Clausole contrattuali standard nell'UE per i trasferimenti da paesi terzi

Clausole contrattuali standard

Se un'azienda vuole Dati personali verso un cosiddetto Paese terzo al di fuori dell'Unione Europea o dello Spazio Economico Europeo, è necessaria una garanzia di protezione dei dati per il trasferimento dei dati, oltre alla base giuridica per il trattamento dei dati. Se non c'è Decisione di appropriatezza Le clausole contrattuali standard dell'UE, note anche come clausole standard di protezione dei dati della Commissione UE ("SCC" per Standard Contractual Clauses), sono quindi utilizzate da anni. Questi documenti, che hanno ormai 25 anni, sono stati aggiornati.

Questo articolo intende rispondere alle domande che sono sorte in questo contesto e quindi fornire assistenza nell'uso conforme alla protezione dei dati delle nuove clausole.

Contattateci se avete ulteriori domande o se desiderate assistenza per le regolazioni necessarie.

Quando la mia azienda ha bisogno di SCC?

Non appena un'azienda, nel ruolo di responsabile del trattamento e/o di incaricato del trattamento, si trova in una situazione di conflitto di interessi. Dati personali sono trasferiti in un cosiddetto "paese terzo" ai sensi dell'art. 44 e segg. GDPR Garanzie adeguate necessarie per proteggere questi dati al fine di garantire che il livello di protezione dei dati delle persone fisiche garantito dal GDPR non sia compromesso.

Se il paese terzo non ha un Decisione di appropriatezza Le SCC saranno di solito un elemento chiave per questo scopo.

Come il cosiddetto Schrems Secondo la sentenza della Corte di giustizia europea (sentenza del 16.07.2020, causa C 311/18), le garanzie di cui agli artt. 44 e segg. GDPR non sono sufficienti da sole. Occorre piuttosto esaminare la situazione della protezione dei dati nel paese destinatario e stabilire quali ulteriori misure tecniche e organizzative (Cifratura, Anonimizzazione, Pseudonimizzazione) sono necessari anche per il caso specifico.

Un possibile risultato di tale valutazione del rischio può anche essere la decisione di non effettuare il trasferimento di dati previsto e di trovare invece una soluzione europea.

Come si differenziano i nuovi SCC da quelli vecchi?

Il precedente Clausole contrattuali standard Le nuove SCC sono state adattate alla formulazione e ai requisiti del GDPR.

Le nuove SCC hanno una struttura modulare e offrono un numero significativamente maggiore di opzioni di personalizzazione, ma anche più lavoro prima di poter essere utilizzate per il rispettivo trasferimento di dati. Mentre con i precedenti SCC il lavoro di personalizzazione terminava solitamente una volta inseriti i dati delle due parti contraenti, con i nuovi SCC l'effettiva stesura delle clausole contrattuali inizia solo a questo punto.

Nei nuovi SCC, per la prima volta è possibile assegnare altre organizzazioni a una Clausole contrattuali standard Gli importatori ed esportatori di dati possono aderire al contratto come importatori o esportatori di dati.

In precedenza non esistevano clausole per la costellazione "processore e sottoprocessore". Il nuovo Clausole contrattuali standard hanno una struttura modulare e possono quindi essere applicate a un numero maggiore di contratti rispetto al passato e includono anche i contratti a livello di subappalto.

Se i fornitori di servizi elaborano i dati su istruzioni di un'azienda, ciò costituisce una Elaborazione dell'ordine ai sensi del GDPR. In questi casi, è necessario stipulare un cosiddetto contratto di elaborazione degli ordini (AVV). Il nuovo Clausole contrattuali standard ora soddisfano anche i requisiti per un contratto di elaborazione degli ordini. Ciò significa che se un contratto basato sul Clausole contrattuali standard non è più obbligatoria la stipula di un ulteriore accordo di trattamento dei dati.

In particolare, le clausole 14 e 15 del nuovo CP contengono specifiche misure di sicurezza che corrispondono ad alcune delle aggiunte già apportate dalle autorità di protezione dei dati e dal Comitato europeo per la protezione dei dati ("EDPB") al vecchio CP. Clausole contrattuali standard sono stati proposti per soddisfare i requisiti della Schrems II giudizio.

