е АД Господинов и Генчев

Международният трансфер на данни под сянката на Schrems II

На 27.06.2021 г. влязоха в сила новите стандартни клаузи за международен трансфер на данни, приети с Решение за изпълнение (ЕС) 2021/914 на Комисията от 4 юни 2021 година относно стандартни договорни клаузи за предаването на лични данни на трети държави съгласно Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета („Решението“). В тази статия ще бъдат разгледани най-важните промени относно международните трансфери на данни посредством стандартни договорни клаузи.

Нуждата от нови стандартни клаузи произтича главно от Решението на Съда на ЕС (СЕС) по делото „Schrems II“ и съдържащите се в него мотиви за отмяна на Privacy Shield механизма за свободен трансфер на данни между ЕС и САЩ. В новите стандартни клаузи се предвиждат различни механизми, целящи да преодолеят дефицитите на международните трансфери, които разчитат на стандартни клаузи. Комисията несъмнено е имала тежката задача да балансира интересите на субектите с тези на международния бизнес, като същевременно спази тънките граници, очертани от СЕС. Възприетият от Комисията подход не е без своите критики, включително от страна на „noyb“ – организацията, основана от Макс Шремс, за която може да се каже, че до голяма степен е основен двигател зад тези процеси.

Предвиждат се и механизми като т.нар. „docking клауза“ или клауза за присъединяване, разширяват се възможните отношения по трансфер на данни и се възприема модулен подход, чрез който да се адресират специфичните нужди на всяко от отношенията.

Гаранции за сигурността на данните

На първо място новите стандартни клаузи изискват страните да гарантират, че към момента на договаряне нямат основание да смятат, че законите и практиките, приложими по отношение на вносителя на данни, не са в съответствие с правилата за защита на личните данни.[1] Механизмът за това е своеобразната декларация на страните по кл. 14(а), че действат добросъвестно. Те трябва да документират процеса и при поискване да представят оценката си на компетентния надзорен орган.[2] В случай че в държавата, където данните се внасят, се предприемат действия, които не са в съответствие с тези критерии, следва да бъдат предприети допълнителни технически и организационни мерки за гарантиране на неприкосновеността на данните. Ако целеният резултат няма как да бъде постигнат, трансферът на данни трябва да бъде прекратен.[3]

На следващо място се въвежда специфично задължение за страната-вносител. В случай че получи искане за предаване на информацията от компетентните органи на съответната държава, тя не следва направо да го изпълни, а трябва да анализира неговата законосъобразност. Ако стигне до заключението, че има разумни основания да смята, че искането е незаконосъобразно, тя трябва да го оспори, включително, когато е целесъобразно, като изчерпи наличните възможности за обжалване.[4] Трябва също така да информира износителя за искането.[5]

Възможно е самото искане да забранява предоставянето на информация на трети лица за съществуването и/или съдържанието му. В тези случаи вносителят трябва да предприеме нужните стъпки, за да оспори включително частта от искането, с която се забранява да бъде разкрита информация за него, и да документира усилията си.[6]

Модулен подход

Новите клаузи възприемат т.нар. модулен подход. Нормативно това е осъществено, като кл. 8 и следващите съществуват в четири различни вариантa, по един за всяко възможно отношение по обработка на лични данни: администратор-администратор, администратор-обработващ, обработващ-администратор и обработващ-обработващ. За последните две отношения за пръв път има специални правила.

Docking клауза

Кл. 7 представлява т.нар. „docking” клауза или клауза за присъединяване. Тя позволява към съществуващо споразумение да се присъединят нови износители или вносители на данни. Очертава се да бъде изключително удобен механизъм за вътрешногрупови трансфери. По всяка вероятност за допълнителното ѝ разясняване ще бъдат приети насоки на EDPB.

Подсъдност на спорове

Новите стандартни клаузи дават право на субектите на данни да подадат иск срещу износителя на данни и/или вносителя на данни и пред съдилищата на държавата-членка, където се намира неговото обичайно местопребиваване.[7]

Последващи трансфери

Старите стандартни клаузи не даваха ясен отговор как трябва да се извършат последващите трансфери, т.е. прехвърлянето на данни, към които се прилага режимът на GDPR, от една трета страна към друга. Новите стандартни клаузи изрично регулират тази материя. Така напр. за предаване от администратор на обработващ и от обработващ на обработващ се предвижда, че вносът на данните в новата трета страна може да се осъществи, ако вносителят се съгласи да бъде обвързан от стандартните клаузи или ако бъде изпълнено едно от следните условия:

  1. последващото предаване е към държава, по отношение на която е прието решение на Комисията относно адекватното ниво на защита съгласно член 45 от Регламент (ЕС) 2016/679, в което е включено последващо предаване;
  2. третата страна осигури по друг начин подходящи гаранции съгласно член 46 или член 47 от Регламент (ЕС) 2016/679;
  3. последващото предаване е необходимо с цел установяване, упражняване или защита на правни претенции в контекста на конкретно административно, регулаторно или съдебно производство; или
  4. последващо предаване е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данни или на друго физическо лице.

