Evropska komisija u junu 2021. godine objavila odluku o usvajanju novih Standardnih ugovornih klauzula (dalje: SCC) koje su od 27. septembra 2021. godine zamenile stare SCC. Na ovaj način sprovedena je dugo najavljivana i očekivana izmena koje se primenjuju na međunarodni transfer podataka o ličnosti je konačno sprovedena.
Prethodne Stare SCC su bile usvojene još pre GDPR ere[1], te se moglo očekivati da će nove Standardne ugovorne klauzule biti usvojene nakon stupanja GDPR-a na snagu. Odluka Suda pravde EU u predmetu Schrems II značajno uticala na samu sadržinu novih SCC. Da se podsetimo, u predmetu Schrems II, Sud pravde EU je EU-US Privacy Shield proglašen nezakonitim (o čemu smo pisali u vesti Prenosite podatke o ličnosti u SAD? Nova pravila igre su na snazi!).
Postalo je jasno da stare Standardne ugovorne klauzule ne odgovaraju potrebama ubrzanog razvoja međunarodnog transfera podataka, kao i da je potrebno utvrditi nove mehanizme za transfer podataka o ličnosti između EEZ[2] i trećih zemalja koje ne pružaju adekvatan nivo zaštite ( kao što je npr. SAD). Osim toga, prethodne SCC nisu pokrivale sve vrste transfera koji se mogu javiti, zbog čega su sa nestrpljenjem dočekane nove.
Šta su SCC i kada se primenjuju?
Standardne ugovorne klauzale predstavljaju mehanizam koji kompanije na koje se primenjuje GDPR mogu da koriste kako bi zakonito izvršile međunarodni transfer podataka o ličnosti u situaciji kada se primalac podataka nalazi u zemlji koja ne pruža primereni nivo zaštite.
Sa aspekta GDPRa, adekvatan nivo zaštite postoji kada se prenos vrši između članica EU. Dodatno, Takođe, Evropska komisija donosi odluku[3] o listi zemalja van EU koje pružaju adekvatan nivo zaštite. Stoga, ukoliko se neka zemlja ne nalazi na listi usvojenoj od strane Evropske komisije, smatra se da nije obezbeđen adekvatan nivo zaštite podataka o ličnosti.
Na primer, ukoliko se podaci prenose iz zemlje članice EU u SAD, koje se ne nalaze na listi zemalja Evropske komisije, smatra se da ne postoji primereni nivo zaštite. U tom slučaju, SCC predstavljaju jedan od najjednostavnijih mehanizama koji obezbeđuje zakonitost prenosa.
Nove SCC se zvanično primenjuju od 27. septembra 2021. godine. Praktično na svaki transfer podataka o ličnosti koji se vrši nakon ovog datuma, primenjuju nove SCC, ukoliko se transfer vrši po ovom osnovu.
Na primer, Vaša kompanija 30. septembra 2021. započinje rad na zajedničkom projektu sa kompanijom iz SAD i zaključuje ugovor o poslovnoj saradnji. Kako biste pravilno regulisali međunarodni transfer podataka o ličnosti između dve kompanije, u obavezi ste da primenite nove SCC.
Ali šta je sa ugovorima koji su zaključeni pre 27. septembra koji sadrže stare SCC?
U tom slučaju, ostavljen je prelazni period do 27. decembra 2022. godine, do kada se mogu primenjivati ugovori koji sadrže stare SCC, pod uslovom da ne dolazi do promene u radnjama obrade. Ukoliko dolazi do novih radnji obrade (na primer, obrađuju se novi podaci ili podaci novih kategorija lica koje nisu obuhvaćene prethodnim SCC), neophodno je zaključiti nove ugovore, koji sadrže nove SCC.
Kako se primenjuju nove Standardne ugovorne klauzule?
Nove SCC sadrže 4 različita Modula u zavisnosti od toga u kojim ulogama se javljaju uvoznik i izvoznik podataka o ličnosti, i to:
- Modul 1 – reguliše odnos Rukovalac – Rukovalac
- Modul 2 – reguliše odnos Rukovalac – Obrađivač
- Modul 3 – reguliše odnos Obrađivač – Obrađivač
- Modul 4 – reguliše odnos Obrađivač – Rukovalac
U svakom pojedinačnom slučaju potrebno je odabrati Modul koji je odgovarajući za odnos između uvoznik i izvoznik podataka o ličnosti. Pri tome, važno je naglasiti da se dve kompanije koje se nalaze u poslovnom odnosu i razmenjuju podatke mogu naći u više različitih uloga, pa se tako na jedan ugovorni odnos može primeniti više različitih Modula.
