NOVI PRIJEDLOG STANDARDNIH UGOVORNIH KLAUZULA
Europska komisija je objavila nacrt novih standardnih ugovornih klauzula između voditelja obrade i izvršitelja obrade.
Što nam donosi novi prijedlog?
- Predložene standardne ugovorne klauzule sadrže Aneks za navođenje specifičnih uputa voditelja obrade.
Postavlja se pitanje je li to još jedan nagovještaj da upućivanje na “glavni sporazum” nije dovoljno?
- Aneks za određivanje opisa obrade koji uključuje zahtjev za navođenje mjesta obrade.
- Nacrt sadrži vrlo detaljan prilog za određivanje tehničkih i organizacijskih mjera koji nas ponovno upućuje na nužnost specificiranja mjera.
Kategorije koje treba dovršiti uključuju: pseudonimizaciju i anonimizaciju; osiguravanje povjerljivosti, integriteta i dostupnosti; redovito testiranje i ocjenjivanje tehničkih i organizacijskih mjera; zahtjeve za identifikaciju i autorizaciju korisnika; zahtjeve za zaštitu podataka u tranzitu/ u pohrani; zahtjeve za fizičku sigurnost; zahtjeve za bilježenje događaja; zahtjeve za konfiguraciju sustava; zahtjeve za unutarnju vladu i upravljanje IT sigurnošću; zahtjeve za certificiranje; zahtjeve za minimiziranje podataka; zahtjeve za kvalitetu podataka; zahtjeve za zadržavanje podataka; zahtjeve za odgovornost i zahtjeve za prenosivost i zbrinjavanje podataka.
- Aneks kojim se određuju posebna ograničenja i dodatne zaštitne mjere u slučaju obrade posebnih kategorija podataka.
- U slučaju breacha Izvršitelj obrade je dužan obavijestiti voditelja obrade o postojanju istog i to bez nepotrebnog kašnjenja i ne kasnije od 48 sati nakon što je postao svjestan da se breach dogodio .
- U vezi s izvješćivanjem o povredi podataka / prethodnom savjetovanju – klauzule zahtijevaju imenovanje nadležnog DPA u tekstu klauzula.
Postavlja se pitanje što bi to trebalo biti ako je izvršitelj izvan EU-a ili ako su obje strane su subjekti izvan EU-a?
- Klauzule zahtijevaju od stranaka da utvrde odgovarajuće tehničke i organizacijske mjere prema kojima je izvršitelj obrade podataka potreban pružiti pomoć voditelju obrade podataka u vezi s upravljanjem pravima ispitanika, DPIA-om i izvješćivanjem o kršenju propisa.
- Zahtjev za voditelja i izvršitelja obrade da omoguće dostupnost dokumentacije o usklađenosti i rezultate svih provedenih revizija nadzornim tijelima na uvid.
- Predviđene su okolnosti za raskid Klauzula neovisno o raskidu glavnog temeljnog ugovora u slučajevima:
– (1) obustave obrade od strane voditelja obrade;
– (2) znatno ili uporno kršenje klauzula od strane izvršitelja obrade;
– (3) nepridržavanje obvezujuće odluke nadležnog suda ili nadležnog nadzornog tijela od strane izvršitelja obrade.
U odnosu na pod-izvršitelje:
- Vezano uz proces autorizacije ponuđene su dvije opcije:
Opcija 1: Konkretno ovlaštenje – klauzule zahtijevaju da zahtjev za konkretno ovlaštenje bude dogovoren u određeno vrijeme prije angažmana;
Opcija 2: Opće ovlaštenje – klauzule dopuštaju aneks s popisom pod-izvršitelja koje izvršitelj obrade podataka “namjerava angažirati” i zahtijevaju od izvršitelja da pisanim putem unaprijed obavijesti voditelja obrade o svim planiranim promjenama na popisu kako bi voditelj obrade podataka imao priliku uložiti prigovor na promjenu prije angažmana novog pod-izvršitelja.
- U odnosu na ugovor:
Izvršitelj obrade je dužan uključiti u ugovor s pod-izvršiteljima “iste obveze koje su nametnute izvršitelju obrade podataka temeljem klauzula”. To je odjek zahtjeva članka 28(4) GDPR-a.
Ove mjere stavljaju izvršitelje obrade, koji posluju s velikim pod-izvršiteljima prema kojima nemaju gotovo nikakvu pregovaračku moć u tešku situaciju.