Решението, с което Европейската комисия (ЕК) прие новите Стандартни договорни клаузи (СДК) при трансфер на данни извън ЕС, беше публикувано в Официалният вестника на ЕС на 07.06.2021г. и ще влезе в сила на 27 юни 2021 г..
В него се предвижда, че от 27.09.2021г. действащите досега Решения на ЕК, с които се установяват СДК загубват действието си. Сключените договори преди тази дата, въз основа на въпросните Решение 2001/497/ЕО или Решение 2010/87/ЕС се смята, че осигуряват подходящи гаранции за защита на данните до 27 декември 2022 г. и то при условие, че операциите по обработване, които са предмет на договора, остават непроменени и че използването на тези клаузи гарантира, че предаването на лични данни се извършва при наличието на подходящи гаранции.
Новите стандартни договорни клаузи на ЕК предвиждат, че последните ще бъдат приложими не само в отношенията на трансфер между администратор към обработващ, администратор към администратор, както досега, но и в случай на трансфер на данни между обработващи и от обработващ към администратор. Голяма стъпка напред в трансфера на данни е и това, че новите СДК ще могат да бъдат инкорпорирани и в споразумение между износител на данни и трето лице, като и двамата не са установени в ЕИП, в случай че по отношение на износителя на данни съществува задължение да съобразява поведението си с Общия регламент за защита на данните (ОРЗД) (включително и с правилата за износ на данни) предвид надхвърлящото територията на ЕС действие на Регламента, установено в член 3, пар. 2 от ОРЗД.
СДК представляват компилация от общи клаузи, приложими за всички линии на трансфер извън ЕС, така и модулни, които ще намерят приложение в зависимост от правното положение на страните в отношенията им – администратор -> администратор, администратор -> обработващ, обработващ -> обработващ или обработващ -> администратор.
Кое е новото?
Създава се възможност СДК да се сключат между повече от две страни, като се въвежда и механизъм за присъединяване към вече подписано споразумение от страна на нов вносител/износител на данни чрез Клауза за присъединяване – това би било от полза за групи свързани предприятия, както и при присъединяване на нова компания към групата – в последния случай може да бъде сключено споразумение за присъединяване.
Администраторите и обработващите се предвижда да могат да инкорпорират СДК в споразумение с по-широк обхват и да включват допълнително клаузи, да предвиждат допълнителни защитни мерки, доколкото допълнителните клаузи не противоречат пряко или непряко на СДК и не нарушават основни права и свободи на субектите на данни.
Какво става с насоките в решението на Съда на ЕС – Schrems II?
ЕК отделя цял раздел „Местно законодателство и задължения в случай на достъп на публични органи“, който е изграден следвайки изискванията, заложени в спомената съдебна практика. Разпоредбите в този раздел не са изградени на модулен принцип и са приложими за всяка разновидност на правните отношения.
Въвежда се клауза, съгласно която страните следва да гарантират, че нямат основание да смятат, че законите и практиките в държавата на получаване на данните не позволяват на вносителя на данни да изпълни задълженията си, произтичащи от споразумението, което инкорпорира СДК. За да гарантират това, страните следва да вземат предвид специфичните обстоятелства, при които се осъществява трансфера, законодателството и практиките в страната, в която данните ще бъдат внесени, както и относимите договорни, технически и организационни мерки, които са въведени в допълнение към СДК. Целият този процес следва задължително да се документира и да бъде предоставен в случай на поискване на компетентния надзорен орган (у нас това е КЗЛД). Тази оценка може да включва и надеждна информация за прилагането на правото на практика – съдебна практика или пък такава на независими надзорни органи, съществуването или липсата на искания за разкриване на лични данни в същия сектор, документиран практически опит на износителя/вносителя на данни.
Вносителят на данни ще се задължава и да уведоми износителя и засегнатия субект на данни, в случай че получи правнообвързващо искане от публичен орган (включително съдебните органи) да разкрие получените въз основа на СДК лични данни. А в случай че му е забранено да извърши подобно уведомление – вносителят следва да предостави информация във възможно най-голям обем относно така направените искания. При положение, че вносителят на данни има достатъчно основания да постави под въпрос законосъобразността на подобно искане, той следва да го оспори като изчерпи всички възможности за неговото обжалване. При всеки случай обаче ако вносителят счете, че не е в състояние да приведе поведението си в съответствие със СДК, поради каквато и да е причина – било то и поведението на публичния орган – следа да уведоми износителя на данни. В подобен случай, ако не могат да бъдат взети подходящи мерки за ограничаване на риска за данните, износителят на данни извън ЕС ще може да прекрати споразумението (съответно и трансфера на данни), което инкорпорира СДК – сериозен момент, който основателно може да притесни бизнес партньорите извън ЕС, доколкото „животът“ на сделките им може да бъде прекратен по независещи от тях обстоятелства.
Както и досега действащите СДК, новите съдържат приложения, в които следва да бъдат поместени спецификите на износа на данни. Приложенията са 3 на брой и касаят следните подробности:
- Списък на страните по споразумението, описание на извършвания трансфер и компетентният надзорен орган по защита на данните;
- Технически и организационни мерки, включително технически и организационни мерки за осигуряване защитата на данните;
- Списък на подизпълнителите на обработващите данни.
Чрез тях страните по споразумението следва да очертаят в конкретика отношенията си.