close
МЕНЮ

Новости

Ключевые контакты
11 июня 2021

Европейская комиссия приняла новые стандартные договорные положения

4 июня 2021 года Европейская комиссия опубликовала долгожданные обновленные редакции стандартных договорных положений (SCCs) для передачи персональных данных внутри Европейской экономической зоны (ЕЭЗ) и за ее пределы. Этот инструмент передачи рассматривался как наиболее практичный для большинства передач данных, пока решение в деле Schrems II не сделало его обременительным. Кроме того, предыдущие SCCs были устаревшими и не соответствовали новой реальности, установленной GDPR.

Что нового

Новые виды передач данных

В отличие от предыдущего набора SCCs, охватывавших разные виды передач данных, новые SCCs имеют модульную структуру, позволяя выбирать необходимый набор положений для конкретного сценария в рамках одного договора. Эти модули охватывают такие передачи:

  • от контролера (ЕС) к контролеру (за пределами ЕС);
  • от контролера (ЕС) к процессору (за пределами ЕС);
  • от процессора (ЕС) к контролеру (за пределами ЕС) (новация); и
  • от процессора (ЕС) к процессору (за пределами ЕС) (новация).

SCCs также можно использовать для многосторонних отношений по передаче данных. Теперь SCCs позволяют новым сторонам передачи присоединиться к уже существующему договору.

Не понимаете формулировки GDPR? Новые SCCs могут стати полезными

В сравнении с GDPR, в новых SCCs обязанности экспортера та импортера данных изложены более простым и понятным языком. Это упрощает понимание и выполнение договорными сторонами своих обязанностей.

Оценка рисков страны импорта данных остается обязательной

SCCs были разработаны для отображения положений решения суда по делу Schrems II путем предоставления договорным сторонам права осуществлять контроль над тем, могут ли органы власти за пределами ЕС получать доступ к персональным данных, которые передаются из ЕС, и если да, то каким образом. В целом, оценка влияния передачи (transfer impact assessment, TIA), которую стороны осуществляли согласно до решению суда по делу Schrems II, теперь зафиксирована в SCCs.

Обновленная оценка (в придачу к оценке особенных обстоятельств передачи и технических и организационных мер защиты в сравнении с предыдущими SCCs) должна включать оценку законодательства и практики страны импорта данных. Это включает оценку положений касательно требования раскрывать данные органам власти или предоставлять доступ таким органам, а также применимые ограничения и меры защиты. Такая оценка должна также включать предыдущий опыт импортера данных касательно реагирования на запросы о предоставлении персональных данных, судебную практику и отчеты независимых надзорных органов.

Получили запрос на доступ от местных органов власти – сообщите экспортеру данных

Импортеры данных будут обязаны сообщать экспортерам данных об обязательных к исполнению запросах касательно доступа к персональным данным от компетентных органов страны импорта. От импортеров данных также ожидается прикладывать все усилия для избежания потенциального запрета информировать экспортера данных о таком запросе.

Вы субъект данных? Отправляйте свои запросы импортеру данных

Обновленные SCCs предоставляют субъектам данных новые права касательно прямых запросов импортеру данных. Объем обязанностей импортеров данных относительно предоставления ответа на такие запросы зависит от конкретного сценария передачи.

Вопрос ответственности

Для сценариев передачи контролер-процессор и процессор-процессор обновленные SCCs возлагают ответственность за нарушение прав субъектов данных на экспортера данных в ЕЭЗ. Это означает, что процессоры и суб-процессоры за пределами ЕЭЗ не будут нести ответственность за нарушение перед надзорными органами ЕС. Однако, конечно, это не означает, что импортеры данных не смогут / не будут нести ответственность в таких случаях. Экспортеры данных вероятно будут включать соответствующее положение об ответственности в договоры с импортерами за пределами ЕС, в том числе относительно компенсации за любое поведение, повлекшее убытки для экспортера в ЕС.

Когда вступит в силу и буде применяться

Решение Европейской комиссии, которым утверждены новые SCCs, вступит в силу через 20 дней после официального опубликования в Официальном вестнике Европейского союза. Переходной период составит 18 месяцев с момента официальной публикации SCCs. Обязанность перезаключить SCCs будет применяться также к отношениям, в которых передача уже завершена, но импортер все еще обрабатывает данные.

Что дальше

Организации, активно использовавшие старую версию SCCs для трансграничных передач данных, должны подготовиться к новой реальности независимо от продленного переходного периода. Можно предпринять такие шаги:

  • определить и структурировать все трансграничные передачи данных, в том числе те, в которых передача уже завершена, но импортер все еще обрабатывает данные;
  • идентифицировать передачи, основывающиеся на SCCs;
  • непрерывно проводить обязательную TIA передач в третьи страны;
  • перезаключить существующие договоры и заменить соответствующие положения новыми SCCs.

Отдельно стоит упомянуть, что новые SCCs не охватывают передачи данных за пределы Великобритании. Британский надзорный орган (ICO) сейчас готовит собственные договорные положения для представления их для публичных консультаций независимо от регулирования в ЕС.

 

Поделиться:

Больше Новости
Показать больше