logo-print

Τυποποιημένες Συμβατικές Ρήτρες (SCCs) και επόμενα βήματα

Διεθνείς Διαβιβάσεις: Από Υπεύθυνο σε Υπεύθυνο, από Υπεύθυνο σε Εκτελούντα, από Εκτελούντα σε Εκτελούντα και από Εκτελούντα σε Υπεύθυνο. Τι πρέπει να προσέχουν Δημόσιοι και Ιδιωτικοί φορείς;

Στέργιος Κωνσταντίνου

14/06/2021

17/06/2021

Νέα δέσμη Τυποποιημένων Συμβατικών Ρητρών (SCCs) για διαβιβάσεις δεδομένων σε τρίτες χώρες ή σε Διεθνείς Οργανισμούς

Στις 4 Ιουνίου 2021, η Ευρωπαϊκή Επιτροπή δημοσίευσε το πολυαναμενόμενο νέο πακέτο τυποποιημένων συμβατικών ρητρών, γνωστών ως «SCCs». Αυτός ο επικαιροποιημένος μηχανισμός διαβίβασης δεδομένων επιτρέπει τη διαβίβαση δεδομένων προσωπικού χαρακτήρα εκτός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ) και αντικατέστησε τις μέχρι σήμερα ισχύουσες Τυποποιημένες Συμβατικές Ρήτρες. Οι νέες SCCs λαμβάνουν υπόψη την απόφαση Schrems II1 του Δικαστηρίου της Ευρωπαϊκής Ένωσης (εφεξής «ΔΕΕ»), η οποία ακύρωσε την απόφαση επάρκειας για τη διαβίβαση δεδομένων μεταξύ Ε.Ε. και Η.Π.Α.2 και απαιτούν από τους «εξαγωγείς» και «εισαγωγείς» προσωπικών δεδομένων να λαμβάνουν μέτρα για να διασφαλίζουν την αποτελεσματική συμμόρφωση με τις απαιτήσεις προστασίας των προσωπικών δεδομένων, όπως αποτυπώνονται σε αυτές.

Είναι σημαντικό ότι οι νέες SCCs επιτρέπουν μια προσέγγιση με βάση τον κίνδυνο στις εκτιμήσεις επιπτώσεων της μεταφοράς δεδομένων κατά την αξιολόγηση του επιπέδου προστασίας που θα παρέχεται στα μεταφερόμενα δεδομένα. Επιπλέον, με τις νέες SCCs γίνεται προσπάθεια ντιμετώπισης προβλημάτων που διαπιστώθηκαν κατά την τελευταία δεκαετία, όπως η ανάγκη κάλυψης περισσότερων περιπτώσεων διαβίβασης δεδομένων (από Εκτελούντα σε Εκτελούντα, από Εκτελούντα εντός ΕΟΧ σε Υπεύθυνο εκτός ΕΟΧ) στο πλαίσιο του ίδιου συνόλου ρητρών και μεγαλύτερης ευελιξίας όσον αφορά την προσθήκη ή την απόσυρση συμβαλλομένων μερών σε υφιστάμενες συμφωνίες.

Μετά τη δημοσίευση τους στην Επίσημη Εφημερίδα της ΕΕ, οι δημόσιοι και ιδιωτικοί φορείς θα έχουν συνολικά 18 μήνες και 20 ημέρες για να μεταβούν στις νέες SCCs. Όλοι οι οργανισμοί που εξάγουν ή εισάγουν δεδομένα προσωπικού χαρακτήρα και εμπίπτουν στο πεδίο εφαρμογής του Κανονισμού (ΕΕ) 2016/679 (GDPR) θα επηρεαστούν από τις νέες SCCs. Οι εταιρείες θα πρέπει να αρχίσουν άμεσα να αξιολογούν τον αντίκτυπο των νέων SCCs στις πρακτικές επεξεργασίας δεδομένων που εφαρμόζουν και να δρομολογήσουν την επικαιροποίηση των υφιστάμενων Συμβάσεων Προστασίας Δεδομένων τόσο με τους αντισυμβαλλομένους τους όσο και στο πλαίσιο ενδοομιλικών συμφωνιών.

