12 листопада 2020 року, більше ніж через два роки після набуття чинності GDPR, Європейська комісія опублікувала проєкт нових стандартних договірних положень (SCCs) для публічного обговорення. Затримка була спричинена очікуванням судового рішення у справі, широко відомої як Schrems II.
Очікується, що основними змінами у проєкті нових SCCs будуть такі:
– два додаткові варіанти передачі даних, відсутні у чинній редакції SCCs – передачі від процесора до процесора та від процесора до контролера;
– включення формулювання статті 28 GDPR щодо процесора, яке відсутнє у чинній редакції SCCs;
– зміни, обумовлені рішенням у справі Schrems II:
– передача даних до та від кількох сторін (тобто передачі, що включають більше ніж одного експортера та імпортера даних).
Очікується, що нові SCCs будуть сприятливими для бізнесу та закриють усі існуючі прогалини. Сторони передачі даних зможуть використовувати чинну редакцію SCCs протягом одного року з дати набрання чинності новими SCCs.
Того ж тижня у світлі рішення у справі Schrems II Європейська рада із захисту даних (EDPB), що забезпечує послідовне застосування GDPR, опублікувала свої рекомендації щодо допоміжних заходів та схему дій для оцінки необхідності застосування таких заходів експортерами даних для ефективного захисту персональних даних відповідно до стандартів GDPR. Схема дій передбачає такі кроки.
1. Документувати та структурувати передачі даних (для експортерів даних), у тому числі щодо подальших передач, які можуть бути здійснені імпортерами даних своїм суб-процесорам. Особлива увага має приділятися міжнародній хмарній інфраструктурі, що може потенційно використовуватися для передачі даних до країн поза межами ЄЕЗ. Це має проводитися до здійснення нових/продовження здійснення існуючих передач.
2. Ідентифікувати засоби передачі, на яких ви базуєтеся, наприклад, рішення про адекватність, SCCs, зобов’язальні корпоративні правила (BCRs), кодекси поведінки або відступи (стаття 49 GDPR).
3. Якщо ви використовуєте один із засобів передачі, наведених у статті 46 GDPR, провести аналіз, чи є такий засіб передачі ефективним з точки зору місцевого законодавства та практики країни-імпортера. Оцінка має охоплювати такі особливості передачі: цілі передачі та обробки; види залучених юридичних осіб; індустрію, в якій здійснюється передача (фінтех, телекомунікації тощо); категорії та формат даних, що передаються (простий текст, псевдонімізовані дані тощо); потенційні подальші передачі та інформацію щодо того, чи будуть дані зберігатися у третій країні або до них буде лише віддалений доступ за умови їх зберігання в межах ЄС/ЄЕЗ.
4. Якщо засіб передачі не повністю ефективний, вжити допоміжних заходів додатково до засобів передачі. Такі заходи можуть бути, наприклад:
5. Здійснити формальні процедури, наприклад, консультації з компетентними наглядовими органами та отримати їхнє погодження.
6. Повторна оцінка ефективності засобів передачі, у тому числі допоміжних заходів.