EDPB in EDPS sta sprejela skupni stališči o novih sklopih standardnih pogodbenih klavzul

EDPB in EDPS sta sprejela skupno mnenje o dveh novih sklopih standardnih pogodbenih klavzul, in sicer mnenje za pogodbe med upravljavci in obdelovalci in mnenje o standardnih pogodbenih klavzulah (SCC) za prenos osebnih podatkov v tretje države.

SCC za razmerje upravljavcev – obdelovalec bodo imele učinek po vsej EU in naj bi zgotavljale popolno uskladitev in pravno varnost v EU, ko gre za pogodbe med upravljavci in njihovimi obdelovalci.

Predsednica EDPB Andrea Jelinek je ob tem dejala:

EDPB in EDPS pozdravljata standardne pogodbene klavzule v razmerju upravljavec – obdelovalec kot enotno, močno in po vsej EU uporabno orodje, ki bo olajšalo skladnost z določbami tako GDPR kot tudi EUDPR. Med drugim EDPB in EDPS zahtevata, da se strankam zagotovi dovolj jasnosti glede primerov, v katerih se lahko zanesejo na SCC, in poudarjata, da ne bi smeli biti izključeni primeri, ki vključujejo prenose zunaj EU.

Za večjo jasnost besedila in zagotovitev njegove praktične uporabnosti pri vsakodnevnem delu upravljavcev in obdelovalcev je bilo zahtevanih več sprememb. Sem spadajo medsebojni vpliv obeh dokumentov, tako imenovana “klavzula o združitvi”, ki omogoča, da k SCC pristopijo dodatni subjekti, in drugi vidiki v zvezi z obveznostmi za obdelovalce. Poleg tega EDPB in EDPS predlagata, da priloge k SCC čim bolj pojasnijo vloge in odgovornosti vsake stranke v zvezi z vsako dejavnostjo obdelave – vsaka nejasnost bi upravljavcem ali obdelovalcem otežila izpolnjevanje njihovih obveznosti iz načela odgovornosti.

Evropski nadzornik za varstvo osebnih podatkov (EDPS) Wojciech Wiewiórowski je dejal:

Prepričani smo, da te SCC lahko olajšajo skladnost upravljavcev in obdelovalcev tako v skladu z GDPR kot v okviru pravnega okvira institucij in organov EU (EUI). Poleg tega upamo, da bodo SCC zagotovile nadaljnjo uskladitev in pravno varnost za posameznike in njihove osebne podatke. V tem okviru si prizadevamo, da bi bili ti dokumenti čim bolj varni za prihodnost.

Osnutek SCC za prenos osebnih podatkov v tretje države v skladu s čl. 46 (2) (c) GDPR bo nadomestil obstoječe SCC za mednarodne prenose, ki so bili sprejeti še na podlagi Direktive 95/46 in jih je bilo treba nujno posodobiti, da se uskladijo z zahtevami GDPR, pa tudi ob upoštevanju sodbe Sodišča Evropske unije v primeru Schrems II. Prav tako naj bi SCC bolje odražale široko uporabo novih in bolj zapletenih postopkov obdelave, ki pogosto vključujejo več uvoznikov in izvoznikov podatkov. Nove SCC vključujejo zlasti natančnejše zaščitne ukrepe, če zakoni namembne države vplivajo na skladnost s klavzulami, zlasti v primeru zavezujočih zahtev javnih organov za razkritje osebnih podatkov.

Glede na naše praktične izkušnje smo podali pripombe za izboljšanje SCC, da bi v celoti zagotovili, da imajo osebni podatki državljanov EU v bistvu enakovredno raven zaščite pri izvedbi prenosov v tretje države. Menimo, da so ti predlogi in dopolnitve ključnega pomena za dosego teh ciljev v praksi.

Wojciech Wiewiórowski, EDPS

EDPB in EDPS na splošno menita, da osnutek SCC predstavlja okrepljeno raven zaščite posameznikov, na katere se nanašajo osebni podatki. Zlasti pozdravljata posebne določbe, namenjene obravnavi nekaterih glavnih vprašanj, opredeljenih v sodbi Schrems II. Kljub temu pa EDPB in EDPS menita, da bi bilo mogoče izboljšati ali pojasniti še več določb, na primer področje uporabe SCC; nekatere pravice upravičencev do tretjih oseb; nekatere obveznosti glede nadaljnjih prenosov; vidike ocene zakonodaje tretjih držav glede dostopa javnih organov do osebnih podatkov.

Pogoji, pod katerimi je mogoče uporabljati SCC, morajo biti organizacijam jasni, posamezniki, na katere se nanašajo osebni podatki, pa morajo imeti učinkovite pravice in pravna sredstva. Poleg tega morajo SCC vključevati jasno razdelitev vlog in režima odgovornosti med strankami. Kar zadeva potrebo po nekaterih ad hoc dodatnih ukrepih, da se posameznikom, na katere se nanašajo osebni podatki, zagotovi raven varstva, ki je v bistvu enakovredna ravni v EU, pa bo treba nove SCC uporabiti skupaj s Priporočili EDPB o dopolnilnih ukrepih.

Predsednica EDPB Andrea Jelinek