Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Veljati so začele nove standardne pogodbene klavzule za prenos osebnih podatkov v tretje države

+ -
27.06.2021

Evropska komisija je 4. junija 2021 sprejela nove standardne pogodbene klavzule, ki služijo kot podlaga za prenos osebnih podatkov v tretje države. Nove klavzule so bile objavljene v Uradnem listu EU L 199 dne 7. junija 2021, veljati pa so začele z današnjim dnem (27. junij 2021). Do 27. decembra 2022 morajo biti vse pogodbe prilagojene novim standardnim pogodbenim klavzulam.

 

Skladno z določbami Splošne uredbe o varstvu podatkov se lahko prenos osebnih podatkov v tretje države (države izven EU oz. EGP) izvrši, če Evropska komisija za določeno državo, ozemlje oz. mednarodno organizacijo odloči, da ta zagotavlja ustrezno raven varstva osebnih podatkov (t.i. adequacy decision; spisek držav, ozemelj oz. mednarodnih organizacij, za katere je Evropska komisija ugotovila, da zagotavljajo ustrezno raven varstva osebnih podatkov, se nahaja tu). Če take odločitve o ustreznosti za določeno državo, ozemlje ali mednarodno organizacijo ni, se lahko prenos izvede, če je upravljavec ali obdelovalec predvidel ustrezne zaščitne ukrepe in pod pogojem, da imajo posamezniki na voljo izvršljive pravice in učinkovita pravna sredstva. Eden od mehanizmov, ki zagotavlja take ustrezne zaščitne ukrepe, so t.i. standardne pogodbene klavzule (tipske pogodbe), ki jih sprejme Evropska komisija (člen 46/2/(c) Splošne uredbe o varstvu podatkov).

 

Standardne pogodbene klavzule poznamo že izpred časov Splošne uredbe o varstvu osebnih podatkov in so zelo pogosto uporabljen mehanizem, na podlagi katerega se osebni podatki prenašajo v tretje države. Evropska komisija je zdaj te klavzule spremenila, jih nadgradila skladno z določbami Splošne uredbe o varstvu podatkov in uskladila s sodbo Sodišča EU Schrems II.

 

Nove standardne pogodbene klavzule so modularnega značaja, kar pomeni, da vključujejo različne scenarije obdelave osebnih podatkov oz. t.i. module, ki jih pogodbeni stranki izbereta glede na konkretne okoliščine prenosa: EU upravljavec – neEU upravljavec, EU upravljavec – neEU obdelovalec, EU obdelovalec – neEU obdelovalec in EU obdelovalec – neEU upravljavec). Nove klavzule torej ponujajo možnost ureditve več različnih pogodbenih odnosov, tudi odnose, ki se ne dogajajo zgolj v kontekstu upravljavec – upravljavec in upravljavec – obdelovalec, kot je bilo to po »starih« standardnih pogodbenih klavzulah. Novo je tudi to, da kadar je uvoznik podatkov obdelovalec ali podobdelovalec, nove standardne pogodbene klavzule že vključujejo tudi vse zahteve iz člena 28 Splošne uredbe o varstvu podatkov, zato pogodbeni stranki oz. stranke (nove klavzule namreč omogočajo dodajanje več kot dveh strank v pogodbeno ureditev, tako med njenim sklepanjem kot tudi kasneje) ne bodo rabile sklepati ločeno pogodbe o obdelavi osebnih podatkov (t.i. DPA) in standardnih pogodbenih klavzul, temveč bo vse pokrila enovita pogodba – nova standardna pogodbena določila, v kolikor seveda ta pogodbeni odnos urejajo na želen način. Nove klavzule prinašajo tudi vsebinske novosti, saj krepijo pravice posameznikov, tako da jim omogočajo, da so obveščeni o postopkih obdelave njihovih podatkov, da imajo možnost, da vzpostavijo stik s tujimi upravljavci, da prejmejo kopijo sklenjenih klavzul, odškodnino za škodo, povzročeno v zvezi z njihovimi osebnimi podatki itd.

 

Glede na sodbo Sodišča EU Schrems II pa nove standardne pogodbene klavzule vsebuje tudi okrepljene zahteve za zagotavljanje varnosti osebnih podatkov, uvedbo omejitev pri razkrivanju osebnih podatkov javnim oblastem in določanje postopkov ocenjevanja in revizije, da se zagotovi skladnost s pogodbenimi klavzulami. Izvoznik in uvoznik s sklenitvijo novih standardnih pogodbenih klavzul jamčita, da »nimata razloga za domnevo, da zakoni in prakse v namembni tretji državi … uvozniku podatkov preprečujejo izpolnjevanje obveznosti iz teh določil«. To jamstvo mora temeljiti na oceni, ki jo je treba dokumentirati in katere predložitev lahko zahteva nacionalni nadzorni organi za varstvo osebnih podatkov, v Sloveniji IP. EDPB je 18. junija 2021 sprejel dokončna Priporočila 01/2020 o ukrepih, ki dopolnjujejo orodja za prenos, da se zagotovi skladnost z v EU zagotovljenim varstvom osebnih podatkov, ki vsebujejo korake, ki so lahko pogodbenim strankam v pomoč pri ugotavljanju, ali je za konkretni prenos podatkov treba uvesti tudi dopolnilne ukrepe, da se zagotovi, da bodo osebni podatki kljub prenosu v tretjo državo in kljub tamkajšnji pomanjkljivi zakonodaji oz. praksi, vseeno varovani na način, ki je v bistvu enakovreden zagotovljenemu varstvu podatkov v EU – kot to zahteva sodba Sodišča EU Schrems II. Poleg tega ta priporočila navajajo vire informacij, s pomočjo katerih lahko pogodbene stranke ocenijo raven varstva osebnih podatkov v tretji državi ter nekaj konkretnih primerov dopolnilnih ukrepov.

 

Vsem izvoznikom podatkov, ki najemajo storitve obdelave osebnih podatkov v tretjih državah oz. osebne podatke v tretje države prenašajo drugim upravljavcem, in so se do sedaj naslanjali na standardne pogodbene klavzule sprejete na podlagi Direktive o varstvu podatkov 95/46/EC (dva ločena modela standardnih pogodbenih klavzul: iz leta 2001/2004 za prenos drugemu upravljavcu v tretjo državo in iz leta 2010 za prenos k obdelovalcu v tretjo državo), svetujemo, da čim prej pregledajo vse svoje sklenjene pogodbe in te prilagodijo oz. zamenjajo z novimi. »Stare« standardne pogodbene klavzule veljajo in se lahko sklepajo še do 27. 9. 2021 – takrat bodo te razveljavljene. Prenosi na podlagi »starih« standardnih pogodbenih klavzul se bodo sicer lahko zakonito izvajali še do 27. 12. 2022. S tem datumom pa morajo biti vse pogodbe prilagojene novih standardnim pogodbenim klavzulam.

 

Nove standardne pogodbe klavzule so dostopne tu: Izvedbeni sklep Komisije (EU) 2021/914 z dne 4. junija 2021 o standardnih pogodbenih določilih za prenos osebnih podatkov v tretje države v skladu z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta