ugovoru, s obzirom da je to u suprotnosti s odredbama GDPR-a i SCC-ova

 

  • u SCC-ovima vezanim za ugovorni odnos između voditelja i izvršitelja obrade ponuđene su dvije opcije odobravanja angažmana podizvršitelja i voditelj i izvršitelj obrade biraju jednu od njih, dok tekst druge opcije moramo izbrisati iz konačnog teksta ugovora

 

  • novi SCC-ovi po prvi puta uključuju i tzv. "Docking clause" mogućnost, kojom se omogućava da se zajedničkom ugovornom odnosu mogu i naknadno pridružiti i treće strane koje pri tom preuzimaju sve utvrđene obveze

 

  • primjer: voditelj obrade prenosi osobne podatke u treću zemlju temeljem sklopljenih SCC-ova svom izvršitelju obrade. Izvršitelj obrade naknadno želi angažirati podizvršitelja i uporabom "docking clause" opcije na jednostavan se način podizvršitelj "ubacuje" u postojeći ugovorni odnos. Pri tom je neophodno da sve strane ponovno potpišu i ovjere Annex I SCC-ova kako bi takve izmjene bile pravno valjane. Naravno, važno je i nadograditi ostale Annexe s obzirom na stvarne okolnosti angažmana izvršitelja i podizvršitelja obrade

 

  • ako koristimo SCC-ove Europske komisije, u skladu s pravilima njihove primjene i bez njihovih izmjena, tada nije potrebno posebno odobrenje nacionalnog nadzornog tijela već ih može preispitivati isključivo Europski sud

 

  • SCC-ovi podrazumijevaju da voditelji obrade daju dokumentirane upute izvršiteljima obrade kako smiju obrađivati osobne podatke u njihovo ime, bez definiranja radi li se o pisanim ili usmenim uputama, važno je samo da su dokumentirane

 

  • izvršitelji obrada moraju unutar SCC-ova izrijekom navesti identitete podizvršitelja obrada, i nije dovoljno samo navesti kategorije podizvršitelja

 

  • inicijalno SCC-ovi ne definiraju točan rok u kojem izvršitelji obrade mora obavijestiti voditelja obrade o povredi osobnih podataka, već definiraju da obavještavanje mora biti izvršeno bez nepotrebnog odgađanja a ugovorne strane mogu definirati za to specifičan rok (npr. 6 ili 12 sati od sumnje ili saznanja o povredi, op.a.)

 

  • ugovore temeljem SCC-ova za međunarodne transfere treba modificirati na način da se koriste za to predviđeni moduli 1-4, s obzirom radi li se o prijenosu podataka od voditelja ili izvršitelja kao izvoznika prema voditelju ili izvršitelju kao uvozniku osobnih podataka

 

  • SCC-ovi za međunarodne transfere u sebi sadrže i sve nužne sastavnice kojima se ispunjavaju i obveze iz članka 28. GDPR-a, a kojima se definiraju odnosi između voditelja i izvršitelja obrade, pa time nije potrebno sklapati zasebne ugovore o obradi podataka (Data Protection Agreement)

 

  • od 27.12.2022. neće se smjeti koristiti stari SCC-ovi za međunarodne transfere, koje je Europska komisija donijela 2001., 2004. i 2010. godine

 

  • primjer: EU kompanije koristi usluge obračuna plaća od strane tvrtke u Singapuru, mora sklopiti SCC-ove (Modul 2 za odnos voditelj-izvršitelj)

 

  • primjer: putnička agencija na Tajlandu nudi svoje usluge EU/EEA korisnicima i daje podatke lokalnom hotelu, pri tom može koristiti SCC-ove (Modul 1 za odnos voditelj-vodiitelj) za reguliranje odnosa s hotelom što se tiče obrade osobnih podataka

 

  • ako se pak radi o voditeljima i izvršiteljima obrade koji su ionako obveznici GDPR-a, SCC-ovi za međunarodne transfere se ne primjenjuju, već će Europska komisija izraditi i dodanu verziju SCC-ova za takve slučajeve

 

  • novi SCC-ovi Europske komisije za međunarodne transfere nisu primjenjivi za prijenos podataka prema međunarodnim organizacijama, s obzirom da međunarodne organizacije teško mogu prihvatiti nadležnost EU nadzornih tijela te će Europska komisija izraditi posebne SCC-ove za takve scenarije

 

  • svaki pojedinac čiji se osobni podaci prenose izvan EU/EEA temeljem SCC-ova mora biti informiran o tome i mora imati pravo dobiti kopiju sklopljenih SCC-ova, uključujući i potpisane Annexe. Pri tom ugovorne strane smiju "sakriti" samo dijelove kojima bi se otkrivale poslovne tajne ili osobni podaci trećih osoba, uz objašnjenje razloga skrivanja

 

Uz SCC-ove moramo osigurati i dodatne zaštitne mjere koje je propisao EDPB u svojim preporukama o mjerama kojima se dopunjuju alati za prijenos kako bi se osigurala usklađenost s razinom zaštite osobnih podataka EU-a

https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en

pri čemu su pravni subjekti kao izvoznici podataka dužni izraditi procjenu učinka prijenosa (Transfer Impact Assessment, TIA) kojom se moraju preispitati i dokumentirati posebne okolnosti svakog prijenosa, relevantne zakoni i prakse odredišne zemlje te relevantni ugovorne, tehničke i organizacijske zaštitne mjere za povećanje zaštite prenesenih podataka radi procjene razine zaštite u toj trećoj zemlji.

Prema istima, od slučaja do slučaja analiza zaštite koju pruža treća zemlja uvoznika podataka i provedba odgovarajućih dodatnih zaštitnih mjera kada postoje naznake da tamošnje zakonodavstvo može utjecati na temeljna prava i slobode građana EU – primjerice kada postoji potencijalni rizik od tajnog nadzora ili praćenja – uvoznik podataka u trećoj zemlji mora uvesti dodatne mjere kako bi zaštitio osobne podatke koji dolaze iz EU/EEA. To mogu biti tehničke, organizacijske i/ili ugovorne mjere.

 

Pitanja i odgovori u vezi SCC-ova od strane Europske komicije:

https://ec.europa.eu/info/sites/default/files/questions_answers_on_sccs_en.pdf