Действие във времето и заварени положения

От съществено значение е въпросът от кой момент следва да се ползват новите стандартни клаузи и как да се процедира относно съществуващите трансфери.

На първо време трябва да се има предвид, че Решение 2001/497/ЕО и Решение 2010/87/ЕС, с които бяха приети старите стандартни клаузи, ще бъдат отменени 3 месеца след влизане в сила на новото Решение.[8] Следователно при всички положения старите стандартни клаузи могат да бъдат ползвани до 27.09.2021 г.

Второ, съществува 15-месечен период, през който могат да се ползват старите стандартни клаузи за изпълнението на договор, сключен между вносител и износител на лични данни преди датата на отмяна на старите решения, при условие че операциите по обработване, които са предмет на договора, останат непроменени и че използването на клаузите гарантира, че предаването на лични данни се извършва при наличието на подходящи гаранции по смисъла на чл. 46, пар. 1 от GDPR.[9]

Трето, смята се, че договорите, сключени преди 27.09.2021 г. въз основа на старите стандартни клаузи, осигуряват подходящи гаранции по смисъла на чл. 46, пар. 1 от GDPR до 27.12.2022 г., при условие че операциите по обработване, които са предмет на договора, останат непроменени и че използването на тези клаузи гарантира, че предаването на лични данни се извършва при наличието на подходящи гаранции.[10] Това означава, че ако бъде извършена промяна в операциите или има нов поток на данни, следва да се ползват новите стандартни клаузи.

Заключение

Новите стандартни клаузи целят да адресират проблемите, повдигнати в Schrems II, като придават сериозна тежест на оценката по чл. 46, пар. 1 от GDPR. Те запълват също някои от празнините на стария режим чрез по-голямата гъвкавост на модулния режим, като същевременно се опитват да балансират интересите на субектите на данни с тези на бизнесите, разчитащи на международни трансфери.

Следните основни положения трябва да се имат предвид:

  • Въвежда се изискване за оценка на законодателството и практиките в държавата-вносител и за страната-вносител възниква определено задължение за поведение при поискване данните да бъдат разкрити.
  • Въвежда се модулен подход, позволяващ да бъдат по-добре адресирани нуждите на различните отношения по обработка.
  • Въвежда се docking клауза, която прави възможно към съществуващо споразумение за обработка на данните да се присъединят нови износители и/или вносители.
  • Субектите на данни имат право да заведат иск и пред съдилищата на държавата-членка, където е обичайното им местопребиваване.
  • Създава се ясна регулация на последващите трансфери.
  • Три дати са от ключово значение: 27.06.2021 г. (влизат в сила новите стандартни клаузи); 27.09.2021 г. (приема се решение на Комисията, с което се отменят старите стандартни клаузи); и 27.12.2022 г. (моментът, докогато могат да се ползват старите стандартни клаузи за договори, сключени преди 27.09.2021 г., при спазване на определени условия).

Също както при старите стандартни клаузи за новите не съществува пречка да бъдат инкорпорирани в споразумение за обработка на лични данни (DPA), доколкото другите клаузи в договора не им противоречат и не засягат основни права или свободи на субектите на данни.[11]

[1] Съобр. 19 от Решението

[2] Кл. 14(б) и 14(г)

[3] Кл. 14(д) и 14(е)

[4] Съобр. 22 от Решението, кл. 15.1 и 15.2

[5] Съобр. 22 от Решението

[6] Кл. 15.1(б)

[7] Кл. 18(г)

[8] Съобр. 24 от Решението

[9] Съобр. 24 от Решенеито

[10] Кл. 4, пар. 4

[11] Кл. 2(а)

Поискай консултация

    *Първоначалната консултация има за цел да Ви ориентира какъв тип услуга Ви е необходима във Вашия случай и колко струва тя. Съгласно, чл.9 и 45 от Закона за адвокатурата и чл.5 от Етичния кодекс на адвоката, опазването на Вашите тайни е наша основна мисия и клетвено задължение.

    Поискай консултация

     

      *Първоначалната консултация има за цел да Ви ориентира какъв тип услуга Ви е необходима във Вашия случай и колко струва тя. Съгласно, чл.9 и 45 от Закона за адвокатурата и чл.5 от Етичния кодекс на адвоката, опазването на Вашите тайни е наша основна мисия и клетвено задължение.

      ПУБЛИКАЦИИ

       

      Поискай консултация