Стандартни договорни клаузи за договори между администратори и обработващи лични данни

В бюлетина си Комисията за защита на личните данни отговаря явно на зададения й въпрос защо ми е дала наградата за 2020 година

В новия брой на бюлетина на Комисията за защита на личните данни има много интересни неща за четене като съобщението за приетите съвместни становища на Европейския комитет по защита на данните и Европейския надзорен орган по защита на данните относно стандартните договорни клаузи. В текста се казва:

„В края на 2020 г. Европейската комисия поиска съвместни становища от Европейския комитет по защита на данните (ЕКЗД) и Европейския надзорен орган по защита на данните (ЕНОЗД) по два проекта на стандартни договорни клаузи (СДК) – един набор от СДК за договори между администратори и обработващи лични данни, и друг за предаване на лични данни извън ЕС.

Европейският комитет по защита на данните (ЕКЗД) е орган на ЕС, създаден с Регламент 2016/679 (Общ регламент относно защита на данните, GDPR) и отговарящ за прилагането на регламента. Съставен е от ръководителя на всеки национален орган за защита на данните и на Европейския надзорен орган по защита на данните, или от техни представители.

Европейският надзорен орган по защита на данните (ЕНОЗД) е независим надзорен орган, отговорен за наблюдението на обработването на лични данни от институциите, органите, службите и агенциите на ЕС.

Проектите на СДК за договори между АЛД и ОЛД са напълно нови и са разработени от Комисията в съответствие с чл. 28 (7) от Регламент 2016/679 и чл. 29 (7) от Регламент 2018/1725. Тези СДК ще имат общоевропейски ефект и ще имат за цел да осигурят пълна хармонизация и правна сигурност в целия ЕС, когато става въпрос за договори между администратори и техните обработващи.

 

Проектите на СДК за трансфер на лични данни към трети държави съгласно чл. 46 (2) (в) Регламент 2016/679. Тези СДК ще заменят съществуващите СДК за международни трансфери, които бяха приети въз основа на Директива 95/46 и трябваше да бъдат актуализирани, за да бъдат приведени в съответствие с изискванията на Регламент 2016/679, както и с решението на Съда на ЕС „Schrems II“ и за по-добро отразяват широкото използване на нови и по-сложни операции по обработка, често включващи множество вносители и износители на данни.

На 14 януари 2021 г. ЕКЗД и ЕНОЗД публикуваха приетите становища – „Съвместно становище на ЕКЗД и ЕНОЗД относно стандартни договорни клаузи между администратори и обработващи лични данни“ и „Съвместно становище на ЕКЗД и ЕНОЗД относно стандартни договорни клаузи за трансфер на лични данни към трети държави“, На 15 януари 2021 г. ЕКЗД и ЕНОЗД публикуваха следното прессъобщение, в което се съдържа кратко резюме на извършената работа и очакваните резултати:

Стандартните договорни клаузи относно администраторите и обработващите лични данни ще се прилага на територията на целия ЕС, като целта им е осигуряването на правна сигурност, когато става въпрос за договори между администратори и обработващи лични данни.

Андреа Йелинек, председател на ЕКЗД, заяви: „ЕНОЗД и ЕКЗД приветстват приемането на стандартните договорни клаузи относно администраторите и обработващите лични данни като единен и мощен инструмент за отчетност на ниво ЕС, който ще улесни спазването на разпоредбите, както на Общия регламент за защита на данните (ОРЗД), така и на Регламент (ЕС) 2018/1725. Наред с другото ЕКЗД и ЕНОЗД желаят да предоставят на заинтересованите страни достатъчно яснота относно ситуациите, при които те могат да разчитат на тези договорни клаузи, както и да подчертаят, че случаите, при които е налице предаване на лични данни извън ЕС, не следва да бъдат изключвани.“

Бяха поискани няколко изменения с цел внасянето на по-голяма яснота в текста и гарантирането на практическата му полезност в ежедневната работа на администраторите и на обработващите лични данни. Измененията се отнасят до взаимодействието между двата документа, т. нар. „клауза за присъединяване“, която позволява на други юридически лица да се присъединят към стандартните договорни клаузи, както и до други аспекти, свързани със задълженията на обработващите лични данни. Освен това ЕКЗД и ЕНОЗД предлагат с приложенията към договорните клаузи да се внесе яснота във възможно най-голяма степен относно ролите и отговорностите на всяка от страните по отношение на всички дейности по обработване на данни, тъй като наличието на каквато и да е двусмисленост би затруднила администраторите или обработващите лични данни да изпълняват задълженията си, произтичащи от принципа на отчетност.

