Co nowego w porównaniu z poprzednimi SCC?

ODPOWIEDŹ

W nowych klauzulach zachowano podstawowe elementy, które zawarte były w SCC przyjętych na mocy poprzedniej dyrektywy o ochronie danych. Na przykład, zobowiązania dotyczące podstawowych zasad ochrony danych, zobowiązania w zakresie bezpieczeństwa, zagadnienia dotyczące praw osób trzecich oraz jurysdykcji sądów i organów. Równocześnie wprowadzono istotne zmiany.

Po pierwsze, uaktualniono „architekturę” SCC, p..:

• SCC obejmują dodatkowe scenariusze przekazywania danych: podczas gdy zakres zastosowania poprzednich SCC był ograniczony do transferu danych: od administratora do administratora, oraz od administratora do procesora. Zmodernizowane SCC mogą być stosowane we wielu przypadkach transferu: od administratora do administratora (Moduł 1), od administratora do procesora (Moduł 2), od procesora do procesora (Moduł 3) oraz od procesora do administratora (Moduł 4). ;
• Trzy odrębne zestawy SCC, obejmujące dwa scenariusze transferu danych, zostały zastąpione jednym zestawem SCC o strukturze modułowej (obejmującym cztery scenariusze transferu). Strony muszą połączyć postanowienia o charakterze ogólnym (które mają zastosowanie niezależnie od konkretnego scenariusza) z modułem lub modułami, które mają zastosowanie w konkretnej sytuacji.
• Klauzula dokująca umożliwia dołączanie nowych stron do zawartych SCC, przez cały okres obowiązywania umowy.
• Uzupełnieniem SCC są załączniki, które są uzupełniane o konkretne informacje na temat konkretnych transferów, np. lista stron i ich ról, opis celu każdego indywidualnego transferu danych w ramach umowy, wykaz zastosowanych środków bezpieczeństwa, zabezpieczenia stosowane do ochrony danych wrażliwych itp.

Po drugie, wprowadzono szereg zmian merytorycznych, np.:

• SCC odzwierciedlają nowe wymogi RODO, w tym zwiększone obowiązki w zakresie przejrzystości oraz bardziej szczegółowe postanowienia dotyczące praw osób, których dane dotyczą, a także powiadamiania o naruszeniu ochrony danych oraz zasad dalszego przekazywania danych.
• W przypadku przekazywania danych przez administratorów do podmiotów przetwarzających lub od podmiotów przetwarzających do subprocesorów, wymogi art. 28 RODO zostały uwzględnione w treści SCC. Przedsiębiorcy nie muszą zatem podpisywać osobnej umowy, aby zachować zgodność z art. 28 RODO.
• Klauzule wdrażające wyrok Trybunału Sprawiedliwości UE w sprawie Schrems II: strony SCC muszą obecnie przeprowadzić "ocenę skutków przekazania danych", dokumentując konkretne okoliczności ich przekazania, przepisy prawa w kraju przeznaczenia oraz dodatkowe zabezpieczenia wprowadzone w celu ochrony danych osobowych.
• Nowe obowiązki w przypadku dostępu organów publicznych do przekazywanych danych, np. obowiązek udzielania informacji podmiotom przekazującym dane oraz obowiązek zaskarżania niezgodnych z prawem żądań dostępu do danych.