Na primer, u odnosu sa Vašim klijentom se istovremeno možete naći u ulozi rukovalac – obrađivač i ulozi zajedničkih rukovalaca, u zavisnosti od toga koja strana određuje svrhu i načine obrade podataka o ličnosti koje međusobno delite. Shodno tome, svaka strana će imati određene obaveze prema GDPRu, a samim tim je potrebno i primeniti odgovarajući Modul novih SCC kako bi transfer podataka između Vas i Vašeg klijenta bio pravilno regulisan.
Stoga, važno je da u startu pravilno odredite uloge, pravce transfera podataka, mapiranje podataka i u zavisnosti od toga primenite odgovarajuće Module.
Na šta sve treba da obratite pažnju?
Evropska Komisija je unela niz novina u SCC i značajne promene u odnosu na prethodni režim međunarodnog transfera podataka. Prilikom donošenja odluke da li su Vam potrebne nove SCC i kako da ih pravilno primenite, potrebno je da obratite pažnju na sledeće:
„Docking“ klauzula – nova opcija
Jedna od interesantnijih novina koje uvode SCC je klauzula o pristupanju, tj. takozvana „docking“ klauzula koja omogućava olakšano pristupanje novih ugovornih strana već zaključenom ugovoru.
Naime, na osnovu ove opcione klauzule, bilo koji subjekat može da pristupi ugovoru, tj. Standardnim ugovornim klauzulama, bilo u svojstvu uvoznika ili izvoznika podataka, jednostavnim popunjavanjem priloga i potpisivanjem aneksa uz SCC.
Na primer, pomoću ove klauzule, ako je sproveden postupak akvizicije, Vašem interkompanijskom ugovoru kojim se reguliše međusobni prenos podataka o ličnosti, lako mogu da pristupe nove kompanije bez obaveza ponovnog zaključenja ugovora između svih članica grupe.
Ono što bi svakako bila preporuka je da se navedena klauzula detaljnije reguliše, u smislu jasnijeg definisanja procedure pristupanja, odobravanja, odnosno načina potpisivanja SCC između novih ugovornih strana. Međutim, važno je voditi računa da se izmene vrše u dozvoljenim granicama, jer SCC mogu da se menjaju i modifikuju samo u određenoj meri.
Obratite pažnju na merodavno pravo, nadležnost za rešavanje sporova i proširenje odgovornosti ugovornih strana
Ono što se može zaključiti iz novih SCC jeste intencija Evropske komisije da omogući veći nivo zaštite licima čiji se podaci obrađuju, kao i mogućnost da lakše ostvare svoja prava u slučaju bilo koje povrede podataka o ličnosti.
S tim u vezi, SCC jasno definišu odgovornost uvoznika i izvoznika podataka, pa čak i pod-obrađivača u odnosu prema licima čiji se podaci obrađuju, a sve u zavisnosti od toga koja strana je nanela materijalnu ili nematerijalnu štetu licu. Osim toga, lice čija su prava povređena može da bira protiv koga će pokrenuti postupak, ukoliko su za štetu odgovorne obe (ili više strana), pa samim tim i da olakša sebi postupak eventualne naknade štete.
Iz tog razloga važno da pravilno definišete merodavno pravo i nadležnost za rešavanje sporova, jer možete doći u situaciju da upravo Vi budete tuženi od strane lica čija su prava povređeni i shodno tome obavezani da naknadite štetu. Ukoliko nadoknadite štetu za koju niste isključivo Vi odgovorni, svakako da ćete želeti da deo odgovornosti snosi i kompanija sa kojom ste delili podatke i koja je možda doprinela nastanku štete. Kako biste kasnije mogli da inicirate odgovarajuće postupke protiv druge ugovorne strane ili Vašeg pod-obrađivača, od ključne važnosti može biti u kojoj zemlji ćete ta Vaša prava moći da ostvarujete i uz primenu čijeg prava.
