vlad

Кочетков Владимир

Старший юрист практики ІТ-права

06.07.2021

4 червня 2021 року Європейська комісія прийняла нову редакцію Стандартних договірних положень (Standard Contractual Clauses, або SCC). 27 червня 2021 року вони набули чинності. У цій статті ми розглянемо, що ж таке SCC і які будуть наслідки їх глибокої модернізації

Навіщо потрібні SCC?

Загальний регламент із захисту даних (GDPR) умовно ділить юрисдикції на три категорії:

  1. Країни Європейського Союзу і Європейської економічної спільноти.
  2. Країни, з приводу яких є рішення Європейської комісії про визнання адекватності рівня захисту персональних даних: Андорра, Аргентина, Ґернсі, Джерсі, Ізраїль, Канада, Нова Зеландія, Острів Мен, Уругвай, Фарерські острови, Швейцарія і Японія.
  3. Всі інші країни.

shutterstock 1082033210Деякий час між другою і третьою категорією знаходилися США зі своїм режимом Privacy Shield, проте на практиці цей режим виявився лише імітацією реального забезпечення безпечного режиму обробки персональних даних, перетворився на фіаско і був зі скандалом скасований 16 липня 2020 року рішенням Суду Європейського Союзу.

Під час передання персональних даних до країн без адекватного рівня захисту таких даних на законодавчому рівні GDPR вимагає забезпечувати адекватність на рівні приватноправових відносин, зокрема прямо рекомендує використовувати SCC, про що говорять пункти 6 і 7 Статті 28 GDPR. Проблемою минулої редакції Стандартних договірних положень було те, що вперше запропоновані вони були в 2001 році та не оновлювалися з 2010 року (тобто задовго до прийняття GDPR), тому безнадійно застаріли.

Новели в новій редакції SCC

Версія SCC від 2010 року була досить проста в імплементації у договірні відносини, адже існувало лише дві версії тексту:

  1. для відносин між контролерами даних і
  2. для відносин між контролером і процесором.

Найпростіше було використовувати їх шляхом укладення договору на обробку даних (Data Processing Agreement), в тексті якого визнаний пріоритет SCC над відносинами сторін, а до складу додатків — входить текст Стандартних договірних положень без купюр.

Зрозуміло, що в реальності відносини транскордонного передання даних неможливо описати лише двома шаблонами договорів. Тому в новій редакції SCC Європейська комісія визначила 4 варіанти передання персональних даних, що їх можна використовувати в будь-якому поєднанні як у двосторонніх, так і в багатосторонніх відносинах:

  • передання від контролера до контролера;
  • передання від контролера до процесора;
  • передання від процесора до процесора; і
  • передання від процесора до контролера.

Нова редакція SCC реалізує ці варіанти «модульною» будовою, тобто зводить стандартні положення до наступної структури:

  1. норми, що їх сторони не мають права змінювати;
  2. «модульні» норми, що включені в договір з урахуванням відносин сторін; і
  3. додатки, де сторони зазначають свої ролі у відносинах, перелік обробленої інформації та додаткові зобов’язання.

На жаль, така архітектура позбавляє SCC універсальності та вимагає адаптації юристами для кожного з контрагентів, а самі договори на обробку даних будуть мати загальнодоступний характер і безпосереднє застосування до сторін.

Чого слід очікувати міжнародному бізнесу в зв’язку з переходом на нові SCC:

  1. Оформлення відносин, що включають обробку даних, вимагатиме унікальної деталізації та залучення юристів, а не лише фахівців з обробки персональних даних.
  2. Суб’єкти персональних даних (тобто фізичні особи) матимуть право вимагати тексти договорів на обробку персональних даних (пункти Transparency модулів 1, 2 і 3 SCC). Відповідно, їхні тексти (зокрема інформація про сторони договорів) будуть загальнодоступними. Тому слід уникати зазначення в документах інформації, яка може вважатися конфіденційною.
  3. Суб’єкти персональних даних зможуть прямо застосовувати не лише GDPR, а й договори на обробку персональних даних на основі SCC (Стаття 3 SCC), що зробить європейський режим справді транскордонним.
  4. Навіть B2B-компаніям, що мають лише віддалене знайомство з європейськими ринками через низку посередників, доведеться час від часу виконувати запити фізичних осіб.
  5. Як сторона, що передає, так і сторона, що приймає, несуть відповідальність за безпеку і законність обробки і передання персональних даних, що може бути проблемою в разі непередбачуваних судових рішень або обшуків, які дуже поширені в Україні. shutterstock 1687192501

Строки переходу на нову редакцію

Нова редакція SCC набула чинності 27 червня 2021 року, проте регулятором передбачений перехідний період, що складається з двох етапів:

  • Дозволено укладати договори з використанням SCC у старій редакції до 27 вересня 2021 року. Це зручно для сторін, які бажають розпочати співробітництво, проте не готові відкладати укладення договорів через оновлення вимог.
  • Оформлені належним чином договори на базі SCC будуть дійсні до 27 грудня 2022 року. Є сенс вважати, що півтора роки вистачить для переходу на нову редакцію договорів про передання персональних даних.

Висновки

Нарешті GDPR має безпосереднє застосування за межами Європи. Українському ІТ-бізнесу доведеться реально адаптувати свої технологічні та організаційні рішення з обробки персональних даних до стандартів своїх європейських партнерів. Договір на обробку даних вже не вийде підписати «на відчепися».

У найближчі кілька місяців основні провайдери хмарних послуг (Amazon Cloud, Google Docs, Microsoft Azure) переглянуть свої політики стосовно персональних даних. Імовірно, більшість змін буде на краще.

Всі європейські клієнти українських В2В-проєктів будуть вимагати перегляду відносин, що включають обробку персональних даних і оцінку ризиків, пов’язаних з обробкою персональних даних (Data Protection Impact Assessment). У більшості випадків без участі спеціалізованого юриста не обійтися.

Команда юридичної компанії VigoLex вже ознайомилася з новим правовим режимом. Ми вважаємо, що перехід на новий якісний рівень розпоряджання персональними даними і їх обробки — це неприємний, але потрібний етап дорослішання: як щеплення. Наші спеціалісти допоможуть зробити впровадження практики виконання GDPR і SCC максимально безболісним.