Γενικά

Οι νέες SCCs αποσκοπούν στον εκσυγχρονισμό των υφιστάμενων Ρητρών υπό το πρίσμα των σημαντικών εξελίξεων στην ψηφιακή οικονομία, των ολοένα και πιο σύνθετων πράξεων επεξεργασίας και των νέων απαιτήσεων βάσει του GDPR. Προσφέρουν αυξημένη ευελιξία για τις διεθνείς δραστηριότητες επεξεργασίας στις οποίες συμμετέχουν πολλά μέρη, ενώ παράλληλα καθορίζουν συγκεκριμένες εγγυήσεις και πρόσθετες απαιτήσεις υπό το πρίσμα της νομολογίας του ΔΕΕ, ιδίως της απόφασης Schrems II.

Μια σπονδυλωτή προσέγγιση στις διαβιβάσεις δεδομένων

Οι νέες SCC χρησιμοποιούν ένα πρότυπο πλαίσιο που περιλαμβάνει γενικές ρήτρες, καθώς και ενότητες που αντιμετωπίζουν διαφορετικά σενάρια διαβίβασης δεδομένων. Τα μέρη έχουν τη δυνατότητα να επιλέγουν διαφορετικές εκδόσεις ρητρών ούτως ώστε να ταιριάζουν στην εκάστοτε περίπτωση διαβίβασης δεδομένων. Ειδικότερα, οι νέες SCC περιλαμβάνουν τέσσερις ενότητες:

  • Υπεύθυνο Επεξεργασίας προς Υπεύθυνο Επεξεργασίας (C2C),
  • Υπεύθυνο Επεξεργασίας προς Εκτελούντα την Επεξεργασία,
  • Εκτελούντα την Επεξεργασία προς Υπεύθυνο Επεξεργασίας,
  • Εκτελούντα την Επεξεργασία προς Εκτελούντα την Επεξεργασία.

Στην πράξη, αυτό σημαίνει ότι οι νέες SCCs είναι κατάλληλες για μεταφορές δεδομένων που δεν προβλέπονται από τις προϋπάρχουσες SCCs, όπως οι μεταφορές Εκτελούντα προς και Εκτελούντα την Επεξεργασία προς Υπεύθυνο Επεξεργασίας.

Οι νέες SCCs πληρούν τις απαιτήσεις του άρθρου 28 του GDPR. Συνεπώς, για τα μέρη που συνάπτουν τις νέες SCCs δεν θα απαιτείται πλέον να συνάπτουν και συμφωνία προστασίας δεδομένων ή σχετικό προσάρτημα. Επιπλέον, οι νέες SCC μπορούν να συμπεριληφθούν σε μια ευρύτερη σύμβαση και να συμπληρωθούν με επιπρόσθετες ρήτρες, εφόσον αυτές δεν έρχονται σε αντίθεση με τις νέες SCC ή δεν θίγουν με άλλο τρόπο τα θεμελιώδη δικαιώματα των υποκειμένων των δεδομένων.

Βασικές αλλαγές

Το συνολικό κείμενο των νέων SCCs είναι πιο λεπτομερές από τα ισχύοντα και εισάγει υψηλά πρότυπα λογοδοσίας τόσο για τους εισαγωγείς όσο και για τους εξαγωγείς δεδομένων. Λόγω της προαναφερθείσας σπονδυλωτής προσέγγισης, οι υποχρεώσεις των μερών θα διαφέρουν ανάλογα με το αντίστοιχο σενάριο μεταφοράς δεδομένων.

Ενδεδειγμένα παραδείγματα των νέων ρητρών περιλαμβάνουν:

Περιορισμοί περαιτέρω διαβιβάσεων.

