EU takes further steps to align data transfer practice to GDPR requirements

On 12 November 2020, more than two years after the GDPR came into force, the EU Commission has published a draft of the new standard contractual clauses (SCCs) for the public consultation purposes. The delay was caused by expecting a judgement in the case widely known as ‘Schrems II’.

The following key changes are expected in the new draft SCCs:

– two additional scenarios for data transfers not anticipated by the currently effective SCCs: processor-processor and processor-controller transfers;

– currently lacking Article 28 processor related wording is expected to be added;

– changes resulting from the Schrems II judgement:

• new contractual requirement to perform and record an assessment of laws of the importing country to determine whether the SCCs ensure the equivalent level of protection;
• if the assessment reveals the inefficiency of SCCs alone in a particular situation, supplementary measures shall be taken by the data exporter;
• obligation of the data importer to notify the data exporter of the public authorities’ request for the imported data. Where such notification is prohibited by the local laws, the data importer shall take its best efforts to obtain the respective waiver;

– transfer of data to and from multiple parties (i.e., including more than one data exporter and one data importer).

The new SCCs are expected to be business-friendly and cover all currently existing gaps. Parties to data transfers will be able to use current SCCs for one year upon the date of the new SCCs coming into force.

The same week, in light of the Schrems II judgement, the European Data Protection Board (EDPB) responsible for ensuring the consistent application of GDPR published its recommendations on the supplementary measures and the roadmap for evaluating the necessity of their application by data exporters in order to efficiently protect personal data as per the GDPR standards. The roadmap includes the following six steps.

READ MORE

ЄС робить подальші кроки для приведення практики передачі даних у відповідність до вимог GDPR

12 листопада 2020 року, більше ніж через два роки після набуття чинності GDPR, Європейська комісія опублікувала проєкт нових стандартних договірних положень (SCCs) для публічного обговорення. Затримка була спричинена очікуванням судового рішення у справі, широко відомої як Schrems II.

Очікується, що основними змінами у проєкті нових SCCs будуть такі:

– два додаткові варіанти передачі даних, відсутні у чинній редакції SCCs – передачі від процесора до процесора та від процесора до контролера;

– включення формулювання статті 28 GDPR щодо процесора, яке відсутнє у чинній редакції SCCs;

– зміни, обумовлені рішенням у справі Schrems II:

• нова договірна вимога щодо здійснення та фіксації оцінки законодавства країни-імпортера даних для визначення, чи SCCs забезпечують належний рівень захисту;
• якщо оцінка виявить неефективність самих лише SCCs у конкретній ситуації, експортер даних повинен застосувати допоміжні заходи;
• обов’язок імпортера даних повідомити експортера даних про запит публічних органів на доступ до імпортованих даних. Якщо таке повідомлення заборонене місцевим законодавством, імпортер повинен докласти всіх зусиль для скасування заборони;

– передача даних до та від кількох сторін (тобто передачі, що включають більше ніж одного експортера та імпортера даних).

Очікується, що нові SCCs будуть сприятливими для бізнесу та закриють усі існуючі прогалини. Сторони передачі даних зможуть використовувати чинну редакцію SCCs протягом одного року з дати набрання чинності новими SCCs.

Того ж тижня у світлі рішення у справі Schrems II Європейська рада із захисту даних (EDPB), що забезпечує послідовне застосування GDPR, опублікувала свої рекомендації щодо допоміжних заходів та схему дій для оцінки необхідності застосування таких заходів експортерами даних для ефективного захисту персональних даних відповідно до стандартів GDPR. Схема дій передбачає такі кроки.

ЧИТАТИ ДАЛІ