Європейська комісія прийняла нові стандартні договірні положення

4 червня 2021 року Європейська комісія опублікувала довгоочікувані оновлені редакції стандартних договірних положень (SCCs) для передачі персональних даних всередині Європейської економічної зони (ЄЕЗ) та за її межі. Цей інструмент передачі розглядався як найбільш практичних для більшості передач даних, допоки рішення у справі Schrems II не зробило його обтяжливим. Крім того, попередні SCCs були застарілими та не відповідали новій реальності, встановленій GDPR.

Що нового

Нові види передач даних

На відміну від попереднього набору SCCs, які охоплювали різні види передач даних, нові SCCs мають модульну структуру, дозволяючи обирати необхідний набір положень для конкретного сценарію в межах одного договору. Ці модулі охоплюють такі передачі:

• від контролера (ЄС) до контролера (за межами ЄС);
• від контролера (ЄС) до процесора (за межами ЄС);
• від процесора (ЄС) до контролера (за межами ЄС) (новація); та
• від процесора (ЄС) до процесора (за межами ЄС) (новація).

SCCs також можна використовувати для багатосторонніх відносин з передачі даних. Відтепер SCCs дозволяють новим сторонам передачі приєднатися до вже існуючого договору.

Не розумієте формулювання GDPR? Нові SCCs можуть стати корисними

У порівнянні з GDPR, у нових SCCs обов’язки експортера та імпортера даних викладені більш простою та зрозумілою мовою. Це спрощує розуміння та виконання договірними сторонами своїх обов’язків.

Оцінка ризиків країни імпорту даних залишається обов’язковою

SCCs були розроблені для відображення положень рішення суду у справі Schrems II шляхом надання договірним сторонам права здійснювати контроль над тим, чи можуть органи влади за межами ЄС отримати доступ до персональних даних, які передаються з ЄС, і якщо так, то яким чином. В цілому, оцінка впливу передачі (transfer impact assessment, TIA), яку сторони здійснювали відповідно до рішення суду у справі Schrems II, відтепер зафіксована в SCCs.

Оновлена оцінка (на додачу до оцінки особливих обставин передачі та технічних і організаційних заходів захисту у порівнянні з попередніми SCCs) повинна включати оцінку законодавства та практики країни імпорту даних. Це включає оцінку положень щодо вимоги розкриття даних органам влади або надання доступу таким органам, а також застосовні обмеження та засоби захисту. Така оцінка повинна також включати попередній досвід імпортера даних щодо реагування на запити про надання персональних даних, судову практику та звіти незалежних наглядових органів.

Отримали запит на доступ від місцевих органів влади – повідомте експортера даних

Імпортери даних будуть зобов’язані повідомляти експортерів даних про обов’язкові до виконання запити щодо доступу до персональних даних від компетентних органів країни імпорту. Від імпортерів даних також очікується докладання всіх зусиль для уникнення потенційної заборони інформувати експортера даних про такий запит.

Ви суб’єкт даних? Надсилайте свої запити імпортеру даних

Оновлені SCCs надають суб’єктам даних нові права щодо прямих запитів імпортеру даних. Обсяг обов’язків імпортерів даних щодо надання відповіді на такі запити залежить від конкретного сценарію передачі.

Питання відповідальності

Для сценаріїв передачі контролер-процесор та процесор-процесор оновлені SCCs покладають відповідальність за порушення прав суб’єктів даних на експортера даних в ЄЕЗ. Це означає, що процесори та суб-процесори за межами ЄЕЗ не будуть нести відповідальність за порушення перед наглядовими органами ЄС. Утім, звичайно, це не означає, що імпортери даних не зможуть / не будуть нести відповідальність у таких випадках. Експортери даних вірогідно включатимуть відповідне положення про відповідальність до договорів з імпортерами за межами ЄС, у тому числі щодо компенсації за будь-яку поведінку, що спричинила збитки експортеру в ЄС.

Коли вступить в силу і буде застосовуватися

Рішення Європейської комісії, яким затверджено нові SCCs, вступить в силу через 20 днів після офіційного опублікування в Офіційному віснику Європейського союзу. Перехідний період складатиме 18 місяців з моменту офіційної публікації SCCs. Обов’язок переукласти SCCs застосовуватиметься також до відносин, в яких передача вже завершена, однак імпортер досі обробляє дані.

Що далі

Організації, що активно використовували стару версію SCCs для транскордонних передач даних, повинні підготуватися до нової реальності незалежно від подовженого перехідного періоду. Можна вжити такі кроки:

• визначити та структурувати всі транскордонні передачі даних, у тому числі ті, в яких передача вже завершена, однак імпортер досі обробляє дані;
• ідентифікувати передачі, які базуються на SCCs;
• безперервно проводити обов’язкову TIA передач до третіх країн;
• переукласти існуючі договори та замінити відповідні положення новими SCCs.

Окремо слід зазначити, що нові SCCs не охоплюють передачі даних за межі Великої Британії. Британський наглядовий орган (ICO) наразі готує власні договірні положення для представлення їх для публічних консультацій незалежно від регулювання в ЄС.