Докато бизнесите от ЕС имат възможността да се възползват от свободното движение на данни в рамките на Общността, прехвърлянето на лични данни към трети държави се извършва на ограничени основания и при спазване на някои допълнителни изисквания - решение относно адекватното ниво на защита за съответната трета държава, задължителни фирмени правила, приети и одобрени в рамките на група от компании и др.
При липса на решение относно адекватното ниво на защита или задължителни фирмени правила, администраторът или обработващият лични данни следва да предприеме мерки за компенсиране на липсата на защита на данните в трета държава чрез подходящи гаранцииза субекта на данните. Такива гаранцииса прилагането на стандартни клаузи за защита на данните, приети от Европейската комисия, стандартни клаузи за защита на данните, приети от надзорен орган, или договорни клаузи, разрешени от надзорен орган.
В този смисъл СДК са важен инструмент за улесняване на трансфера на данни извън ЕС, включително към САЩ.
На 4 юни 2021 г. Европейската комисия прие дългоочаквани нови СДК, които администраторите и обработващите лични данни могат да използват в своите бизнес операции, свързани с лични данни. Новите СДК са приведени в съответствие с GDPR (предишните са създадени въз основа на Директива 95/46/EC) и могат да бъдат широко прилагани, тъй като предоставят определени решения по отношение на задълженията, извлечени от решението по делото „Schrems II“. Освен това Европейската комисия твърдо заявява, че тези СДК се приемат с оглед на технологичния напредък, но също така спазвайки защитата на правата на субектите на данни, предоставена чрез GDPR.
Що се отнася до трансфера на данни, всички участници в процеса могат да използват СДК, независимо от качеството си в рамките на процеса по обработване на лични данни. Възможно е СДК да бъдат интегрирани във взаимоотношенията администратор-администратор или администратор-обработващ, както и в споразумения с подизпълнители.
Въпреки това, възможността администраторът или обработващият да използват стандартни клаузи за защита на данните, приети от Комисията или от надзорен орган, не пречи на администраторите или обработващите да включват СДК в по-широки договори или да създават допълнителни гаранции за потока на данни чрез договорни механизми (разбира се доколкото такива механизми не противоречат на стандартните договорни клаузи или други основни права на субектите на данни). Преамбюлът на GDPR сочи,че„администраторите и обработващите лични данни следва да бъдат насърчавани да предоставят допълнителни гаранции чрез договорни ангажименти, които допълват стандартните клаузи за защита.“
Новоприетите СДК имат за цел да обхванат всички посоки на потоците на данни от и към ЕС. Счита се, че СДК осигуряват достатъчни гаранции за прехвърляне на данни между износители на данни (администратори и обработващи, които са обвързани с GDPR) и вносители (администратори, обработващи или подизпълнители, които не са пряко обвързани с GDPR).
СДК обаче не представляват„картбланш“ за прехвърляне на данни извън ЕС. Дори ако са налице СДК между администраторите/обработващите,трансферът на данни все пак може да бъде забранен от надзорен орган, акотой установи, че има правни или други пречкипред получателя на данни извън ЕС да осигури практическото прилагане на гаранциите, предоставени от СДК.
Очаквано, новите СДК изрично заявяват, че осигуряват достатъчни гаранции за трансфер на данни извън ЕСсамо ако в тях не са нанесени изменения от страните които ги подписват.Този факте продължениена предишна линия на Европейската комисия, целяща да ограничи риска от администратори/ обработващи, които използват правни техники за заобикаляне на одобрените СДК.
По отношение на структурирането, новоприетите СДК са удобно разделени на няколко модула, целящи да обхванат различни аспекти на трансфера на данни, а именно:
✓ от администратор към администратор
✓ от администратор към обработващ
✓ от обработващ към обработващ
✓ от обработващ към администратор
Също така съществуват определени модули, които регулират използването на подизпълнители.
Като цяло новите СДК (във всичките им модули) налагат по-висока приложимост на принципа на прозрачност съгласно GDPR, където субектите на данни трябва да получат достатъчно информация относно пътя на личните си данни - включително да получат копие от СДК. СДК също така отразяватпринципаза свеждане на данните до минимум и принципа за ограниченияна целите.
Очаквано, СДК отделят специално внимание на техническите и организационни мерки, като вземат предвид по-голямото количество лични данни, които се прехвърлят на вносителите на данни по цифрови канали, като по този начин ги правят уязвими за незаконно прихващане. В центъра на вниманието е поставенои упражняването на права от страна на субектите на данни.
Решенията за одобрение на старите СДК ще бъдат отменени три месеца след влизането в сила на решението за новите СДК.
Основният въпрос за заинтересованите страни е какво ще се случи със споразуменията, подписани по старите СДК. Новите СДК ще имат преходен период за съжителство със старите СДК. Администраторите и обработващите ще имат право да продължат да прехвърлят данни в продължение на 15 месеца по старите СДК. По време на преходния период бизнесите ще трябва да преминат към новите правила заедно със своите партньори.