vlad

Кочетков Владимир

Старший юрист практики ІТ-права

06.07.2021

 

4 июня 2021 года Европейская комиссия приняла новую редакцию Стандартных договорных положений (Standard Contractual Clauses, или SCC). 27 июня 2021 года они вступили в силу. В этой статье мы рассмотрим, что же такое SCC и какие будут последствия их глубокой модернизации

Зачем нужны SCC?

Общий регламент по защите данных (GDPR) условно делит юрисдикции на три категории:

  1. Страны Европейского союза и Европейского экономического сообщества.
  2. Страны, по поводу которых есть решения Европейской комиссии о признании адекватности уровня защиты персональных данных: Андорра, Аргентина, Гернси, Джерси, Израиль, Канада, Новая Зеландия, Остров Мэн, Уругвай, Фарерские острова, Швейцария и Япония.
  3. Все остальные страны.

shutterstock 1082033210Некоторое время между второй и третьей категорией находились США со своим режимом Privacy Shield, но на практике этот режим оказался лишь имитацией реального обеспечения безопасного режима обработки персональных данных, обернулся фиаско и был со скандалом упразднен 16 июля 2020 года решением Суда Европейского союза.

При передаче персональных данных в страны без адекватного уровня защиты таких данных на законодательном уровне GDPR предписывает обеспечивать адекватность на уровне частноправовых отношений, в частности прямо рекомендует использовать SCC, о чем гласят пункты 6 и 7 Статьи 28 GDPR. Проблемой прошлой редакции Стандартных договорных положений было то, что впервые предложены они были в 2001 году и не обновлялись с 2010 года (то есть задолго до принятия GDPR), поэтому безнадежно устарели.

Новеллы в новой редакции SCC

Версия SCC от 2010 года была достаточно проста в имплементации в договорные отношения, ведь существовало всего две версии текста:

  1. для отношений между контролерами данных и
  2. для отношений между контролером и процессором.

Проще всего было их использовать, заключая договор на обработку данных (Data Processing Agreement), в его тексте признавая приоритет SCC над отношениями сторон и добавляя текст Стандартных договорных положений без купюр в виде приложений к договору.

Очевидно, в реальности отношения трансграничной передачи данных невозможно описать лишь двумя заготовками договоров. Потому в новой редакции SCC Европейская комиссия предписала 4 варианта передачи персональных данных, которые можно использовать в любом сочетании как в двусторонних, так и в многосторонних отношениях:

  • передача от контролера к контролеру;
  • передача от контролера к процессору;
  • передача от процессора к процессору; и
  • передача от процессора к контролеру.

Новая редакция SCC реализовывает эти варианты «модульным» строением, сведя стандартные положения к следующей структуре:

  1. нормы, которые стороны не вправе изменять;
  2. «модульные» нормы, которые включаются в договор с учетом отношений сторон; и
  3. приложения, в которых стороны указывают свои роли в отношениях, перечень обработанной информации и дополнительные обязательства.

К сожалению, такая архитектура лишает SCC универсальности и требует адаптации юристами для каждого из контрагентов, а сами договоры на обработку данных будут иметь общедоступный характер и прямое применение к сторонам.

Чего следует ожидать международному бизнесу в связи с переходом на новые SCC:

  1. Оформление отношений, включающих обработку данных, потребует уникальной детализации и привлечения юристов, а не только специалистов по обработке персональных данных.
  2. У субъектов персональных данных (то есть физических лиц) будет право истребовать тексты договоров на обработку персональных данных (пункты Transparency модулей 1, 2 и 3 SCC). Соответственно, их тексты (включая информацию о сторонах договоров) будут общедоступными. Поэтому следует избегать указания в документах информации, которая может считаться конфиденциальной.
  3. Субъекты персональных данных смогут прямо применять не только GDPR, но и договоры на обработку персональных данных на основе SCC (Статья 3 SCC), делая европейский режим действительно трансграничным.
  4. Даже B2B-компаниям, имеющим лишь отдаленное знакомство с европейскими рынками через цепочку посредников, придется время от времени выполнять запросы физических лиц.
  5. Как передающая, так и принимающая сторона несут ответственность за безопасность и законность обработки и передачи персональных данных, что может быть проблематично в случае непредвиденных судебных решений или обысков, которые широко распространены в Украине. shutterstock 1687192501

Сроки перехода на новую редакцию

Новая редакция SCC вступила в силу 27 июня 2021 года, но регулятором предусмотрен переходный период, состоящий из двух этапов:

  • Разрешено заключать договоры, используя SCC в старой редакции, до 27 сентября 2021 года. Это удобно для сторон, желающих начать сотрудничество, но не готовых откладывать заключение договоров из-за обновлений требований.
  • Оформленные должным образом отношения на базе SCC будут действительны до 27 декабря 2022 года. Резонно полагать, что полутора лет будет достаточно для перехода на новую редакцию договоров о передаче персональных данных.

Выводы

Наконец GDPR имеет непосредственное применение за пределами Европы. Украинскому IT-бизнесу придется реально адаптировать свои технологические и организационные решения по обработке персональных данных к стандартам своих европейских партнеров. Договор на обработку данных уже не получится подписать «на отвяжись».

В ближайшие несколько месяцев основные провайдеры облачных услуг (Amazon Cloud, Google Docs, Microsoft Azure) пересмотрят свои политики касательно персональных данных. Вероятно, большинство изменений будет к лучшему.

Все европейские клиенты украинских B2B-проектов потребуют пересмотра отношений, включающих обработку персональных данных и оценку рисков, связанных с обработкой персональных данных (Data Protection Impact Assessment). В большинстве случаев без участия специализированного юриста не обойтись.

Команда юридической компании VigoLex уже ознакомилась с новым правовым режимом. Мы считаем, что переход на новый качественный уровень распоряжения персональными данными и их обработки — неприятный, но необходимый этап взросления: как прививка. Наши специалисты помогут сделать внедрение практики выполнения GDPR и SCC максимально безболезненным.