Європейська Комісія затвердила нові стандартні контрактні умови (SCC) для передачі даних за межі ЄС: а ви вже готові?

08 июня 2021

Впродовж останнього року, після набуття чинності судового рішення по справі Schrems II, про визнання недійсним EU–U.S. Privacy Shield,  весь цивілізований світ стояв перед питанням того, як передавати  персональні дані за межі Європейської Економічної Зони (ЄЕЗ). Нарешті це питання вирішено на законодавчому рішенні. Результатом такого рішення стало рішення Європейської Комісії C(2021) 3972, яким було визначено та затверджено нові стандартні контрактні умови для передачі даних (Standard Contractual Clauses або SCC) за межі ЄЕЗ.

Нагадаємо, що рішенням Європейського Суду Справедливості від 16 липня 2020 року, EU–U.S. Privacy Shield – документ, який забезпечував належну передачу персональних даних між Європейською Економічною Зоною та Сполученими Штатами Америки був визнаний недійсним, однак, разом з тим, стандартні контрактні умови (Standard Contractual Clauses або SCC), затверджені Європейською Комісією ще в 2001 та 2004 роках, які на той момент застосовувалися для забезпечення безпечної передачі персональних даних з ЄЕЗ до третіх країн, були визнані такими, що мають силу, однак за певних умов.

Умови, про які йдеться мова вище, перш за все передбачали, що для можливості застосування SCC, компаніям, які планують здійснити передачу персональних даних, необхідно було проводити детальне оцінювання компанії або іншої особи, кому персональні дані планувалося передавати. Результатом такого оцінювання, повинна була бути гарантія того, що

компанія – отримувач вжила всіх належних заходів безпеки для надійної та безпечної обробки персональних даних.

Як саме змінилися Standard Contractual Clauses

Аналізуючи нові SCC, варто відмітити зміни, які кардинально відрізняють їх від попередніх контрактних умов, а саме:

  • Зміна у відповідності з вимогами GDPR. Нові контрактні умови повністю адаптовані під вимоги General Data Protection Regulation (GDPR). Якщо розглядати SCC, затверджені, наприклад, в 2001 році, то в них вказані посилання на Директиву 95/46/ЄС «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних» від 1995 року, що аж ніяк не робило цей документ адаптованим до сучасних динамічних темпів розвитку бізнесу. Натомість, в тексті нових SCC є посилання виключно на GDPR, коли мова йде про передачу персональних даних в сфері бізнесу, а також на Регулювання (EU) 2018/1725, коли персональні дані передаються між Європейськими інституціями та іншими державними органами.
  • Ієрархія. Нові стандартні контракті умови передбачають чітку ієрархічну перевагу SCC над іншими документами, які могли б укладатися між відправником та отримувачем даних, стосовно передачі персональних даних.
  • Узагальненість. В противагу попереднім документам, нові SCC мають узагальнюючий характер, поєднуючи в собі багато різноманітних сценаріїв передачі персональних даних, замість окремих пунктів, які раніше потрібно було застосовувати.
  • Гнучкість. Текст нових SCC передбачає більшу гнучкість для складних ланцюгів обробки персональних даних за допомогою «модульного підходу» та надання можливості більш ніж двом сторонам приєднатися та використовувати положення.

Окрім всього іншого, нові SCC є чудовим набором інструментів для можливості адаптації бізнесу до нових умов, які виникли у зв’язку з прийняттям рішення по справі Schrems II.

Використовуючи нові типові контракті умови, не варто забувати, що зміна їхнього вмісту категорично забороняється. Ігнорування цієї вимоги може призвести до визнання підписаних між сторонами стандартних контрактних умов неналежними та такими, що не можуть бути визнаними законними. Іншими словами, після внесення в умови змін, вони вже більше не будуть вважатися «стандартними».

Разом з тим, компанії можуть використовувати нові SCC як частину більших контрактів чи угод, при цьому не змінюючи їхнього наповнення та змісту. Єдина частина, яку в SCC можна змінювати – це додатки,  в яких деталізується перелік персональних даних, що передаються, а також інші супутні деталі.

Що робити якщо компанія вже налаштувала всі процеси під застарілі SCC?

Рішення Європейської Комісії передбачає, що «контролери та обробники, які на момент прийняття рішення Комісії Європейського Союзу C(2021) 3972, використовують попередні набори стандартних контрактних умов, можуть адаптувати передачу персональних даних, яка базується на старих SCC,  до нових правил протягом перехідного періоду, тривалістю 18 місяців з дня набрання сили рішення C(2021) 3972.

Цей період варто використати для того, щоб переглянути всі внутрішні процеси в середині компанії, а також підготувати всю матеріальну базу для адаптації бізнесу під нові правила передачі персональних даних.

І поки ще не зрозуміло, яка відповідальність буде для тих компаній, які не встигнуть адаптувати свій бізнес до нових вимог передачі даних за межі ЄЕЗ, але можемо запевнити, що це точно будуть штрафи, які передбачені GDPR за неналежну передачу даних в треті країни.