IT Law logo
Swipe up
12 / 12 / 2020

Objavljeni so osnutki novih standardnih pogodbenih klavzul za prenose osebnih podatkov izven EU

Blog12 / 12 / 2020

Objavljeni so osnutki novih standardnih pogodbenih klavzul za prenose osebnih podatkov izven EU

Evropska komisija je objavila nove osnutke standardnih pogodbenih klavzul (ang. Standard Contractual Clauses)

Upravljavci osebnih podatkov so vse pogosteje soočeni s potrebo, željo ali nujnostjo, da podatke svojih zaposlenih ali strank zaradi tega ali onega razloga zaupajo drugi organizaciji, ki ni nujno v Sloveniji ali v Evropski uniji (EU). Prav tako obdelovalci osebnih podatkov prenašajo svoje naloge na druge pod- obdelovalce, ki podatke analizirajo, strukturirajo, hranijo in na druge načine obdelujejo, izven evropskih meja. Na drugi strani pa tudi posamezniki vse več posegamo po storitvah ponudnikov, ki ne prihajajo iz EU. Najemanje strežnikov v tretjih državah, ki ponujajo ugodnejše pogoje, uporaba spletnih storitev ponudnikov iz ZDA, multi-nacionalna podjetja, ki delujejo globalno, a želijo centralizirano obdelovati podatke zaposlenih, in to ne v Evropi – vse to so primeri prenosov podatkov, ki predstavljajo današnjo realnost.

O prenosu oz. iznosu osebnih podatkov v tretje države govorimo takrat, ko upravljavec ali obdelovalec iz Slovenije ali druge države članice Evropske unije  osebne podatke iz takega ali drugačnega razloga posreduje v države izven Evropske unije (EU) ali Evropskega gospodarskega prostora (EGP; sem sodijo poleg držav EU še: Islandija, Norveška in Lihtenštajn) ali mednarodni organizaciji. O prenosu govorimo tudi takrat, ko je dostop do osebnih podatkov omogočen organizacijam, podjetjem, posameznikom ali drugim subjektom iz tretjih držav izven EGP, pa čeprav so podatki hranjeni znotraj EGP (npr. oddaljen dostop podjetja iz tretje države, ki nudi tehnično podporo).

Upravljavec ali obdelovalec osebnih podatkov lahko prenese osebne podatke v tretjo državo ali mednarodno organizacijo s pomočjo ustreznih zaščitnih ukrepov. Pogoj za to pa je, da izvoznik ugotovi, da je raven varstva osebnih podatkov v tretji državi v okviru konkretnega prenosa podatkov, v bistvu enakovredna ravni varstva podatkov, kot je ta zagotovljena v EU (oz. EGP) in, da imajo posamezniki, na katere se nanašajo preneseni osebni podatki, na voljo izvršljive pravice in učinkovita pravna sredstva.

Ustrezni zaščitni ukrepi se lahko zagotovijo:

(a) s pravno zavezujočim in izvršljivim instrumentom, ki ga sprejmejo javni organi ali telesa,
(b)  z zavezujočimi poslovnimi pravili v skladu s členom 47 (angl. Binding Corporate Rules – BCR),
(c) s standardnimi določili o varstvu podatkov, ki jih sprejme Evropska komisija ali nadzorni organ in jih odobri Evropska komisija,
(d) z odobrenim kodeksom ravnanja v skladu s členom 40. GDPR skupaj z zavezujočimi in izvršljivimi zavezami upravljavca ali obdelovalca v tretji državi, da bo uporabljal ustrezne zaščitne ukrepe, tudi glede pravic posameznikov, na katere se nanašajo osebni podatki, ali
(e) z odobrenim mehanizmom potrjevanja v skladu s členom 42. GDPR skupaj z zavezujočimi in izvršljivimi zavezami upravljavca ali obdelovalca v tretji državi, da bo uporabljal ustrezne zaščitne ukrepe, tudi glede pravic posameznikov, na katere se nanašajo osebni podatki.

