Co nowego w porównaniu z poprzednimi SCC?
ODPOWIEDŹ
W nowych klauzulach zachowano podstawowe elementy, które zawarte były w SCC przyjętych na mocy poprzedniej dyrektywy o ochronie danych. Na przykład, zobowiązania dotyczące podstawowych zasad ochrony danych, zobowiązania w zakresie bezpieczeństwa, zagadnienia dotyczące praw osób trzecich oraz jurysdykcji sądów i organów. Równocześnie wprowadzono istotne zmiany.
Po pierwsze, uaktualniono „architekturę” SCC, p..:
- SCC obejmują dodatkowe scenariusze przekazywania danych: podczas gdy zakres zastosowania poprzednich SCC był ograniczony do transferu danych: od administratora do administratora, oraz od administratora do procesora. Zmodernizowane SCC mogą być stosowane we wielu przypadkach transferu: od administratora do administratora (Moduł 1), od administratora do procesora (Moduł 2), od procesora do procesora (Moduł 3) oraz od procesora do administratora (Moduł 4). ;
- Trzy odrębne zestawy SCC, obejmujące dwa scenariusze transferu danych, zostały zastąpione jednym zestawem SCC o strukturze modułowej (obejmującym cztery scenariusze transferu). Strony muszą połączyć postanowienia o charakterze ogólnym (które mają zastosowanie niezależnie od konkretnego scenariusza) z modułem lub modułami, które mają zastosowanie w konkretnej sytuacji.
- Klauzula dokująca umożliwia dołączanie nowych stron do zawartych SCC, przez cały okres obowiązywania umowy.
- Uzupełnieniem SCC są załączniki, które są uzupełniane o konkretne informacje na temat konkretnych transferów, np. lista stron i ich ról, opis celu każdego indywidualnego transferu danych w ramach umowy, wykaz zastosowanych środków bezpieczeństwa, zabezpieczenia stosowane do ochrony danych wrażliwych itp.
Po drugie, wprowadzono szereg zmian merytorycznych, np.:
- SCC odzwierciedlają nowe wymogi RODO, w tym zwiększone obowiązki w zakresie przejrzystości oraz bardziej szczegółowe postanowienia dotyczące praw osób, których dane dotyczą, a także powiadamiania o naruszeniu ochrony danych oraz zasad dalszego przekazywania danych.
- W przypadku przekazywania danych przez administratorów do podmiotów przetwarzających lub od podmiotów przetwarzających do subprocesorów, wymogi art. 28 RODO zostały uwzględnione w treści SCC. Przedsiębiorcy nie muszą zatem podpisywać osobnej umowy, aby zachować zgodność z art. 28 RODO.
- Klauzule wdrażające wyrok Trybunału Sprawiedliwości UE w sprawie Schrems II: strony SCC muszą obecnie przeprowadzić "ocenę skutków przekazania danych", dokumentując konkretne okoliczności ich przekazania, przepisy prawa w kraju przeznaczenia oraz dodatkowe zabezpieczenia wprowadzone w celu ochrony danych osobowych.
- Nowe obowiązki w przypadku dostępu organów publicznych do przekazywanych danych, np. obowiązek udzielania informacji podmiotom przekazującym dane oraz obowiązek zaskarżania niezgodnych z prawem żądań dostępu do danych.
Powyższa odpowiedź pochodzi z oficjalnego dokumentu Komisji Europejskiej.
Mogą się Państwo z nim zapoznać pod adresem: https://ec.europa.eu/info/sites/default/files/questions_answers_on_sccs_en.pdf
Na naszym blogu zamiesiliśmy jego tłumaczenie: "Standardowe klauzule umowne (SCC) – pytania i odpowiedzi".