Войчех Виевиоровски, ЕНОЗД, заяви: „Убедени сме, че тези стандартни договорни клаузи могат да улеснят спазването от страна на администраторите и на обработващите лични данни на техните задължения, както по силата на ОРЗД, така и съгласно правната рамка на институциите и органите на ЕС. Освен това се надяваме, че тези клаузи ще осигурят допълнително хармонизиране и правна сигурност за физическите лица и техните лични данни. Това е посоката, с която ние се стремим да постигнем възможно най-голяма степен на ефективност на тези документи в бъдеще.“

Проектът на стандартни договорни клаузи относно предаването на лични данни на трети държави по силата на член 46, параграф 2, буква в) от ОРЗД, които ще заменят съществуващите договорни клаузи за международно предаване на лични данни, приети въз основа на Директива 95/46, се нуждаеше от актуализация, за да отговаря на изискванията на ОРЗД, като беше взето предвид решението на Съда на ЕС по делото Schrems, за да отрази по-добре широкото използване на нови и по-сложни операции по обработване на данни, в които често участват няколко вносители и износители на данни. Новите договорни клаузи включват по-конкретни гаранции в случай, че законите на държавата, която ще получи информацията оказват влияние върху спазването на клаузите, по-специално, когато са налице обвързващи искания от страна на публичните органи за разкриване на лични данни.

Войчех Виевиоровски, ЕНОЗД, заяви: „Отчитайки практическият ни опит, направихме тези коментари с цел подобряване на стандартните договорни клаузи, за да гарантираме напълно, че личните данни на гражданите на ЕС получават по същество равностойно ниво на защита при предаване на трети държави. Убедени сме, че тези предложения и изменения са от решаващо значение за практическото постигането на тези цели.“

Като цяло, ЕКЗД и ЕНОЗД считат, че проекта на стандартни договорни клаузи осигурява по-високо равнище на защита за субектите на данни. По-специално, ЕКЗД и ЕНОЗД приветстват специфичните разпоредби, насочени към преодоляване на основните проблеми, установени в решението по делото Schrems II. Въпреки това ЕКЗД и ЕНОЗД са на мнение, че няколко разпоредби биха могли да бъдат подобрени или пояснени, като например обхвата на договорните клаузи; някои права на трети страни бенефициенти; някои задължения по отношение на последващи предавания на данни; аспекти на оценката на законодателството на трети държави по отношение на достъпа на публичните органи до публични данни; и уведомяването на надзорните органи.

Председателят на ЕКЗД Андреа Йелинек добави: „Условията, при които могат да се използват стандартните договорни клаузи, трябва да бъдат ясни за организациите, а субектите на данни следва да разполагат с ефективни права и средства за правна защита. Освен това, договорните клаузи включват ясно разпределение на ролите и на режима за отговорност между страните. По отношение на необходимостта в някои случаи от допълнителни временни мерки с цел гарантиране, че на субектите на данни се предоставя ниво на защита, което по същество е равностойно на гарантираното в рамките на ЕС, новите договорни клаузи ще трябва да се използват заедно с препоръките на ЕКЗД относно допълнителните мерки.“

ЕКЗД и ЕНОЗД приканват Комисията да се позове на окончателната версия на препоръките на ЕКЗД относно допълнителните мерки, при условие, че тя бъде приета преди решението на Комисията относно стандартните договорни клаузи. Този документ беше представен за обществена консултация до 21 декември 2020 г. и все още подлежи на евентуални допълнителни изменения въз основа на резултатите от нея.“

На 44-то заседание на Европейският комитет по защита на данните, състояло се на 14 януари 2021 г., бяха приети две становища съвместно с Европейския надзорен орган по защита на данните – „Съвместно становище на ЕКЗД и ЕНОЗД относно стандартни договорни клаузи между администратори и обработващи лични данни“ и „Съвместно становище на ЕКЗД и ЕНОЗД относно стандартни договорни клаузи за трансфер на лични данни към трети държави“. Във връзка с това двата европейски органа публикуваха прессъобщение резюмиращо становищата (виж предходния материал в бюлетина).

https://duncheva.bg/wp-content/uploads/2021/03/KZLD_Bulletin_2_89_March_202112.jpg

В бюлетина обаче има и интересен текст, в който се казва, че работя повече от 30 години в областта на комуникациите, как ги сметнахте, направо не зная дали да се гордея или да се обидя.

 

Можете да споделите: