Objavljene so nove standardne pogodbene klavzule (SCC) po GDPR

Evropska komisija sprejela dva sklopa standardnih pogodbenih klavzul, enega za uporabo med upravljavci in obdelovalci in enega za prenos osebnih podatkov v tretje države.

Če torej uporabljate orodja, pri katerih pride do iznosa osebnih podatkov v tretje države, morate sedaj dopolniti pogodbe ali pa preveriti splošne pogoje poslovanja ponudnika. Klasični primeri, ko pride do iznosa, so npr. oblačne storitve (Google, Azure ipd.) in orodja za neposredno trženje (npr. MailChimp, ki ga – mimogrede – nekateri nadzorni organi po EU že močno odsvetujejo).

Nove SCC odražajo nove zahteve iz GDPR in hkrati upoštevajo sodbo Sodišča EU v zadevi Schrems II, ki državljanom zagotavlja visoko raven varstva podatkov. Ta nova orodja bodo evropskim upravljavcem ponudila več pravne predvidljivosti ter zlasti malim in srednjim podjetjem pomagala pri zagotavljanju skladnosti z zahtevami za varen prenos podatkov, hkrati pa bodo omogočala prost pretok podatkov prek meja brez pravnih ovir.

Glavne novosti novih standardnih pogodbenih klavzul:

  • posodobitev v skladu z GDPR;
  • enotna vstopna točka, ki zajema širok spekter scenarijev prenosa, namesto ločenih sklopov klavzul;
  • več prožnosti za zapletene verige procesov z „modularnim pristopom“ in ponujanjem možnosti, da se več kot dve strani pridružita in uporabljata klavzule;
  • praktično orodje za uskladitev s sodbo Schrems II: pregled različnih korakov, ki jih morajo podjetja sprejeti za uskladitev s sodbo Schrems II, in primeri možnih „dopolnilnih ukrepov“, kot je šifriranje, ki jih lahko podjetja sprejmejo po potrebi.

V primerjavi z obstoječimi SCC so novi SCC bistveno zahtevnejše glede števila in obsega obveznosti, pa tudi precej daljše. Vendar pa njihova formulacija (več scenarijev prenosa – vključno s prenosi od EU obdelovalcev) močno olajša široko uporabo novih in kompleksnih postopkov obdelave. Pričakovano se obveznosti bolj usklajujene z zahtevami GDPR, kot tiste v okviru starih SCC, ki so bile sprejete v okviru nekdanje direktive o varstvu podatkov EU.

Prehodno obdobje

Nove SCC začnejo veljati 27. 6. 2021, obstoječe SCC pa bodo razveljavljene 27. 9. 2021. Podjetja, ki vstopajo v nove pogodbe, bodo tako po po 27. 6. 2021 že morala uporabljati nove SCC. Podjetja, ki imajo pogodbe že sklenjene z obstoječimi SCC, te lahko uporabljajo še “15 mesecev od datuma razveljavitve”, torej 3+15=18 mesecev. 

Tako ni treba takoj hiteti s spreminjanjem obstoječih pogodb, bodite pa pozorni, da nove pogodbe že sklepate z novimi SCC.

Če boste torej revidirali to področje, imejte v mislih tudi nove SCC.