Винник Даниил Сергеевич
Винник Даниил Сергеевич

Юрист

E-mail
vinnik@prikhodko.com.ua
Номера телефонов
+38 (073) 007-44-41

Эксперт в сфере международного корпоративного, IT и крипто-права. Имеет многолетний опыт в открытии и сопровождении бизнеса в США, странах ЕС, ЛатАм и на Ближнем Востоке. Специализируется на корпоративном структурировании, комплаенсе, KYC/AML, IP, GDPR, а также регулировании crypto и fintech проектов.

Связаться сейчас
SCC GDPR

SCC GDPR

Многие компании узнают о SCC (Standard Contractual Clauses) не тогда, когда строят комплаенс системно, а когда уже возникла проблема. К примеру: европейский клиент просит подписать SCC перед стартом сотрудничества; инвестор или заказчик проводит due diligence и видит пробелы в data transfer framework; компания использует CRM, email-платформы, cloud-сервисы или внешние подрядчики за пределами ЕС, но не оформила передачу данных должным образом; DPA подписан, но transfer mechanism отсутствует; бизнес работает с данными пользователей из ЕС и считает, что Privacy Policy «на сайте» уже все решает.

На практике SCC — это не про бумажку для галочки. Это о том, может ли компания законно передавать персональные данные за пределы ЕС/ЕЭС, не блокирует ли она сама себе B2B-контракты, корпоративные соглашения, инвестиции или выход на западные рынки.

Именно поэтому SCC — это не только тема для юридической статьи, но и отдельное направление правовой помощи, которое бизнесу часто нужно срочно, предметно и без излишней теории.

SCC GDPR

Что такое SCC простыми словами?

Standard Contractual Clauses (SCC) – это стандартные договорные положения, которые используются как один из правовых механизмов для международной передачи персональных данных в соответствии с GDPR.

Если компания из ЕС или компания, на которую распространяется GDPR, передает данные контрагенту, сервису, подрядчику или групповой компании за пределы ЕС/ЕЭС, такая передача должна быть юридически оформлена надлежащим образом.

И здесь у бизнеса начинаются типичные вопросы:

  • действительно ли у нас есть «международная передача данных»;
  • нужны ли нам SCC, достаточно ли DPA;
  • подходит ли нам типичный шаблон от контрагента;
  • нужно ли делать TIA;
  • не противоречит ли наш договор реальной модели обработки данных;
  • что показывать клиенту, если он требует “GDPR package”.

Именно на эти вопросы и должен отвечать юрист, а не менеджер, просто отправляющий PDF с названием “SCC_final_v3”.

Поолучить консультацию адвоката

Когда бизнес реально нужен SCC?

В большинстве случаев SCC нужны тогда, когда компания:

  1. обрабатывает персональные данные клиентов, пользователей, работников или контрагентов из ЕС;
  2. использует сервисы или подрядчики в третьих странах;
  3. передает данные между компаниями группы, если одна из них находится за пределами ЕС/ЕЭС;
  4. заключает договоры с европейскими клиентами, прямо требующими data transfer documentation;
  5. проходит due diligence, vendor onboarding или compliance review.

То есть SCC – это очень часто не «гипотетическая GDPR-экзотика», а обычная реальность для:

  1. IT-компаний;
  2. SaaS-бизнеса;
  3. маркетинговых агентств;
  4. HR и recruitment-проектов;
  5. e-commerce;
  6. EdTech;
  7. FinTech;
  8. сервисных компаний, работающих с заказчиками из ЕС.

И если говорить откровенно, то у многих бизнесов уже есть международная передача данных, просто не знают об этом. Такое юридическое невежество, конечно, иногда выглядит трогательно. До первого серьезного запроса от клиента.

Также будет полезно: Data Processing Agreement (DPA) для GDPR

Самое распространенное заблуждение: компания думает, что DPA = SCC

Одна из самых частых проблем – бизнес подписал Data Processing Agreement, но не оформил международную передачу данных.

