NOVE STANDARDNE UGOVORNE KLAUZULE EU – NOVA NADA?

27.
Dec 2021.

standardne ugovorne klauzule

Dugo najavljivana izmena Standardnih ugovornih klauzula EU (dalje: SCC) koje se primenjuju na međunarodni transfer podataka o ličnosti je konačno sprovedena u delo. Evropska Komisija je juna 2021. godine objavila odluku o usvajanju novih SCC koje su od 27. septembra 2021. godine zamenile stare SCC.

Naime, prethodne SCC su bile usvojene još pre GDPR ere[1] i odluke Suda pravde EU u predmetu Schrems II kojom je EU-US Privacy Shield proglašen nezakonitim (o čemu smo pisali u vesti Prenosite podatke o ličnosti u SAD? Nova pravila igre su na snazi!).

Postalo je jasno da prethodne Standardne ugovorne klauzule ne odgovaraju potrebama ubrzanog razvoja međunarodnog transfera podataka, kao i da je neophodno urediti nove mehanizme za transfer podataka o ličnosti između EEZ[2] i trećih zemalja koje ne pružaju adekvatan nivo zaštite (npr. SAD). Osim toga, prethodne SCC nisu pokrivale sve vrste transfera koji se mogu javiti, zbog čega su sa nestrpljenjem dočekane nove.

Šta su Standardne ugovorne klauzule i kada se primenjuju?

SCC predstavljaju mehanizam koji kompanije na koje se primenjuje GDPR mogu da koriste kako bi vršile zakoniti međunarodni transfer podataka u situaciji kada se primalac podataka nalazi u zemlji koja ne pruža primereni nivo zaštite.

Sa aspekta GDPRa, smatra se da postoji adekvatan nivo zaštite kada se prenos vrši između članica EU, a Evropska Komisija donosi odluku[3] o listi zemalja van EU koje pružaju adekvatan nivo zaštite. Ukoliko se neka zemlja ne nalazi na listi usvojenoj od strane Evropske Komisije, smatra se da nije obezbeđen adekvatan nivo zaštite podataka o ličnosti.

Na primer, ukoliko se podaci prenose iz zemlje članice EU u SAD, koje se ne nalaze na listi zemalja Evropske Komisije, smatra se da ne postoji primereni nivo zaštite, pa SCC predstavljaju jedan od najjednostavnijih mehanizama koji obezbeđuje zakonitost prenosa.

Nove SCC se zvanično primenjuju od 27. septembra 2021. godine. To praktično znači da se na sve transfere podataka o ličnosti koje vršite nakon ovog datuma primenjuju nove SCC.

Na primer, Vaša kompanija 30. septembra 2021. započinje rad na zajedničkom projektu sa kompanijom iz SAD i zaključuje ugovor o poslovnoj saradnji. Kako biste pravilno regulisali međunarodni transfer podataka o ličnosti između dve kompanije, u obavezi ste da primenite nove SCC.

Ali šta je sa ugovorima koje ste zaključili pre 27. septembra koji sadrže stare SCC?

U tom slučaju Vam je ostavljen prelazni period do 27. decembra 2022. godine, do kada možete da nastavite sa primenom starih SCC, pod uslovom da ne dolazi do promene u radnjama obrade. Ukoliko dolazi do novih radnji obrade (na primer, obrađuju se novi podaci ili podaci novih kategorija lica koje nisu obuhvaćene prethodnim SCC), dužni ste da ažurirate ugovore i odmah počnete da primenjujete nove SCC.

Kako se primenjuju nove Standardne ugovorne klauzule?

Nove SCC sadrže 4 različita Modula u zavisnosti od toga u kojim ulogama se javljaju uvoznik i izvoznik podataka o ličnosti, i to:

  • Modul 1 – reguliše odnos Rukovalac – Rukovalac
  • Modul 2 – reguliše odnos Rukovalac – Obrađivač
  • Modul 3 – reguliše odnos Obrađivač – Obrađivač
  • Modul 4 – reguliše odnos Obrađivač – Rukovalac

U svakom konkretnom slučaju je potrebno odabrati odgovarajući Modul. Pri tome, važno je naglasiti da se dve kompanije koje se nalaze u poslovnom odnosu i razmenjuju podatke mogu naći u više različitih uloga, pa se tako na jedan ugovorni odnos može primeniti više različitih Modula.

