Mai puțin de o lună până când companiile trebuie să implementeze noi clauze contractuale standard pentru transferul de date cu caracter personal în afara UE. Ce trebuie să știți
Până la data de 27 decembrie 2022, operatorii de date cu caracter personal și persoanele împuternicite de aceștia în sensul legislației privind protecția datelor cu caracter personal trebuie să încheie noile clauze contractuale standard adoptate de Comisia Europeană încă din 4 iunie 2021 („noile SCC”) atunci când transferă sau pun la dispoziție date cu caracter personal către alte companii din afara UE, inclusiv către alte societăți din grup, sau diverși furnizori de servicii.
Clauzele contractuale standard reprezintă un mecanism de transfer prevăzut de Regulamentul UE 2016/679 (GDPR) pe care se bazează multe companii în practică, pentru a asigura un nivel adecvat de protecție a datelor atunci când transmit date în afara UE. Noile SCC sporesc această protecție înlocuind vechile clauze contractuale standard adoptate în temeiul fostei Directive 95/46 privind protecția datelor cu caracter personal.
Încheierea noilor SCC presupune revizuirea de către companii a contractelor cu furnizorii, clienții sau alți parteneri contractuali și analiza fluxurilor de date aferente, atunci când prestarea serviciilor din contract implică un acces la sau o dezvăluire de date cu caracter personal în afara UE.
Unele dintre principalele modificări aduse de noile SCC și pe care companiile trebuie să le aibă în vedere la semnarea noilor SCC sunt următoarele:
- conținutul noilor SCC prevede obligații mai detaliate atât pentru companii, cât și pentru furnizorii acestora situați în afara UE, precum și o serie de anexe cuprinzătoare în care trebuie detaliate transferurile de date și măsurile tehnice și organizatorice implementate;
- identificarea modulului aplicabil, în funcție de calificarea părților – noile SCC propun o abordare modulară, care acoperă patru module din care companiile trebuie să aleagă în funcție de calificarea părților (operator-operator, operator- persoană împuternicită, persoană împuternicită-persoană împuternicită, persoană împuternicită-operator);
- obligația părților de a efectua o evaluare a impactului transferului de date, prin analiza nivelul de protecție oferit de statul în care sunt transferate datele.
Prin urmare, implementarea, respectiv trecerea la noile SCC nu reprezintă doar o simplă formalitate de semnare a acestora, ci necesită eforturi și resurse considerabile, iar companiile care nu au făcut deja acest demers ar trebui să ia măsuri pentru conformare, având în vedere că termenul limită se apropie rapid. Și aceasta cu atât mai mult cu cât neconformarea cu prevederile privind transferul în afara UE poate fi sancționată conform GDPR cu amendă de până la 20.000.000 EUR sau 4 % din cifra de afaceri.
Articol semnat de Carla Filip (attorney at law), avocat specializat în protecția datelor cu caracter personal în cadrul Schoenherr si Asociații SCA și Marta Tudor (attorney at law), avocat specializat în protecția datelor cu caracter personal în cadrul Schoenherr si Asociații SCA