Standard Contractual Clauses: GDPR all over again?

If you were hoping that after the third birthday of GDPR, the mood around data protection would calm down a bit, you were wrong: The Standard Contractual Clauses (SCCs) have been adopted by the European Commission. Any company that transfers personal data to a third country outside the EU, either as a data controller or as a data processor, will need to renegotiate all the contracts governing the transfer. According to the data protection experts of our Budapest office this could cause quite a headache for businesses just recovering from the difficulties of the COVID-19 pandemic.

Jön az újabb GDPR feketeleves – Ez nagyon sok céget érint

Ha abban reménykedtünk, hogy az Általános Adatvédelmi Rendelet (GDPR) harmadik születésnapját követően kicsit lenyugszanak a kedélyek az adatvédelem körül, akkor nagyot tévedtünk: itt vannak az Európai Bizottság által elfogadott Általános Szerződési Feltételek (Standard Contractual Clauses, SCCs). Minden olyan cégnek, amely akár adatkezelőként, akár adatfeldolgozóként személyes adatokat továbbít az EU-n kívüli harmadik országba, újra kell kötnie az adattovábbítást rendező valamennyi szerződését. Ez elég nagy fejfájást okozhat a COVID-19 pandémia nehézségeiből éppen kilábaló vállalkozásoknak – foglalják össze a Taylor Wessing nemzetközi ügyvédi iroda budapesti adatvédelmi szakértői.

A korábbi SCC-k még 2001-ben (2004-ben módosítva) és 2010-ben kerültek elfogadásra, így 2021-ben ezek már nagyon réginek és elavultnak hatnak a mai gazdasági viszonyokhoz képest. Az új SCC-k számos újdonságot hoznak: a korábbi, kizárólag adatkezelő – adatkezelő, illetve adatkezelő – adatfeldolgozó viszonylatban létező klauzulákhoz képest most 4 modul közzétételére került sor, vagyis immár valamennyi szerződéses kombinációra lesznek külön SCC-k. Így az előbbieken túl arra is külön szabályok vonatkoznak, ha adatfeldolgozó továbbít adatfeldolgozónak, vagy adatfeldolgozó adatkezelőnek személyes adatot.

Emellett a ma közzétett SCC-k megfelelő rugalmasságot nyújtanak még a legfejlettebb technológiával folytatott adatkezeléseknek is. Az SCC-ket tartalmazó adattovábbítási szerződést ugyanis akár több fél is megkötheti egymással, amely rendkívül bonyolult szerződéses konstrukciók révén képes leképezni a mai gazdasági viszonyokat.

Újdonság még, hogy kötelezővé vált az SCC-k átültetése során annak vizsgálata, hogy az adott harmadik ország titkosszolgálatai, hatóságai milyen jogosítványokkal rendelkeznek a cégek által kezelt személyes adatok megismerése tekintetében, továbbá az új SCC-k meghatározzák a követendő eljárásrendet egy hatóságtól érkező, hozzáférési kérelem esetén. Talán mondanunk sem kell, hogy a végsőkig kell védekezni a hozzáférés megtagadása érdekében. Ez azonban csak a jéghegy csúcsa, és alappal aggódhat minden adattovábbító cég, hogy idén nyáron is súlyos erőforrásokat és költségeket kell majd az adatvédelmi megfelelésére fordítania.

„Bár az új SCC-k átültetésére – meglévő szerződések esetén – van egy 18 hónapos türelmi idő (ha a felek azt megelőzően nem módosítják a szerződést), semmiképpen nem szabad az utolsó pillanatra hagyni az új szerződések megkötését. Az SCC-k átültetése nem egy egyszerű szerződésmódosításból áll. Új belső folyamatokra lesz szükség, néhány esetben pedig egy részletes adattovábbítási hatásvizsgálatra is, arról nem is beszélve, hogy néhol adatfeldolgozók egész láncolatán kell majd végigvinni a változásokat” – figyelmeztet Dr. Kopasz János, a Taylor Wessing adatvédelmi szakértője.

„Sok esetben az SCC-k átültetése az új szerződésekbe nem lesz elegendő. A 2020-as Schrems II döntés és az azóta kiadott iránymutatások világossá tették számunkra, hogy a pusztán szerződéses garanciák mellett egyéb intézkedésekkel, például szükség esetén az adatok titkosításával kell biztosítani a személyes adatok védelmét a továbbítás során. Számos cég számára azonban nem csak az új szerződések megkötése, hanem a megkívánt fejlettségű technikai adatvédelmi megoldások bevezetése is óriási terhet jelent” – zárja gondolatait Dr. Ódor Dániel, a Taylor Wessing budapesti adatvédelmi csapatának vezetője.