Na primer, u odnosu sa Vašim klijentom se istovremeno možete naći u ulozi rukovalac – obrađivač i ulozi zajedničkih rukovalaca, u zavisnosti od toga koja strana određuje svrhu i načine obrade podataka o ličnosti koje međusobno delite. Shodno tome, svaka strana će imati određene obaveze prema GDPRu, a samim tim je potrebno i primeniti odgovarajući Modul novih SCC kako bi transfer podataka između Vas i Vašeg klijenta bio pravilno regulisan.

Zbog toga je važno da u startu pravilno odredite uloge, pravce transfera podataka, mapiranje podataka i u zavisnosti od toga primenite odgovarajuće Module.

Na šta sve treba da obratite pažnju?

standardne ugovorne klauzule

Evropska Komisija je unela niz novina u SCC i značajne promene u odnosu na prethodni režim. Prilikom donošenja odluke da li su Vam potrebne nove SCC i kako da ih pravilno primenite, potrebno je da obratite pažnju na sledeće:

Jedna od interesantnijih novina koje uvode SCC je klauzula o pristupanju, tj. takozvana „docking“ klauzula koja omogućava olakšano pristupanje novih ugovornih strana već zaključenom ugovoru.

Naime, na osnovu navedene klauzule (koja je opciona), bilo koji subjekat može da pristupi ugovoru, tj. Standardnim ugovornim klauzulama, bilo u svojstvu uvoznika ili izvoznika podataka, jednostavnim popunjavanjem priloga i potpisivanjem aneksa uz SCC.

Na primer, pomoću ove klauzule, ako je sproveden postupak akvizicije, Vašem interkompanijskom ugovoru kojim se reguliše međusobni prenos podataka o ličnosti, lako mogu da pristupe nove kompanije bez obaveza ponovnog zaključenja ugovora između svih članica grupe.

Ono što bi svakako bila preporuka je da se navedena klauzula detaljnije reguliše, u smislu jasnijeg definisanja procedure pristupanja, odobravanja, odnosno načina potpisivanja SCC između novih ugovornih strana. Svakako je važno voditi računa da se izmene vrše u dozvoljenim granicama, jer SCC mogu da se menjaju i modifikuju samo u određenoj meri.

Obratite pažnju na proširenje odgovornosti ugovornih strana, merodavno pravo i nadležnost za rešavanje sporova

Ono što je primetno u novim SCC je intencija Evropske Komisije da omogući veći nivo zaštite licima čiji se podaci obrađuju, kao i mogućnost da lakše ostvare svoja prava u slučaju bilo koje povrede podataka o ličnosti.

S tim u vezi, SCC jasno definišu odgovornost uvoznika i izvoznika podataka, pa čak i pod-obrađivača u odnosu prema licima čiji se podaci obrađuju, a sve u zavisnosti od toga koja strana je nanela materijalnu ili nematerijalnu štetu licu. Osim toga, lice čija su prava povređena može da bira protiv koga će pokrenuti postupak, ukoliko su za štetu odgovorne obe ili više strana, pa samim tim i da olakša sebi postupak naknade eventualno nastale štete.

Upravo je zbog toga važno da pravilno definišete merodavno pravo i nadležnost za rešavanje sporova, jer možete doći u situaciju da upravo Vi budete tuženi od strane lica čiji su podaci povređeni i shodno tome obavezani da naknadite štetu. Ukoliko nadoknadite štetu za koju niste isključivo Vi odgovorni, svakako da ćete želeti da deo odgovornosti snosi i kompanija sa kojom ste delili podatke i koja je možda jednako ili više doprinela nastanku štete. Kako biste kasnije mogli da inicirate odgovarajuće postupke protiv druge ugovorne strane ili Vašeg pod-obrađivača, od ključne važnosti će biti u kojoj zemlji ćete ta Vaša prava moći da ostvarujete i uz primenu čijeg prava.

Stoga je važno da pravilno odredite nadležnost suda koji bi rešavao spor između Vas i druge ugovorne strane, ali i merodavno pravo koje će se primeniti na rešavanje tog spora.