Evropska komisija je tako vendarle objavila osnutek implementacijskih izvedbenih odločitev o standardnih pogodbenih določilih za prenose osebnih podatkov v tretje države skupaj z osnutkom takšnih določil, ki zajemajo naslednje vrste prenosov:
(a) Upravljavec – upravljavec;
(b) Upravljavec – obdelovalec;
(c) Obdelovalec – obdelovalec; in
(d) Obdelovalec – upravljavec.

Zadnji dve kategoriji (c) in (d) sta novi in v praksi težko pričakovani!

Komisija navaja, da bodo nova določila modularne in bodo tako vključevale različne scenarije obdelave osebnih podatkov, ki bodo lahko "stkane" v končni dokument, ki bo tako prilagojen konkretni situaciji. Rezultat tega pa bo med ostalim, da jih bodo lahko podpisale tudi več kot dve stranki.

Klavzule že vsebuje nekatera od priporočil evropskega organa za varstvo osebnih podatkov (EDPB) glede pogodbenih dopolnilnih ukrepov iz novembra 2020 za pomoč pri zagotavljanju dodatne zaščite osebnih podatkov, prenesenih v tretjo državo, kadar je to potrebno skladno z razsodbo Sodišče Evropske unije  v zadevi Schrems II in priporočil EDPB o evropskih temeljnih jamstvih glede ukrepov nadzora. Priloga klavzul prikazuje namen vključitve nadaljnjih priporočil EDPB v končno različico. Vendar gre tudi zaznati nekatera odstopanja od priporočil EDPB. EDPB pravi, da bi morala biti ocena, ali so potrebni dodatni ukrepi za zaščito podatkov, objektivna in osredotočena na pravni režim in ne na subjektivna vprašanja, na primer ali bodo podatki, ki se prenašajo znali biti verjetno zanimivi za vladne agencije.

Predlogi novih klavzul določajo, da bi bil morda bolj  primeren pristop glede vsebine in obsega klazul, ki naj se v konkretni situaciji uporabijo metoda analize tveganja. Odstavek 20. osnutka izvedbene odločbe tako določa, da je treba upoštevati naslednje: -posebne okoliščine prenosa (kot so vsebina in trajanje pogodbe, narava prenesenih podatkov, vrsta prejemnika, namen obdelava in kakršne koli ustrezne praktične izkušnje, ki kažejo na obstoj ali odsotnost predhodnih zahtevkov za razkritje od javnih organov, ki jih je uvoznik podatkov prejel za vrsto prenesenih podatkov), zakoni tretje države, upoštevni glede na okoliščine prenos in morebitni dodatni zaščitni ukrepi (vključno s tehničnimi in organizacijskimi ukrepi, ki se uporabljajo med prenosom in obdelavo osebnih podatkov v namembni državi).

Osnutki SCC so bili odprti za komentiranje do 10. 12.2020 in bodo po pričakovanju sprejeti v letu 2021. Družbe bodo imele leto dni časa za uskladitev obstoječih podpisanih klavzul z novimi.

Vse do veljave novih zaščitnih pogodbenih ukrepov pa morata izvoznik in uvoznik osebnih podatkov skleniti pogodbo, v katero v celoti vključita standardna pogodbena določila ter oba dodatka, ki sta sestavni del teh določil, ki jih je že sprejela Evropska komisija v letu 2004 in 2010:

(a) standardne pogodbene klavzule za prenos podatkov od upravljavca iz EU/EGS k obdelovalcu v tretji državiin, ki  so dostopne na tej povezavi;
(b) standardne pogodbene klavzule za prenos podatkov od upravljavca iz EU/EGS k upravljavcu v tretji državi in, ki so dostopne tukaj in tukaj (izbirate lahko med dvema možnostma).

Vesna Stanković, univ.dipl. pravnica

CC BY