Europska komisija 4. lipnja 2021. godine objavila je nove standardne ugovorne klauzule, koje je potrebno sklopiti kada se osobni podaci prenose u treće zemlje koje nemaju adekvatnu zaštitu osobnih podataka. Nove klauzule uzimaju u obzir presudu iz 2020. godine Suda EU (Schrems II), kojom je poništen mehanizam Privacy Shield-a za prijenos podataka u treće zemlje.

Naime, nakon presude Schrems II, većina voditelja i izvršitelja obrade i dalje se oslanjala na postojeće standardne ugovorne klauzule kao zaštitnu mjeru za prijenos osobnih podataka u treće zemlje, odnosno države koje po mišljenju Europske komisije nisu proglašene kao države u kojima je adekvatna razina zaštite osobnih podataka. No, iako Sud Europske unije u presudi Schrems II nije poništio postojeće standardne ugovorne klauzule, ipak je naglasio da izvoznik podataka mora procijeniti zakone i razinu zaštite osobnih podataka države u koju se izvoze osobni podaci, odnosno da samo sklapanje postojećih standardnih ugovornih klauzula nije dostatno.

U tom je svjetlu Europska komisija donijela nove standardne ugovorne klauzule, koje uzimaju u obzir zajedničko mišljenje Europskog odbora za zaštitu podataka i Europskog nadzornika za zaštitu podataka, povratne informacije tijekom javnog savjetovanja i mišljenje predstavnika država članica Europske unije. Odluku Europske komisije i nove standardne ugovorne klauzule možete pronaći na sljedećem linku: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj.

U odnosu na prethodnu verziju standardnih ugovornih klauzula, nove standardne ugovorne klauzule u potpunosti su usklađene s terminima iz Opće uredbe o zaštiti osobnih podataka („GDPR“), predviđaju širok raspon mogućih okolnosti prijenosa i veću fleksibilnost za složene procesne lance, kroz „modularni pristup“, nudeći mogućnost da se više od dvije strane pridruže i koriste klauzule.

Osim toga, nove klauzule predviđaju i praktični set alata za poštivanje presude Schrems II pa tako daju  pregled različitih koraka koje voditelji i izvršitelji obrade moraju poduzeti da bi se udovoljilo presudi Schrems II te navode primjere mogućih „dopunskih mjera“ poput enkripcije.

Nove standardne ugovorne klauzule obuhvaćaju nekoliko modula: prijenos od voditelja obrade voditelju obrade, prijenos od voditelja obrade izvršitelju obrade, prijenos od izvršitelja obrade izvršitelju obrade i prijenos od izvršitelja obrade voditelju obrade.

Aneks II novih standardnih klauzula sadrži detaljan opis tehničkih i organizacijskih mjera uključujući, između ostalog, mjere za identifikaciju, pohranu, prijenos, konfiguraciju, upravljanje i čuvanje podataka, dok Aneks III sadrži listu podizvršitelja obrade.

Za voditelje i izvršitelje obrade koji trenutno koriste prethodne skupove standardnih ugovornih klauzula, predviđeno je prijelazno razdoblje od 18 mjeseci u kojem se stare standardne ugovorne klauzule moraju zamijeniti s novim standardnim ugovornim klauzulama.