Fortunatamente, le nuove SCC stabiliscono che queste hanno la precedenza e sostituiscono qualsiasi clausola contrattuale o di condizioni generali in conflitto (Sezione I, Clausola 5).

Nella sezione II, il capitolo 12 contiene clausole di responsabilità modulari e stabilisce (insieme alla disposizione sulla priorità della SCC) in linea di principio che la Responsabilità civile delle parti contraenti non è limitata, ad esempio, da esclusioni esterne di responsabilità in termini e condizioni generali.

Le parti contraenti possono ora stabilire nella sezione IV (clausole 17 e 18) la validità di una specifica legge nazionale e il foro competente (all'interno dell'UE). Ad esempio, è possibile specificare la validità del diritto tedesco anche se il contratto è stato stipulato in Germania. Clausole contrattuali standard essere chiuso da una filiale in Italia.

Per quanto riguarda le discussioni in corso sui trasferimenti di dati verso gli Stati Uniti o altri Paesi terzi, l'importatore di dati si impegna, tra l'altro, nella clausola 15, a farlo:

• Fare il possibile per revocare il divieto di notifica all'esportatore/interessato. L'obiettivo dovrebbe essere quello di garantire che il maggior numero possibile di informazioni possa essere comunicato il più rapidamente possibile. L'importatore di dati si impegna pertanto a documentare gli sforzi compiuti per poterne fornire la prova su richiesta dell'esportatore.
• controllare la legalità della richiesta di divulgazione, in particolare se la richiesta rientra nell'ambito dei poteri conferiti all'autorità richiedente, e contestare la richiesta se, dopo un'attenta valutazione, conclude che vi sono ragionevoli motivi per ritenere che la richiesta sia illegale ai sensi delle leggi del paese di destinazione, in conformità agli obblighi applicabili in base al diritto internazionale e ai principi della "Völkercourtoisie" (si tratta di atti, pratiche e regole osservate nelle relazioni internazionali tra Stati in virtù della loro sovranità, basate sull'amicizia, il vicinato e il rispetto reciproco). In queste condizioni, l'importatore di dati può ricorrere a rimedi legali. Quando impugna una richiesta, l'importatore di dati deve ottenere misure provvisorie per sospendere l'effetto della richiesta fino a quando l'autorità giudiziaria competente non si sia pronunciata sul merito. L'importatore dovrà divulgare i dati personali richiesti solo se ciò è richiesto dalle norme procedurali applicabili.

Questo obbligo può comportare costi considerevoli per l'importatore di dati (se vengono effettivamente prese decisioni di divulgazione corrispondenti).

Nella clausola 14 entrambe le parti contraenti si impegnano a tenere in debita considerazione in particolare i seguenti aspetti:

• le circostanze particolari del Trasmissionetra cui la lunghezza della catena di trattamento, il numero di soggetti coinvolti e i canali di trasmissione utilizzati, i trasferimenti successivi dei dati previsti, il tipo di destinatario, lo scopo del trattamento, la finalità del trattamento. Elaborazionele categorie e il formato dei dati personali trasmessi, il settore economico in cui avviene la trasmissione, il luogo di conservazione dei dati trasmessi,
• che, in considerazione delle particolari circostanze della Trasmissione le leggi e le prassi pertinenti del Paese terzo di destinazione (comprese quelle che richiedono la divulgazione dei dati alle autorità pubbliche o che autorizzano l'accesso a tali dati da parte delle autorità pubbliche) e le restrizioni e le garanzie applicabili,
• qualsiasi salvaguardia contrattuale, tecnica o organizzativa pertinente messa in atto per integrare le salvaguardie di cui alle presenti Clausole, comprese le misure adottate nel corso del periodo di validità del contratto. Trasmissione e con il Elaborazione dei dati personali nel paese di destinazione.

Questi tre punti devono quindi essere presi in considerazione, in particolare nel caso di trasferimenti verso Paesi terzi, come parte della valutazione del rischio e delle considerazioni, e ciò deve essere documentato.

