На 12 ноември 2020 г. Европейската комисия публикува проект на Решение за изпълнение във връзка с приемане на стандартни договорни клаузи („Клаузи/те“) за прехвърляне на лични данни към трети държави съгласно Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета, заедно с проект на нови Клаузи.
Този проект на Клаузи е естественото продължение на знаковото решение на Съда на Европейския съюз (СЕС) относно трансфера на лични данни извън Европейското икономическо пространство (ЕИП) по делото Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems (Дело C-311/18, Schrems II).
Съгласно глава V от Общият регламент относно защитата на данните (GDPR) прехвърлянето на лични данни извън ЕИП в трета държава или международна организация може да се извърши само ако, съгласно останалите разпоредби на GDPR, предвидените условия са спазени от администратора и обработващия лични данни, включително за по-нататъшно прехвърляне на лични данни от трета държава или международна организация в друга трета държава или в друга международна организация.
Условието, на което най-често се разчита, за да се узакони международният трансфер на лични данни, е именно използването на Клаузите. Въпреки това, когато GDPR влезе в сила, съществуващите Клаузи не бяха актуализирани и затова действащите такива все още се позовават на старата директива на ЕС за защита на данните, а не на GDPR.
Проектът на Решението за изпълнение очертава ролята на новите Клаузи, а именно осигуряване на подходящи предпазни мерки за защита на данните при международни трансфери на данни. Тоест, целта на тези Клаузи е да осигурят спазването на изискванията на GDPR [за прехвърляне на лични данни в трета държава].
На първо място, прави впечатление, че обхватът на Клаузите е разширен, като са включени всички сценарии на трансфер, а именно:
- администратор[1] към администратор (виж Модул първи от проекта на Клаузите);
- администратор към обработващ лични данни[2] (виж Модул втори);
- обработващ лични данни към обработващ лични данни (виж Модул трети), както и
- обработващ лични данни към администратор (виж Модул четвърти).
На следващо място новите Клаузи не изискват износителят на данни да бъде установен в ЕИП, поради което субектите извън ЕИП също могат да се обвързват от Клаузите като износители на данни. Това предоставя решение за администратори и обработващи данни извън ЕИП, които прехвърлят данните от ЕИП на други трети страни извън ЕИП.
На последно място, новите Клаузи съдържат по-подробни разпоредби за отговорността, отколкото сега действащите такива. Например, те предвиждат солидарна отговорност, когато повече от една страна е отговорна за вреди, причинени на субекта на данните в резултат на нарушение на Клаузите. Независимо от това разпоредбите за отговорност, включени в новите Клаузи, не предвиждат възможност за ограничаване на отговорността между страните.
Процедурата за обратна връзка на Европейската комисия е отворена до 10 декември 2020 г.
Ако се интересувате от изпращане на отговор, можете да го направите в рамките на обявения период ТУК
Настоящата новина служи само за информация и има за цел да обърне внимание върху някои специфични изисквания на законодателство. Настоящото не представлява юридически съвет. За цялостно разбиране на дискутираните по-горе въпроси и преди да предприемете действия в тази връзка, Ви препоръчваме да се консултирате с адвокатите при Адвокатско дружество „Илиева, Вучева & Ко.”.
[1] „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
[2] „обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;