Οι νέες SCCs επιτρέπουν την περαιτέρω διαβίβαση δεδομένων προσωπικού χαρακτήρα από τον εισαγωγέα δεδομένων μόνο σε συγκεκριμένες περιπτώσεις και οι απαιτήσεις διαφέρουν ανάλογα με το σενάριο διαβίβασης δεδομένων. Για παράδειγμα, σε ένα σενάριο διαβίβασης από Yπεύθυνο επεξεργασίας προς Yπεύθυνο επεξεργασίας, η περαιτέρω διαβίβαση επιτρέπεται εάν το τρίτο μέρος:

i. γίνει συμβαλλόμενο μέρος των νέων SCCs ή άλλου δεσμευτικού μέσου που επιβάλλει το ίδιο επίπεδο προστασίας δεδομένων,

ii. έχει δεσμευτεί με άλλο τρόπο να εφαρμόσει διαφορετικές κατάλληλες εγγυήσεις (λ.χ. BCRs),

iii. εδρεύει σε χώρα που έχει συμπεριληφθεί στα κράτη με αποφάσεις επάρκειας από την Ευρωπαϊκή Επιτροπή ή

iv. έχει υπογράψει «συμφωνία περαιτέρω διαβίβασης δεδομένων» με τον εισαγωγέα δεδομένων.

Επιπλέον, υπάρχει δυνατότητα διαβίβασης βάσει της έγκυρης συγκατάθεσης του υποκειμένου των δεδομένων ή σε περιορισμένες άλλες περιπτώσεις (π.χ. η διαβίβαση είναι απαραίτητη για την προστασία ζωτικών συμφερόντων ενός ατόμου). Εάν ο εισαγωγέας είναι εκτελών την επεξεργασία, οι νέες SCCs επιβάλλουν πρόσθετους περιορισμούς σε ό,τι αφορά τον υπό-εκτελούντα.

Ρήτρα προσχώρησης

Οι νέες SCCs επιτρέπουν σε τρίτους να προσχωρήσουν στις SCCs χωρίς τη συνυπογραφή όλων των αρχικών συμβαλλόμενων μερών των SCCs. Το μέρος που προσχωρεί χρειάζεται αποκλειστικά να συμπληρώσει το σχετικό προσάρτημα και να υπογράψει το παράρτημα με τον κατάλογο των μερών.

Ευρεία δικαιώματα δικαιούχων τρίτων μερών

Οι ισχύουσες και οι νέες SCCs έχουν σχεδιαστεί έτσι ώστε να μπορούν να εφαρμόσουν τις ρήτρες κατά του εξαγωγέα και του εισαγωγέα. Αυτό είναι σημαντικό ιδίως για τους εισαγωγείς, οι οποίοι θα υπόκεινται σε μια σειρά νέων υποχρεώσεων βάσει των νέων SCCs, με πιο άμεση ευθύνη από ό,τι βάσει των ισχυουσών SCC. Επίσης, είναι σημαντικό να σημειωθεί ότι οι ΜΚΟ μπορούν να κινήσουν διαδικασίες κατά εισαγωγέων ή εξαγωγέων για λογαριασμό υποκειμένων των δεδομένων. Για να διασφαλιστεί ότι τα άτομα μπορούν να επιβάλουν τις ρήτρες, οι νέες SCCs πρέπει να διέπονται από το δίκαιο ενός από τα κράτη μέλη της ΕΕ της Ευρωπαϊκής Ένωσης που επιτρέπει δικαιώματα τρίτων δικαιούχων.

Ευρείες απαιτήσεις διαφάνειας.