Ono što je interesantno je da nove SCC sada daju više mogućnosti u pogledu određivanja jurisdikcije i merodavnog prava, u tom smislu što ugovorne strane više nisu ograničene prema mestu sedišta izvoznika podataka, već mogu ugovoriti nadležnost suda bilo koje zemlje članice EU, a za Modul 4 čak i neke treće zemlje koja nije članica EU.

Preporuka je da prilikom donošenja odluke i vođenja pregovora razmotrite sve ključne faktore, od toga u kojoj ulozi se u konkretnom slučaju nalazite, kakvi su propisi i praksa države čije pravo ugovarate, potencijalni troškovi vođenja postupka u zemlji čiju nadležnost sudova ugovorite i sl.

Vodite računa o ugovorima koje ste zaključili sa subkontraktorima (pod-obrađivačima)

Nove SCC uvode značajne obaveze za sve primaoce podataka koji angažuju subkontraktore i dalje dele podatke koje su primili.

Naime, ako angažujete subkontraktore ili takozvane pod-obrađivače podataka o ličnosti koji se nalaze izvan EEZ, takođe ćete biti u obavezi da primenite nove SCC i da ažurirate Vaše ugovore sa angažovanim licima.

Dakle, biće potrebno da izvršite kompletnu reviziju kako sve primate podatke, na koje načine, koji su mogući pravci kretanja podataka, da li se podaci dalje iznose ili dele, sa kojim subjektima, gde se ti subjekti nalaze, i sl.

Tek na osnovu detaljne analize ćete biti u mogućnosti da procenite da li su Vam potrebne nove SCC i da li je potrebno da ih primenite i u odnosu na Vaše subkontraktore.

U suprotnom rizikujete da prekršite i odredbe GDPRa i odredbe ugovora koji ste zaključili sa kompanijom od koje primate podatke.

Da li se nove Standardne ugovorne klauzule primenjuju na kompanije u Srbiji?

standardne ugovorne klauzule

Odgovor je DA!

Nove Standardne ugovorne klauzule mogu da se primenjuju na kompanije u Srbiji u dve situacije.

Ukoliko se na Vašu kompaniju koja ima sedište u Srbiji, eksteritorijalno primenjuju odredbe GDPR-a, onda za Vas postoji obaveza da koristite nove SCC ukoliko izvozite podatke o ličnosti u zemlje koje ne obezbeđuju adekvatan nivo zaštite. O eksteritorijalnoj primeni GDPRa smo pisali u blogu Kada se GDPR primenjuje u Srbiji?

To praktično znači da ako se na Vas primenjuje GDPR, a podatke delite sa drugom kompanijom iz Srbije, imate obavezu da primenite nove SCC.

Druga opcija kada može doći do primene novih SCC (iako ste registrovani u Srbiji i na Vas se ne primenjuje GDPR) je situacija u kojoj primate podatke iz EU, tj. vršite njihovu obradu i javljate se u ulozi primaoca podataka. S obzirom da se Srbija ne smatra zemljom koja sa aspekta GDPR-a pruža adekvatan nivo zaštite, najverovatnije ćete morati da primenite nove SCC na odnos sa Vašim klijentima, saradnicima i kontraktorima iz EEZ.

Stoga je važno da na vreme ažurirate svoje ugovore i počnete da se usklađujete sa obavezama i standardima koje uvode nove SCC.

Nova nada za bezbedan međunarodni transfer?

Iako je cilj novih SCC da minimalizuju rizike međunarodnog transfera podataka iz EU u treće zemlje, kao i da odgovore na zahteve postavljene u odluci Schrems II, jasno je da sama primena SCC ne garantuje bezbednost prenosa podataka.

Svakako da će kompanije koje učestvuju u međunarodnom transferu morati da razmotre da li je potrebno primeniti dodatne bezbednosne mere kako bi se zaštitili podaci o ličnosti u skladu sa preporukama Suda pravde EU. Dakle, jednostavno kopiranje SCC neće biti dovoljno, već ćete svakom transferu podataka morati da pristupite detaljno i sistematski.

[1] Opšta uredba o zaštiti podataka o ličnosti
[2] Evropska Ekonomska Zona
[3] Izvor: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en

Najnovije:

NEWSLETTER

Budite u toku sa najvažnijim informacijama