EU komisija usvojila je nove standardne ugovorne klauzule

Europska komisija usvojila je dugo očekivane nove standardne ugovorne klauzule.

Što je novo?

Dva nova seta standardnih klauzula uređuju odnose voditelja i izvršitelja obrade prema članku 28. GDPR-a, te prijenose osobnih podataka u treće zemlje. Vjerujemo da je ovaj drugi set  u ovom trenutku „zanimljiviji“, stoga izdvajamo najvažnije informacije.

Pri definiranju obveza izvoznika i uvoznika Komisija je uzela u obzir zaključke Schrems II presude u odnosu na posebnosti nacionalnih propisa u trećoj zemlji, ovlasti tamošnjih javnih tijela (obavještajnog sustava) te posljedično negativni utjecaj na prava i slobode pojedinaca, odnosno na njihovo ograničavanje u odnosu na razinu koja je zajamčena u EU (Povelja o temeljnim pravima i GDPR).

Ova obveza nije novost u odnosu na stari set klauzula, no očito Komisija i EDPB ovoj temi pristupaju puno ozbiljnije nakon Schrems II presude, a to se očekuje i od uvoznika i izvoznika koji će morati napustiti pro forma pristup zaštiti podataka. To znači da će tvrtke koje izvoze podatke u treće zemlje, u odnosu na svoju specifičnu situaciju (država odredišta, kategorija podataka, vrsta obrade, kategorija ispitanika, vrsta/djelatnost uvoznika, vremenski i teritorijalni opseg obrade i dr.), morati napraviti procjenu nacionalnih propisa, stanja ljudskih prava, ovlasti javnih tijela, modaliteta pravne zaštite nerezidenata i dr., te detektirati eventualne rizike za prava i slobode pojedinaca u trećoj zemlji.

Sukladno procjeni i identificiranim rizicima definirat će se obvezne organizacijske i tehničke mjere zaštite osobnih podataka poput kriptiranja, pseudonimizacije i drugih mjera, a ako se rizici ne mogu umanjiti prijenos neće biti moguć.

Pravne obveze

U praksi, prema Klauzuli 14 (Local laws and practices affecting compliance with the Clauses) izvoznik i uvoznik se obvezuju na sljedeće:

  • Stranke jamče da nema razloga za vjerovanje da zakonodavstvo treće zemlje primjenjivo na predmetnu obradu, uključujući i zahtjeve nadležnih javnih tijela, onemogućava uvoznika podataka u ispunjavaju obveza iz Klauzula.
  • Stranke izjavljuju da su za potrebe jamstva uzele u obzir posebno sljedeće elemente:
    • Specifičnosti prijenosa (vrsta primatelja, svrha obrade, kategorija i format prenesenih podataka, gospodarska djelatnost, broj uključenih strana, tj. „dužina lanca“ prijenosa podataka i dr.).
    • Posebne zakone koji se primjenjuju u trećoj zemlji u kontekstu prijenosa podataka, uključujući i zahtjeve nadležnih javnih tijela za otkrivanjem podataka.
    • Dodatne mjere zaštite (pravne, tehničke ili organizacijske) primijenjene u prijenosu i u trećoj zemlji.
  • Uvoznik se obvezuje žurno obavijestiti izvoznika ako vjeruje da je postao obveznik primjene propisa koji je u suprotnostima s obvezama iz Klauzula.
  • Temeljem obavijesti uvoznika, izvoznik će:
    • a) identificirati i implementirati primjerene dodatne zaštitne mjere.
    • b) suspendirati prijenos podataka ako dodatne mjere ne mogu imati učinka ili ako je suspenziju naložilo nadzorno tijelo.

Klauzula 15 (Obligations of the data importer in case of access by public authorities):

  • Uvoznik se obvezuje da će odmah po saznanju obavijestiti izvoznika podataka i, kada je to moguće, ispitanike (ako je potrebno uz pomoć izvoznika podataka) ako:
    • primi pravno obvezujući zahtjev od javnog tijela, uključujući pravosudna tijela, prema zakonima države odredišta;
    • postane svjestan bilo kakvog izravnog pristupa javnih tijela osobnim podacima u skladu sa zakonima države odredišta.
  • Ako je uvozniku podataka zabranjeno obavještavati izvoznika podataka i/ili ispitanike  prema zakonima države odredišta, uvoznik podataka suglasan je da će uložiti sve napore kako bi postigao izuzeće od zabrane, s ciljem što bržeg priopćavanja informacija izvozniku.
  • Uvoznik podataka pristaje dokumentirati sve napore kako bi ih mogao demonstrirati na zahtjev izvoznika podataka.

Nimalo jednostavan zadatak…

Mjere zaštite podataka

U Aneksu II kojim se uređuju tehničke i organizacijske mjere zašite podataka, posebno se ističe da primijenjene mjere moraju biti točno određene i tako opisane, bez upotrebe generičkih pojmova.

Famozna odredba koju (nažalost) prečesto viđamo u ugovorima o obradi podataka, a koja otprilike  glasi „ugovorne strane provode odgovarajuće tehničke i organizacijske mjere kako bi osigurale odgovarajuću razinu sigurnosti s obzirom na rizik, uključujući prema potrebi: pseudonimizaciju i enkripciju osobnih podataka….“, neće naći mjesto u novim SCC.

Uvoznik i izvoznik morat će se malo više potruditi i jasno definirati mjere prema njihovoj funkciji/svrsi i opisati sredstva kojima se te mjere provode.

U Aneksu II se navode sljedeći primjeri mjera:

  • Pseudonimizacija i kriptiranje osobnih podataka
  • Osiguravanje trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade
  • Osiguravanje mogućnosti pravodobnog vraćanja dostupnosti i pristupa osobnim podacima u slučaju fizičkog ili tehničkog incidenta
  • Redovito ispitivanje, procjenu i ocjenjivanje učinkovitosti tehničkih i organizacijskih mjera kako bi se osigurala sigurnost obrade
  • Identifikacija i autorizacija korisnika
  • Zaštita podataka tijekom prijenosa i u mirovanju
  • Osiguravanje fizičke sigurnosti lokacija na kojima se obrađuju osobni podaci
  • Evidencija događaja (event logging)
  • Certificiranje/osiguravanje procesa i proizvoda
  • Osiguravanje smanjenja količine podataka
  • Osiguravanje kvalitete podataka
  • Ograničavanje perioda zadržavanja podataka
  • Osiguravanje pouzdanosti (accountability)
  • Omogućavanje prenosivosti podataka i osiguravanje brisanja

Vremenski okvir

Odluka Europske komisije o usvajanju novih SCC stupit će na snagu dvadeset dana od objave u Službenom listu EU, a tri mjeseca od stupanja na snagu odluke EK stare SCC bit će stavljene van snage i više ih se neće moći koristiti.

Do tog razdoblja moguće je prijenose podataka urediti postojećim (starim) SCC, a sve organizacije koje ih trenutno koriste imaju na raspolaganju razdoblje od ukupno 18 mjeseci da svoje prijenose urede novim odgovarajućim modelom klauzula.

Dakle, do kraja 2022. godine organizacije su dužne revidirati postojeće prijenose osobnih podataka, a one koji su trenutno uređeni starim klauzulama potrebno je zamijeniti novim.