Για διαβιβάσεις Υπεύθυνου προς Υπεύθυνο, οι εισαγωγείς δεδομένων πρέπει να παρέχουν ενημέρωση σχετικά με τις δραστηριότητες επεξεργασίες τους, συμπεριλαμβανομένων:

  • της ταυτότητάς τους,
  • των στοιχείων επικοινωνίας τους,
  • των κατηγοριών δεδομένων που υποβάλλονται σε επεξεργασία,
  • τυχόν τρίτων αποδεκτών των δεδομένων καθώς και των σκοπών της περαιτέρω διαβίβασης και στη νομική βάση στην οποία βασίζονται.

Δεδομένου ότι αυτές οι πληροφορίες πιθανότατα θα παρέχονται μέσω της πολιτικής απορρήτου του εξαγωγέα, ενδέχεται να δούμε αυτές τις πολιτικές να γίνονται πιο λεπτομερείς.

Προσδιορισμός της αρμοδιότητας ενός ή περισσοτέρων Εποπτικών Αρχών

Τα μέρη θα πρέπει να καταχωρίσουν τις αρμόδιες εποπτικές αρχές τους σε παράρτημα των νέων SCCs. Όταν ο εξαγωγέας δεδομένων δεν είναι εγκατεστημένος στην ΕΕ, αλλά υπόκειται στον GDPR λόγω της στοχοθεσίας ατόμων στην ΕΕ (είτε προσφέροντας αγαθά ή υπηρεσίες σε αυτά τα άτομα είτε παρακολουθώντας τη συμπεριφορά τους), η αρμόδια εποπτική αρχή θα είναι η αρχή του κράτους μέλους στην οποία ο εξαγωγέας δεδομένων έχει ορίσει αντιπρόσωπο ή, ελλείψει αυτού του εκπροσώπου, του κράτους μέλους στο οποίο βρίσκονται τα στοχευόμενοι ιδιώτες.

Τεχνικά και οργανωτικά μέτρα ασφαλείας

Σε συνάρτηση με την απόφαση «Schrems II», οι νέες SCCs περιέχουν ειδική υποχρέωση για τους εξαγωγείς και τους εισαγωγείς δεδομένων να αξιολογούν και να διασφαλίζουν ότι οι SCCs παρέχουν επαρκές επίπεδο προστασίας των δεδομένων υπό το πρίσμα του νομικού καθεστώτος της χώρας προορισμού.

Εκτιμήσεις επιπτώσεων διαβιβάσεων Δεδομένων. Όπως και στις τρέχουσες SCCs, τα μέρη πρέπει να εγγυώνται ότι το νομικό πλαίσιο που υφίσταται για τον εισαγωγέα δεδομένων —ιδίως τους νόμους που αφορούν την πρόσβαση της κυβέρνησης— θα εμποδίσουν τον εισαγωγέα να εκπληρώσει τις υποχρεώσεις του βάσει των νέων SCCs. Όταν το πράττουν, τα μέρη μπορούν να ακολουθούν μια προσέγγιση βασισμένη στον κίνδυνο και, για παράδειγμα, να λαμβάνουν υπόψη την «τεκμηριωμένη πρακτική εμπειρία με προηγούμενες περιπτώσεις αιτήσεων δημοσιοποίησης από δημόσιες αρχές ή την απουσία τέτοιων αιτημάτων». Οι νέες SCCs διευκρινίζουν ότι τα μέρη πρέπει να τεκμηριώνουν την αξιολόγησή τους λαμβάνοντας υπόψη:

  • τις ιδιαιτερότητες της διαβίβασης δεδομένων,
  • τους νόμους και τις πρακτικές της χώρας προορισμού (συμπεριλαμβανομένων εκείνων που αφορούν την πρόσβαση στην κυβέρνηση), καθώς και
  • τυχόν πρόσθετες διασφαλίσεις που αποφασίζουν να εφαρμόσουν τα μέρη στη διαβίβαση (όπως συμβατικά, τεχνικά και οργανωτικά μέτρα). Εάν ο εισαγωγέας αντιληφθεί ότι δεν μπορεί να εκπληρώσει τις υποχρεώσεις του, πρέπει να ενημερώσει αμέσως τον εξαγωγέα και ο εξαγωγέας πρέπει να προσδιορίσει και να εφαρμόσει αμέσως τα κατάλληλα μέτρα (όπως τεχνικά ή οργανωτικά μέτρα). Ο εξαγωγέας πρέπει να αναστείλει τη μεταβίβαση και δικαιούται να καταγγείλει τη σύμβαση εάν δεν υπάρχουν κατάλληλα μέτρα ή εάν του έχει δοθεί εντολή από την αρμόδια εποπτική αρχή.

