LESSON 8

NOVI PRIJEDLOG STANDARDNIH UGOVORNIH KLAUZULA

Europska komisija je objavila nacrt novih standardnih ugovornih klauzula između voditelja obrade i izvršitelja obrade.

Što nam donosi novi prijedlog?

  • Predložene standardne ugovorne klauzule sadrže Aneks za navođenje specifičnih uputa voditelja obrade.

Postavlja se pitanje je li to još jedan nagovještaj da upućivanje na “glavni sporazum” nije dovoljno?

  •  Aneks za određivanje opisa obrade koji uključuje zahtjev za navođenje mjesta obrade.
  • Nacrt sadrži vrlo detaljan prilog za određivanje tehničkih i organizacijskih mjera koji nas ponovno upućuje na nužnost specificiranja mjera.

Kategorije koje treba dovršiti uključuju: pseudonimizaciju i anonimizaciju; osiguravanje povjerljivosti, integriteta i dostupnosti; redovito testiranje i ocjenjivanje tehničkih i organizacijskih mjera; zahtjeve za identifikaciju i autorizaciju korisnika; zahtjeve za zaštitu podataka u tranzitu/ u pohrani; zahtjeve za fizičku sigurnost; zahtjeve za bilježenje događaja; zahtjeve za konfiguraciju sustava; zahtjeve za unutarnju vladu i upravljanje IT sigurnošću; zahtjeve za certificiranje; zahtjeve za minimiziranje podataka; zahtjeve za kvalitetu podataka; zahtjeve za zadržavanje podataka; zahtjeve za odgovornost i zahtjeve za prenosivost i zbrinjavanje podataka.

  • Aneks kojim se određuju posebna ograničenja i dodatne zaštitne mjere u slučaju obrade posebnih kategorija podataka.
  • U slučaju breacha Izvršitelj obrade je dužan obavijestiti voditelja obrade o postojanju istog i to bez nepotrebnog kašnjenja i ne kasnije od 48 sati nakon što je postao svjestan da se breach dogodio .
  • U vezi s izvješćivanjem o povredi podataka / prethodnom savjetovanju – klauzule zahtijevaju imenovanje nadležnog DPA u tekstu klauzula.

Postavlja se pitanje što bi to trebalo biti ako je izvršitelj izvan EU-a ili  ako su obje strane su subjekti izvan EU-a?

  • Klauzule zahtijevaju od stranaka da utvrde odgovarajuće tehničke i organizacijske mjere prema kojima je izvršitelj obrade podataka potreban pružiti pomoć voditelju obrade podataka u vezi s upravljanjem pravima ispitanika, DPIA-om i izvješćivanjem o kršenju propisa.
  • Zahtjev za voditelja i izvršitelja obrade da omoguće dostupnost dokumentacije o usklađenosti i rezultate svih provedenih revizija nadzornim tijelima na uvid.
  • Predviđene su okolnosti za raskid Klauzula neovisno o raskidu glavnog temeljnog ugovora u slučajevima:

– (1) obustave obrade od strane voditelja obrade;

– (2) znatno ili uporno kršenje klauzula od strane izvršitelja obrade;

– (3) nepridržavanje obvezujuće odluke nadležnog suda ili nadležnog nadzornog tijela od strane izvršitelja obrade.

    U odnosu na pod-izvršitelje:

  • Vezano uz proces autorizacije ponuđene su dvije opcije:

Opcija 1: Konkretno ovlaštenje – klauzule zahtijevaju da zahtjev za konkretno ovlaštenje bude dogovoren u  određeno vrijeme prije angažmana;

Opcija 2: Opće ovlaštenje – klauzule dopuštaju aneks s popisom pod-izvršitelja koje izvršitelj obrade podataka “namjerava angažirati” i zahtijevaju od izvršitelja da pisanim putem unaprijed obavijesti  voditelja obrade o svim planiranim promjenama na popisu kako bi voditelj obrade podataka imao priliku uložiti prigovor na promjenu prije angažmana novog pod-izvršitelja.

  • U odnosu na ugovor:

Izvršitelj obrade je dužan uključiti u ugovor s pod-izvršiteljima  “iste obveze koje su nametnute izvršitelju obrade podataka temeljem klauzula”. To je odjek zahtjeva članka 28(4) GDPR-a. 

Ove mjere stavljaju izvršitelje obrade, koji posluju s velikim pod-izvršiteljima prema kojima nemaju gotovo nikakvu pregovaračku moć u tešku situaciju.