Patvirtintos atnaujintos standartinės sutarčių sąlygos

Triniti

Šių metų birželio 4 d., Europos Komisija (toliau – EK) priėmė atnaujintas standartines sutarčių sąlygas (angl. standart contractual clauses arba SCC), kurios privatumo ekspertų ir verslo subjektų, perduodančių asmens duomenis į trečiąsias šalis, buvo seniai laukiamos. 

Naujoms SCC ypatingai didelis poreikis atsirado po Europos Sąjungos Teisingumo Teismo (toliau – ESTT) sprendimo byloje Schrems II ir pačio Bendrojo duomenų apsaugos reglamento (toliau – BDAR) įsigaliojimo. Senosios SCC buvo paruoštos dar galiojant Direktyvai 95/46/EC ir jose trūko daugelio duomenų apsaugos mechanizmų, kurių reikalauja BDAR. Taip pat, po to, kai ESTT sprendime byloje „Schrems II“ buvo suabejota SCC, kaip asmens duomenų perdavimo mechanizmo, patikimumu užtikrinant asmens duomenų apsaugą, poreikis priimti naujas SCC tapo neatidėliotinas.

Svarbiausi aspektai, į kuriuos reikia atkreipti dėmesį:

Įgyvendinimas: EK organizacijoms suteikė 18 mėnesių pereinamąjį laikotarpį nuo naujų SCC įsigaliojimo dienos (2021 m. birželio 27 d.), per kurį jos turi pakeisti visas sutartis naujomis SCC. Pabrėžtina, jog organizacijos gali ir toliau naudoti dabartines SCC (net ir naujiems perdavimams) tris mėnesius nuo naujų SCC įsigaliojimo dienos.

Perdavimo poveikio: Pagal naująsias SCC, atspindinčias Schrems II, reikalaujama, kad organizacijos įvertintų, ar šalies, į kurią perduodami asmens duomenys, įstatymai nepakenks duomenų apsaugai (ypač svarbus aspektas dėl valstybinių institucijų, tame tarpe – saugumo tarnybų, teisių gauti prieigą prie tokių duomenų).

Po Schrems II reikalaujama, kad įmonės, naudojančios SCC, atliktų perdavimo poveikio vertinimą, kad nustatytų, ar atsižvelgiant į duomenų gavėjo šalies įstatymus, reikia imtis papildomų saugumo priemonių (pvz., duomenų šifravimo), jog būtų užtikrintas asmens duomenų saugumas. Atliekant perdavimo poveikio vertinimą siekiama įvertinti duomenų apsaugos lygį, nustatytą pagal duomenų gavėjo šalies įstatymus ir pagal šalių naudojamą SCC, ir atsižvelgiant į tai, nustatyti, ar reikalingos papildomos saugumo priemonės, kad būtų užtikrinta BDAR standartą atitinkanti duomenų apsauga.

Suskirstymas atskirais moduliais: Atnaujintos SCC suskirstytos į atskirus modulius, kurie reguliuoja valdytojas-valdytojas ir valdytojas-tvarkytojas santykį (taip pat tvarkytojas-tvarkytojas ir tvarkytojas-valdytojas). Tai nebuvo numatyta senosiose SCC ir šie moduliai bus naudingi sudėtingose duomenų apdorojimo grandinėse, kurioms senosios SCC buvo nepakankamai lanksčios.

Prievolės, susijusios su tam tikrais valstybinių institucijų prašymais susipažinti su duomenimis: Duomenų gavėjai tam tikromis aplinkybėmis privalo pranešti duomenų teikėjui apie gautą prašymą susipažinti su duomenimis, įvertinti tokių prašymų teisinį pagrįstumą ir/arba imtis teisinių gynybos priemonių dėl tokių prašymų.

Tolesnis duomenų perdavimas ir duomenų subtvarkytojai: Pagal naująsias SCC (skirtingai nei pagal senąsias SCC) tiek ne EEE įsisteigusiems duomenų valdytojams, tiek duomenų tvarkytojams leidžiama naudoti SCC, kaip instrumentu, tolesniam asmens duomenų perdavimui. Tačiau pagal naująsias SCC taip pat nustatomos naujos šalių pareigos: leisti tolesnį duomenų perdavimą (tam tikrais atvejais būtina gauti duomenų subjektų sutikimą) ir užtikrinti, kad toks tolesnis perdavimas (ne tik pirminis perdavimas) atitiktų SCC.

Duomenų subjektai kaip trečiosios šalys naudos gavėjos: Naujosiose SCC numatyta, kad duomenų subjektai šalių gali prašyti SCC kopijos, tačiau, prieš pateikiant, SCC šalims leidžiama jas pakoreguoti (dėl konfidencialios informacijos apsaugos). 

Atnaujintas dėmesys kibernetiniam saugumui: SCC sustiprinamas BDAR dėmesys kibernetiniam saugumui. Pvz., SCC II priede reikalaujama, kad būtų pateiktas išsamus įgyvendintų techninių ir organizacinių priemonių aprašymas. Pateikiama 17 priemonių kategorijų, apimančių viską nuo pseudonimų suteikimo ir šifravimo iki įvykių registravimo, duomenų kokybės ir sertifikavimo.

BDAR 28 straipsnio nuostatų įtraukimas: Tam tikruose SCC moduliuose numatyta, kad tam tikros nuostatos bus laikomos nuostatomis, kurios yra būtinos, kad būtų laikomasi BDAR 28 straipsnio. Tai padės SCC šalims išvengti atskirų derybų dėl BDAR 28 straipsnio nuostatų įgyvendinimo.

Paprastesnis naujų šalių įtraukimas: Naudinga tai, kad pagal naująsias SCC naujosios šalys taip pat gali lengviau prisijungti prie jau sudarytų SCC naudojantis „prijungimo“ sąlyga, o ne reikalaudamos, kad SCC būtų sudaromos iš naujo kiekvieną kartą, kai į jas reikia įtraukti naują šalį (pvz. naują grupės įmonę).

Apibendrinant visas naujoves galime teigti, jog naujosios SCC gerokai palengvins sudėtingų duomenų perdavimo grandinių atveju, taip pat suteiks geresnę apsaugą duomenų subjektų teisėms ir laisvėms. Tačiau vertėtų nepamiršti, jog naujų SCC pasirašymas nėra ypatingai greitas procesas, todėl per daug nedelsiant organizacijoms reikėtų atlikti reikiamus pakeitimus, jog 2022 metų žiemos atostogų netektų praleisti koreguojant esamas SCC.