Stoga nadležnost suda koji bi rešavao spor između Vas i druge ugovorne strane, ali i merodavno pravo koje će se primeniti na rešavanje tog spora su značajna pitanja koja je potrebno odrediti.
Interesantno je da nove SCC sada daju više mogućnosti u pogledu određivanja jurisdikcije i merodavnog prava. U tom smislu, ugovorne strane više nisu ograničene prema mestu sedišta izvoznika podataka, već mogu ugovoriti nadležnost suda bilo koje zemlje članice EU, a u slučaju primene Modula 4 čak i neke treće zemlje koja nije članica EU.
Dakle, prilikom donošenja odluke i vođenja pregovora preporučljivo je razmotrite sve ključne faktore, od toga u kojoj ulozi se u konkretnom slučaju nalazite, kakvi su propisi i praksa države čije pravo ugovarate, potencijalni troškovi vođenja postupka u zemlji čiju nadležnost sudova ugovorite i sl.
Vodite računa o ugovorima koje ste zaključili sa subkontraktorima (pod-obrađivačima)
Nove SCC uvode značajne obaveze za sve primaoce podataka koji angažuju subkontraktore i dalje dele podatke koje su primili.
Naime, ako angažujete subkontraktore, odnosno pod-obrađivače podataka o ličnosti koji se nalaze izvan EEZ, takođe ćete biti u obavezi da primenite nove SCC i da ažurirate Vaše ugovore sa angažovanim licima.
Dakle, biće potrebno da izvršite kompletnu reviziju kako sve primate podatke, na koje načine, , da li se podaci dalje iznose ili dele, sa kojim subjektima, gde se ti subjekti nalaze, koji su mogući pravci kretanja podataka, i sl.
Tek na osnovu detaljne analize ćete biti u mogućnosti da procenite da li su Vam potrebne nove SCC i da li je potrebno da ih primenite i u odnosu na Vaše subkontraktore. U suprotnom rizikujete da prekršite i odredbe GDPR-a i odredbe ugovora koji ste zaključili sa kompanijom od koje primate podatke.
Da li se nove Standardne ugovorne klauzule primenjuju na kompanije u Srbiji?
Odgovor je DA!
Nove Standardne ugovorne klauzule mogu da se primenjuju na kompanije u Srbiji u dve situacije.
Ukoliko se na Vašu kompaniju koja ima sedište u Srbiji, eksteritorijalno primenjuju odredbe GDPR-a, onda za Vas postoji obaveza da koristite nove SCC ukoliko izvozite podatke o ličnosti u zemlje koje ne obezbeđuju adekvatan nivo zaštite. Ako želite da saznate više o eksteritorijalnoj primeni GDPRa pogledajte naš blog Kada se GDPR primenjuje u Srbiji?
To praktično znači da ako se na Vas primenjuje GDPR, a podatke delite sa drugom kompanijom iz Srbije ili iz treće zemlje koja ne pruža adekvatan nivo zaštite, imate obavezu da primenite nove SCC.
Druga opcija kada može doći do primene novih SCC (iako ste registrovani u Srbiji i na Vas se ne primenjuje GDPR) je situacija u kojoj primate podatke iz EU, tj. vršite njihovu obradu i javljate se u ulozi primaoca podataka. S obzirom da se Srbija ne smatra zemljom koja sa aspekta GDPR-a pruža adekvatan nivo zaštite, najverovatnije ćete morati da primenite nove SCC na odnos sa Vašim klijentima, saradnicima i kontraktorima iz EEZ.
Stoga je važno da na vreme ažurirate svoje ugovore i počnete da se usklađujete sa obavezama i standardima koje uvode nove SCC.
Nova nada za bezbedan međunarodni transfer?
Iako je cilj novih SCC da minimalizuju rizike međunarodnog transfera podataka iz EU u treće zemlje, kao i da odgovore na zahteve postavljene u odluci Schrems II, jasno je da sama primena SCC ne garantuje bezbednost prenosa podataka.
Svakako da će kompanije koje učestvuju u međunarodnom transferu morati da razmotre da li je potrebno primeniti dodatne bezbednosne mere kako bi se zaštitili podaci o ličnosti u skladu sa preporukama Suda pravde EU. Dakle, jednostavno kopiranje SCC neće biti dovoljno, već će svaki transfer podataka zahtevati detaljan i sistematski pristup.
