Ključni poudarki novih standardnih pogodbenih klavzul za prenos podatkov v tretje države
Nove standardne pogodbene klavzule za prenos podatkov v tretje države rešujejo tri točke: prenose podatkov med več partnerji, prilagoditev na Splošno uredbo in odziv na sodbo Schrems II
Članek je bil objavljen 8.6.2021
Upravljavci in obdelovalci bodo lahko začeli uporabljati nove standardne pogodbene klavzule (SPK) 27.6.2021. Tri mesece po tem datumu se lahko še sklepajo pogodbe z obstoječimi SPK, po 27.9.2021 se lahko uporabljajo samo nove SPK. Do 27.12.2022 je potrebno pogodbe, ki uporabljajo obstoječe SPK nadomestiti z novimi, razen v primeru sprememb v obdelavi, ki narekuje podpis nove pogodbe ali aneksa k obstoječi pogodbi.
Dodatne smernice glede upoštevanja lokalne zakonodaje
Pomembno mesto zavzemajo zagotovila, da podpisnici pogodbe z novimi SPK s strani lokalne zakonodaje in pravne prakse ne bosta omejeni v izvajanjih svojih obveznosti iz pogodbe (člen 14). Slednje se nanaša v glavnem na obdelavo osebnih podatkov s strani javnih organov države uvoznice. V opombi člena 14 je zapisano, da če se stranke želijo zanašati na svoje praktične izkušnje pri dostopu javnih organov do podatkov, morajo te izkušnje podpreti drugi ustrezni, objektivni elementi. Stranke bi morale preveriti, ali njihove izkušnje potrjujejo javno dostopne in zanesljive informacije o zahtevah javnih organov za dostop do osebnih podatkov - na primer s sodno prakso ali poročili neodvisnih nadzornih organov in da se nanašajo na panogo, v kateri delujejo. Spomnimo, da je EDPB v predlogu priporočil glede Schrems II to možnost popolnoma izključil, zato z zanimanjem pričakujemo potrjeno verzijo priporočil, ki je obljubljena še v tem mesecu.
Kaj SPK pokrivajo in kaj ne
SPK pokrivajo prenose podatkov med upravljavcema, med obdelovalcema, od upravljavca do obdelovalca in od obdelovalca do upravljavca. Uporabljajo se takrat, ko je upravljavec podvržen Splošni uredbi, četudi nima sedeža v EU. Uporablja se za vključevanje dodatnih obdelovalcev v proces obdelave, ki se v sam proces obdelave vključijo kasneje.
Nove SPK so ustrezna pravna podlaga zgolj v primerih, ko uvoznik osebnih podatkov ni podvržen Splošni uredbi. To je novost v primerjavi z obstoječimi SPK. Nove SPK tudi ne pokrivajo prenosa podatkov, ki jih pokriva britanska verzija Splošne uredbe, saj po-Brexit zakonodaja varstva osebnih podatkov ureja prenose podatkov, ki so urejene s SPK, ki so bile potrjene do 31.12.2020. Britanski nadzorni organ (ICO) bo preučil ustreznost SPK kot orodja za svoje obdelave.
Kako se v novih SPK odraža sodba Schrems II?
SPK upoštevajo sodbo Schrems II in delujejo v njenem okviru. Klavzule ohranjajo načela v sedanjih SPK, ki jih je Sodišče v sodbi Schrems II ocenilo pozitivno in so bile podlaga za odločitev Sodišča, da morajo SCC ostati veljavni. Ta načela so:
obveznost izvoznika podatkov (kateremu uvoznik pomaga), da preuči raven varstva osebnih podatkov v tretji državi;
obveznost uvoznika podatkov, da obvesti izvoznika podatkov o svoji morebitni nezmožnosti izpolnjevanja SPK; in
obveznost izvoznika, da prekine prenos podatkov ali odpove pogodbo.
Obstoječe SPK omogočajo izvozniku, da obvesti nadzorni organ, če še naprej prenaša osebne podatke, ko je prejel obvestilo o nezmožnosti izpolnjevanja SPK. Ta določba je bila vključena v osnutek SPK, vendar je bila sedaj v končni obliki odstranjena.
Klavzule vključujejo več elementov iz sodbe Schrems II, in sicer izvedba ocene učinka prenosa, ki so na zahtevo na voljo pristojnemu nadzornemu organu, določitev dejavnikov, ki jih mora izvoznik podatkov upoštevati pri oceni učinka prenosa, pri upoštevanju zakonodaje in prakse v tretji državi se klavzule koristno sklicujejo tudi na dolžino verige obdelovalcev, število vključenih akterjev in uporabljene kanale za prenos podatkov, vrsta prejemnika in podrobnosti nadaljnjih prenosov, namen obdelave in narava prenesenih podatkov, oblika prenesenih podatkov in panoge, v kateri se prenosi izvajajo ter kraj hrambe prenesenih podatkov.
SPK vključujejo tudi močnejše zaveze uvoznika podatkov glede na poskuse javnih organov v tretji državi do dostopa do osebnih podatkov iz EU. Uvoznik podatkov mora, če je mogoče, obvestiti izvoznika podatkov in posameznike, na katere se nanašajo osebni podatki, da je prejel zahtevo javnega organa za dostop do takšnih podatkov, pri čemer so javni organi opredeljeni tako, da vključujejo tudi sodne organe. Zakonitost katerega koli takšnega naloga mora presoditi s sklicevanjem na veljavno zakonodajo tretje države in mednarodne zaveze, in če meni, da ima razloge za izpodbijanje odredbe, mora to storiti. Kadar je mogoče, mora zahtevati začasni ukrep, s katerim bo začasno ustavil vsako zahtevo po razkritju podatkov, medtem ko je preverjanje zakonitosti v teku. Razkriti mora tudi minimalno količino osebnih podatkov, ki je razumno možna kot odgovor na zahtevo. Uvoznik podatkov mora te zahteve in nadaljnje korake dokumentirati in izvozniku dati vsebino na voljo. Prav tako mora pripraviti poročilo o transparentnosti v obliki splošnih informacij o naravi prejetih zahtev.
Komisija ni vključila vseh predlaganih dopolnilnih ukrepov EDPB, omenjenih v osnutku priporočil EDPB o sodbi Schrems II, zato vsi nestrpno čakamo na odziv EDPB.
Celoten članek z dobrim pregledom določil je v angleškem jeziku dostopen tukaj.
Naslovna slika: RawPixel