Υποχρεώσεις σε περίπτωση αιτήσεων προσβάσεως στο δημόσιο. Οι εισαγωγείς δεδομένων πρέπει να ενημερώνουν τους εξαγωγείς δεδομένων τους για τυχόν αιτήματα πρόσβασης από την κυβέρνηση ή όταν ενημερώνονται για οποιαδήποτε άμεση κυβερνητική πρόσβαση στα δεδομένα. Εάν απαγορεύεται νομικά να το πράξει, ο εισαγωγέας θα πρέπει να καταβάλλει κάθε δυνατή προσπάθεια για να λάβει απαλλαγή από την απαγόρευση. Οι νέες SCCs απαιτούν επίσης από τους εισαγωγείς να ενημερώνουν τους εξαγωγείς «σε τακτά χρονικά διαστήματα» με όσο το δυνατόν περισσότερες σχετικές πληροφορίες σχετικά με τα αιτήματα που λαμβάνονται και να διατηρούν τις πληροφορίες αυτές στο αρχείο για τις εποπτικές αρχές. Επιπλέον, οι εισαγωγείς δεδομένων υποχρεούνται να επανεξετάσουν:

i. τη νομιμότητα του αιτήματος πρόσβασης στην κυβέρνηση,

ii. να εξετάσουν κατά πόσον υπάρχουν λόγοι αμφισβήτησης των αιτημάτων, και

iii. εάν ναι, να εξαντλήσουν όλα τα διαθέσιμα μέσα έννομης προστασίας για να το πράξουν. Όλα αυτά τα μέτρα θα πρέπει να τεκμηριωθούν και να τεθούν στη διάθεση του εξαγωγέα και της αρμόδιας εποπτικής αρχής κατόπιν αιτήματος. Στην πράξη, αυτό σημαίνει ότι οι εισαγωγείς δεδομένων θα πρέπει να θέτουν διαδικασίες για να εξασφαλίζουν επαρκή συμμόρφωση με αυτές τις απαιτήσεις σε περίπτωση αιτήσεων πρόσβασης από το δημόσιο.

Χρονικά περιθώρια

Οι οργανισμοί μπορούν να συνεχίσουν να βασίζονται στις ισχύουσες SCCs για τρεις μήνες και 20 ημέρες μετά τη δημοσίευση των νέων SCCs στην Επίσημη Εφημερίδα της ΕΕ. Μετά την ημερομηνία αυτή, οι οργανισμοί θα έχουν στη συνέχεια στη περίοδο χάριτος 15 μηνών για τη μετάβαση στις νέες SCCs, ενώ θα συνεχίσουν να βασίζονται στις τρέχουσες SCCs, υπό την προϋπόθεση ότι οι υποκείμενες δραστηριότητες επεξεργασίας παραμένουν αμετάβλητες.

Σε περίπτωση αλλαγών, τα μέρη θα πρέπει να αντικαταστήσουν τις τρέχουσες SCCs τους με τις νέες SCCs. Έτσι, οι οργανισμοί έχουν μια χρονική περίοδο 18 μηνών συνολικά για να μεταβούν από τις παλιές SCCs στις νέες.

