U skladu s ranijim neslužbenim najavama Europska komisija objavila je nacrt novih standardnih ugovornih klauzula za prijenos osobnih podataka i ispunila obećanje da će proces modernizacije klauzula završiti do kraja 2020. godine. Iako Komisija već duže vrijeme radi na novom modelu klauzula, presuda Suda EU u slučaju Schrems II zasigurno je utjecala na tijek ovog dugotrajnog procesa.
Prijedlog novog modela otvoren je za javnu raspravu do 10. prosinca ove godine, a predviđen je rok od 12 mjeseci za prilagodbu, do kada bi svi voditelji i izvršitelji obrade trebali svoje odnose i prijenose podataka urediti prema novom modelu klauzula.
Posebno ističemo dvije novosti.
Novi prijedlog je modularnog karaktera te ugovorne strane, ovisno o svojem odnosu i ulogama u obradi, „biraju“ klauzule i anekse koji su primjenjivi na njihov specifičan odnos.
Druga značajna izmjena odnosi se na proširenje odnosa koje je moguće urediti standardnim ugovornim klauzulama. Naime trenutno su u primjeni SCC koje uređuju odnose:
- Voditelj (izvoznik) i voditelj (uvoznik)
- Voditelj (izvoznik) i izvršitelj (uvoznik),
a novi prijedlog novog modela obuhvaća i odnose:
- Izvršitelj (izvoznik) i izvršitelj (uvoznik)
- Izvršitelj (izvoznik) i voditelj (uvoznik).
Prijedlogom su obuhvaćene i neke od nedavno objavljenih preporuka EDPB-a te se vodilo računa o zaključcima iz Schrems II presude, stoga možemo zaključiti da je ovakav pristup definitivno korak naprijed i da će SCC i dalje ostati najčešće korištena mjera zaštite podataka prilikom prijenosa u treće zemlje.
Napominjemo da novi model SCC-a ne rješava na jedinstveni način i prijenose podataka u SAD. Kao i u trenutno važećem modelu i dalje postoji jasna obveza ugovornih strana koja se odnosi na ocjenu nacionalnih zakona koji bi mogli negativno utjecati na temeljna prava i slobode ispitanika. Ova obveza detaljno je definirana novom Klauzulom 2. (Local laws affecting compliance with the Clauses).
Osim prijedloga novih SCC za prijenos podataka u treće zemlje, Komisija je objavila i nacrt standardnog ugovora o obradi osobnih podataka (DPA) koji obuhvaća zahtjeve definirane člankom 28. GDPR-a. Prijedlog DPA nije obvezan za primjenu što znači da voditelji i izvršitelji ne moraju mijenjati postojeće ugovore o obradi podataka pod uvjetom da su sklopljeni u skladu s člankom 28. i primjenjivi u praksi.