Posso continuare a utilizzare i vecchi SCC?

Se siete attualmente in trattativa contrattuale e la rinegoziazione del nuovo SCC comporterebbe dei ritardi, potete ancora utilizzare il vecchio SCC fino al 27 settembre 2021. Tuttavia, questi dovranno essere sostituiti dai nuovi SCC entro il 27 dicembre 2022.

A partire dal 27 settembre 2021, i nuovi SCC dovranno essere utilizzati senza eccezioni.

Per quanto tempo posso utilizzare i vecchi SCC?

Tutti i nuovi contratti stipulati a partire dal 27 settembre 2021 devono essere conformi alla nuova normativa. Clausole contrattuali standard essere presi in considerazione. Fino ad allora, si potranno ancora utilizzare i vecchi SCC, che dovranno però essere sostituiti dai nuovi SCC entro il 27 dicembre 2022.

Ho un contratto con i vecchi SCC. Devo sostituirli con i nuovi SCC?

Sì, i precedenti SCC devono essere sostituiti dai nuovi SCC entro il 27 dicembre 2022. Se il contratto termina prima di questa data, la sostituzione non è quindi obbligatoria.
In caso di modifiche rilevanti al contratto, l'esportatore di dati deve avvalersi immediatamente dell'opzione e sostituire gli SCC esistenti con quelli nuovi. Ad esempio, quando si subappaltano le operazioni di trattamento oggetto del contratto a un subappaltatore/incaricato.

Quando devo sostituire i vecchi SCC con quelli nuovi?

Per i contratti esistenti, la sostituzione deve avvenire entro 18 mesi, ovvero entro il 27 dicembre 2022. Se il contratto corrispondente o il Elaborazione Ciò significa che non è assolutamente necessario sostituirli prima.

Cosa devo fare se il mio partner contrattuale non vuole aggiornare l'SCC?

In particolare, se la collaborazione e il relativo scambio di dati con il partner contrattuale devono proseguire oltre il 27 dicembre 2022, il partner contrattuale deve essere informato dei rischi legali (cfr. punto 3.9) e devono essere chieste le ragioni specifiche del rifiuto.

Dopo 25 anni di buon servizio, i vecchi SCC non sono più aggiornati e sono a malapena in grado di soddisfare le varie costellazioni contrattuali in un formato e in un'individualità attuali. I nuovi SCC sono più adatti alle sfide attuali e supportano i partner contrattuali nell'organizzazione conforme alla protezione dei dati dei trasferimenti da paesi terzi. L'aggiornamento del CP sarebbe quindi nell'interesse di entrambe le parti.

Se il partner contrattuale rifiuta, è opportuno rivalutare la prosecuzione del rapporto contrattuale, tenendo conto dei rischi aggiuntivi per la vostra azienda.

Con chi devono essere stipulate le SCC?

Nel momento in cui deve avvenire un trasferimento di dati verso un paese al di fuori dell'UE/SEE, le nuove SCC devono essere concluse tra le rispettive parti.

I nuovi SCC prevedono quattro diverse costellazioni di elaborazione (moduli), che devono essere selezionate di conseguenza negli SCC:

• Modulo uno Da controllore a controllore C2C
  Trasmissione da un responsabile del trattamento (nell'UE) a un altro responsabile del trattamento (in un paese terzo)
• Modulo due Da controllore a processore C2P
  Trasmissione dal responsabile del trattamento (nell'UE) all'incaricato del trattamento (nel paese terzo)
• Modulo tre Processore P2P a processore
  Trasmissione da un incaricato del trattamento (nell'UE) a un altro (sub)incaricato del trattamento (nel paese terzo)
• Modulo 4 Da processore a controllore P2C
  Trasmissione da un incaricato del trattamento (nell'UE) al responsabile del trattamento (nel paese terzo)

Posso modificare o eliminare le clausole dell'SCC?

I nuovi SCC hanno una struttura modulare e devono essere personalizzati individualmente nell'ambito dei moduli disponibili.

Ad eccezione della selezione del modulo o dei moduli pertinenti o dell'aggiunta o dell'aggiornamento delle informazioni nell'allegato, non è possibile apportare ulteriori modifiche o cancellazioni.

