Що змінилося у договорах GDPR

4 червня цього року Європейська комісія прийняла пакет стандартних договірних положень (Standard Contractual Clauses або SCC). Це шаблони договорів, які варто використовувати бізнесу для передачі персональних даних громадян ЄС. Недотримання стандартів, визначених у цих договорах, означатиме порушення славнозвісного GDPR. Петрушко Анна, юрист Axon Partners, детально розповіла про усі зміни.

Що відбулось?

Якщо дуже коротко – раніше були одні шаблони, а тепер ухвалили інші. Один шаблон призначений для передачі персональних даних всередині ЄС між контролерами та процесорами (його ще називають DPA – Data Processing Agreement). Інший – призначений для передачі персональних даних із ЄС в треті країни, які не входять до ЄС та не вважаються країнами з належним рівнем захисту персональних даних (Україна – в цій почесній категорії).

Навіщо це зробили?

Попередні SCC датуються 2001, 2004 та 2010 роками, тобто задовго до набрання чинності самим GDPR у травні 2018 року.  Хоча GDPR і дозволив використовувати старі договори, у них були невідповідності з більш свіжим текстом на чотири літери. Тобто, старі шаблони були «милицею»,  якою ми мали користуватися допоки не розроблять «тру» версії під GDPR.

Крім того, ці «милиці» доламав у липні минулого року Європейський суд справедливості рішенням по справі  Schrems II, де сказав, що SCC потрібні, але недостатні для обґрунтування передачі даних за межі ЄС. Завдяки цьому, Єврокомісія визнала, що так жити не можна, і треба готувати нові SCC.

Стало краще?

Класично-юридична відповідь – it depends. Річ у тому, що деякі моменти дійсно спростили. Але в цілому, вимоги до суб’єктів обробки даних – і контролерів і процесорів – зросли. При цьому, SCC не дають однозначної відповіді на питання передачі даних у США, яке виникло по справі Schrems II, і Велика Британія завдяки Брекзіту теж не зовсім вписується в ці правила, але це інша історія. Ось основні зміни:

  1. Уніфікована форма договору дозволяє обрати із запропонованих модулів необхідну модель співпраці та деталізувати її під потреби бізнесу.

Але, нові SCC, як і раніше, не можна змінювати, а можна лише доповнювати і лише так, щоб не зменшити обсяг обов’язків і гарантій за таким SCC. Тому на практиці самодіяльність з доопрацювання SCC «під себе» – дуже небажана.

  1. Оновлені SCC охоплюють всі можливі моделі відносин протягом всього циклу обробки даних:
  • між контролером і контролером;
  • між контролером і процесором;
  • між процесором і субпроцесором;
  • між процесором і контролером.

Це тішить, бо раніше доводилося складати договори-«франкенштейни» під 3 та 4 випадки і молитися, щоб ніхто не прикопався.

  1. SCC можна укладати більше ніж між двома сторонами. Наприклад, декілька контролерів можуть передати дані кільком процесорам  і оформити це все одним документом, зазначивши в додатку свою роль та деталі обробки даних. Дуже корисна опція для груп компаній, аутстафінгових сервісів.
  2. Оновлені SCC вимагають здійснювати DPIA (попередню оцінку ризиківпов’язаних з передачею даних у треті країни). Якщо за результатами виявиться, що заходи недостатні, то сторонам передачі доведеться вживати додаткових заходів захисту. Тут для бізнесу великий «хник», але він був очікуваний після справи Schrems II.
  1. Імпортер даних має негайно повідомляти експортера, якщо за даними звертається державний орган. Імпортер не може просто передати дані на запит. Він мусить перевірити законність запиту і задокументувати перевірку. Хороша норма, в принципі. Але у випадку імпортерів-українців є нюанс – коли в офісі маски-шоу, чи просто обшук – не завжди буде можливість оцінити законність вилучення певних даних.
  1. SCC можна використовувати між нерезидентами ЄС. Попередні SCC могли використовуватися, якщо експортер даних був резидентом ЄС. У той час як для інших експортерів, які хоч і не з ЄС, але підпадали під GDPR, не могли застосовувати ці положення для передачі даних в треті країни. Тепер, якщо, наприклад, українська компанія – власник платформи для організації подорожей, яка орієнтована на європейський ринок, збирає персональні дані громадян ЄС, замовляє послуги техпідтримки своєї платформи в сервісної ІТ-компанії в Мексиці, для передачі даних вона може підписати з мексиканцями нові SCC та дотримуватись їхніх вимог.
  1. Додатки до SCC. Їх більше – три – і вони значно детальніші, ніж попередні. У результаті, їх заповнення вимагатиме більше зусиль, але експортери даних краще розумітимуть, що відбуватиметься з даними, які вони передають.

Що зі строками?

Нові SCC набирають чинності 27 червня 2021 року, але це не означає, що через два тижні будь-який бізнес, який «не встиг» перепідписатися, передаватиме дані незаконно.

Хоча «старі» SCC будуть остаточно скасовані з 27 вересня 2021 року, існує перехідний період. Протягом 15 місяців з дати набрання чинності рішення Європейської комісії (до 27 грудня 2022 року) сторони можуть керуватись «старими» SCC, які укладені до 27 вересня 2021 року. Але це лише за умови, що операції з обробки персональних даних залишаються незмінними до цього часу від часу підписання попередніх SCC. В іншому випадку, сторони мають підписати нові SCC. А вже з 2023 року всі передачі персональних даних в треті країни повинні здійснюватись за новими SCC.

Адаптуватися до вимог нових SCC означатиме для бізнесу ще більше зануритися у персональні дані і їх регулювання та ще більше заморочитися побудовою правильних процесів – як в частині операцій з даними, так і в частині процедур підписання договорів з партнерами та численними незалежними підрядниками на третій групі єдиного податку. Тому keep calm and do your data protection.

Автор: Анна Петрушко, юрист Axon Partners