Ενώ, καταρχήν, μια μεταβατική περίοδος 18 μηνών φαίνεται διαχειρίσιμη, οι οργανισμοί με πολλούς προμηθευτές, πελάτες και συνεργάτες θα πρέπει να εξετάσουν το ενδεχόμενο να ξεκινήσουν τις προσπάθειες εφαρμογής τους άμεσα!

Επόμενα βήματα

Όπως εξηγείται ανωτέρω, οι νέες SCCs επιβάλλουν μια σειρά νέων υποχρεώσεων. Όλοι οι οργανισμοί που εξάγουν ή εισάγουν προσωπικά δεδομένα που υπόκεινται στον GDPR θα επηρεαστούν από τις νέες SCCs. Ειδικότερα, θα πρέπει να αρχίσουν να σχεδιάζουν την επικαιροποίηση των υφιστάμενων συμφωνιών επεξεργασίας δεδομένων με προμηθευτές, πελάτες, καθώς και τυχόν ενδοομιλικές συμφωνίες. Επιπλέον, οι εισαγωγείς δεδομένων, που δεν υπόκεινται άμεσα στον GDPR, είναι πολύ πιθανό να χρειαστεί να προχωρήσουν σε ενέργειες συμμόρφωσης με τις απαιτήσεις του ΓΚΠΔ.

  • 1. ΔΕΕ, Data Protection Commissioner κατά Facebook Ireland Limited και Maximillian Schrems, ECLI:EU:C:2020:559
  • 2. Privacy Shield

Στέργιος Κωνσταντίνου

Ο Στέργιος Κωνσταντίνου είναι δικηγόρος με ειδίκευση στην προστασία προσωπικών δεδομένων, στη διανοητική ιδιοκτησία και στο δίκαιο των τηλεπικοινωνιών. Διαθέτει πιστοποίηση από το Διεθνή Σύλλογο Επαγγλματιών στην Ιδιωτικότητα (IAPP) στο ενωσιακό...

Προφίλ Αρθρογραφία

ΔΗΜΟΦΙΛΗΣ ΑΡΘΡΟΓΡΑΦΙΑ

Έληξε το συμβόλαιο της μίσθωσής μου. Τι να κάνω; (Mέρος Α' - Μίσθωση Κατοικίας)

Τι είναι εξύβριση, δυσφήμιση και συκοφαντική δυσφήμιση;

Τα parking στην πυλωτή της πολυκατοικίας

Ενδικοφανής προσφυγή: Απαντήσεις στα συχνότερα ερωτήματα

ΣΤΗΝ ΙΔΙΑ ΚΑΤΗΓΟΡΙΑ

Προσωπικά δεδομένα: Είναι νόμιμη η ανάρτηση βαθμολογίας μαθητών στην τάξη;

Αναγνώριση προσώπου για τον έλεγχο της παρουσίας των εργαζομένων

Εξέταση καταγγελιών και λήψη διορθωτικών μέτρων από τις αρχές προστασίας δεδομένων (Γενικός Εισαγγελέας ΔΕΕ C-768/21)

Φωτογράφηση και δημοσίευση αγγελίας διαμερίσματος που κατοικείται
Ένδικα Μέσα και Ανακοπές - Β έκδοση

ΑΣΤΙΚΟ ΔΙΚΟΝΟΜΙΚΟ ΔΙΚΑΙΟ / ΕΝΔΙΚΑ ΜΕΣΑ ΚΑΙ ΑΝΑΚΟΠΕΣ ΑΣΤΙΚΟ ΔΙΚΟΝΟΜΙΚΟ ΔΙΚΑΙΟ

ΣΤΕΦΑΝΟΣ ΠΑΝΤΑΖΟΠΟΥΛΟΣ

Επίτομο Εργατικό Δίκαιο

ΕΡΓΑΤΙΚΟ ΔΙΚΑΙΟ

ΔΗΜΗΤΡΗΣ ΖΕΡΔΕΛΗΣ / ΔΗΜΗΤΡΙΟΣ ΓΟΥΛΑΣ