Ma il Clausole contrattuali standard possono essere incluse in un contratto più esteso (ad esempio come allegato). È inoltre possibile aggiungere ulteriori clausole o garanzie aggiuntive, purché non siano incluse direttamente o indirettamente nel contratto. Contraddizione sono contrari ad altre disposizioni del CP o limitano i diritti o le libertà fondamentali delle persone interessate, come ad esempio il diritto alla privacy. Diritti degli interessati (Art. 15-22 e seguenti del GDPR).

In quale lingua devo utilizzare il nuovo SCC?

La nuova versione dell'SCC è disponibile all'indirizzo https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?locale=en è disponibile in tutte le lingue europee e può essere utilizzato di conseguenza. Si consiglia di utilizzare la versione linguistica che si usa prevalentemente nelle comunicazioni con il rispettivo partner contrattuale o la lingua in cui sono stati creati gli altri documenti contrattuali.

Se desiderate utilizzare due versioni linguistiche in parallelo (ad esempio, l'inglese per il vostro partner contrattuale nel Regno Unito e il tedesco per la vostra copia), è opportuno stabilire quale dei due documenti avrà la precedenza nelle discussioni sull'interpretazione.

Devo consegnare i nuovi SCC alle persone interessate?

Come in precedenza, l'art. 13(1)(f) del GDPR richiede che all'interessato sia fornito "un riferimento alle garanzie appropriate o idonee e alle modalità per ottenerne una copia o per sapere dove sono disponibili". Ad esempio:

Nei casi in cui si arriva ad una Trasmissione i dati sono trattati al di fuori dell'UE, abbiamo stipulato le relative clausole contrattuali standard dell'UE. È possibile richiedere una copia di tali clausole inviando un'e-mail a SCC-Kopie@unternehmen.de o trovarle sul nostro sito web all'indirizzo www.unternehmen.de/scc.

Posso ora utilizzare il nuovo CP per trasferire dati personali in paesi terzi come gli USA senza ulteriori misure? Posso fare a meno di ulteriori misure di protezione?

No. Nell'ambito di una valutazione obbligatoria del rischio, deve essere valutata la situazione della protezione dei dati nel paese destinatario e su questa base devono essere definite misure di protezione adeguate, oppure il trattamento dei dati può essere limitato, tra l'altro, secondo il parere della presidente del Comitato per la protezione dei dati. Conferenza sulla protezione dei datinon hanno luogo.

A quali rischi va incontro la mia azienda se non utilizzo l'SCC o se lo utilizzo in modo non corretto?

Oltre al rischio di Lettera di avvertimento da parte di gruppi di interesse e concorrenti (diritto della concorrenza) e danni alla reputazione in caso di copertura mediatica di un trattamento dei dati non conforme, vi è un particolare rischio di sanzioni da parte delle autorità competenti. Autorità di vigilanza nel Protezione dei dati.

Le opzioni di sanzione (art. 58 GDPR) comprendono

• la possibilità di effettuare indagini sotto forma di audit sulla protezione dei dati,
• per lanciare un avvertimento,
• per ordinare al responsabile del trattamento di rendere le operazioni di trattamento conformi ai requisiti di legge in un modo specifico ed entro un determinato periodo di tempo, ove applicabile,
• la sospensione del Trasmissione di dati a un destinatario in un paese terzo o a un'organizzazione internazionale,
• una restrizione temporanea o permanente del Elaborazionecompreso il divieto, e/o
• in caso di violazioni delle disposizioni relative alla Trasmissione di dati personali a un destinatario in un paese terzo o a un'organizzazione internazionale (articoli da 44 a 49 del GDPR), una multa fino a 20.000.000 di euro o, nel caso di una società o di un gruppo di società, fino a 4 % del suo fatturato mondiale totale annuo nell'esercizio precedente, se superiore.

Quando si seleziona una sanzione, il Autorità di vigilanza certamente anche di prendere in considerazione se sono stati compiuti sforzi per utilizzare correttamente l'SCC o se si è rinunciato del tutto all'SCC nonostante la sua ovvia necessità.