То есть компания формально урегулировала отношения controller/processor, но не закрыла вопрос transfer mechanism under GDPR Chapter V.

В результате возникает ситуация, когда:

  • договор с процессором;
  • privacy docs есть;
  • checkbox на сайте есть;
  • а правовой основы для передачи данных в третью страну нет.

Для клиента это риск. Для нас типичная точка входа в работу.

Что именно болит у клиента и что мы можем по этому продать?

На практике клиент редко приходит и говорит:

“Пожалуйста, подготовьте меня SCC по Module 2 и сделайте Transfer Impact Assessment”.

Обычно он приходит с симптомом. А уж наша задача – правильно продать решение.

Клиент говорит: «Нам прислали SCC на подпись, проверьте»

Что на самом деле стоит по этому запросу:

  • правильный ли модуль выбран;
  • соответствует ли текст реальным ролям сторон;
  • нет ли в документе изменений, которые делают SCC юридически слабыми;
    корректно ли заполнены Annexes;
  • не противоречат SCC основному договору, DPA, Security Addendum или Privacy Policy.

Что мы можем предложить:

  • legal review SCC;
  • red flags memo;
  • negotiation support с контрагентом;
  • сверку SCC с DPA и master services agreement;
  • краткий practical legal opinion для менеджмента.

Клиент говорит: «У нас есть DPA, этого же достаточно?»

В большинстве случаев нет, если есть трансфер в третью страну.

Что мы можем предложить:

  • аудит существующего data processing framework;
  • определение, есть ли международная передача данных;
  • gap analysis между DPA, SCC, privacy documentation и фактической моделью обработки;
  • подготовку полного пакета документов под GDPR

Клиент говорит: «Европейский клиент блокирует контракт через GDPR»

Это уже не теория. Это коммерческая проблема. В этом случае юридическая работа напрямую влияет на продажи клиента.

Что мы можем предложить:

  • срочную подготовку SCC;
  • адаптацию договорного пакета под требования конкретного B2B-клиента;
  • подготовку TIA;
  • participation in contract negotiations;
  • checklist для sales/compliance team клиента.

Клиент говорит: «Мы хотим быть investor-ready / vendor-ready»

Это уже более зрелый запрос. Здесь SCC – часть более широкой data compliance архитектуры.

Что мы можем предложить:

  • data flow mapping;
  • vendor transfer mapping;
  • SCC implementation package;
  • TIA package;
  • DPA/SCC/privacy alignment;
  • подготовку компании к due diligence;
  • audit trail для инвестора, клиента или procurement-команды.

Какие услуги можно сформировать вокруг SCC?

Тему SCC вполне можно продавать не как один документ, а как линейку услуг.

Экспресс-услуга: SCC Review

Подходит, когда клиент уже получил документ от контрагента и хочет быстро понять:

  • можно ли подписывать;
  • какие риски есть;
  • что нужно исправить;
  • соответствует ли документ GDPR.

Это быстрая, понятная и очень продаваемая услуга.

Комплексная услуга: SCC+TIA+DPA Alignment

Подходит для компаний, у которых уже есть или планируется системная работа по данным из ЕС.

В рамках такой услуги можно продавать:

  • анализ модели передачи данных;
  • определение ролей сторон;
  • подготовку или ревью SCC;
  • Transfer Impact Assessment;
  • анализ технологических и организационных средств;
  • обновление DPA;
  • синхронизацию с Privacy Policy и внутренними документами.

Compliance-пакет для бизнеса, выходящего на рынок ЕС

Это уже продукт не только о SCC, но и о готовности бизнеса работать с европейскими данными.

Сюда могут входить:

  • Privacy Policy;
  • Cookie Policy;
  • DPA;
  • SCC;
  • TIA;
  • internal data handling questionnaire;
  • vendor onboarding checklist;
  • субпроцессорная документация;
  • шаблоны ответов для B2B клиентов по GDPR compliance.

Почему SCC – это хороший продукт для юридической практики?

Потому что эта тема объединяет сразу несколько вещей, которые готов оплачивать бизнес:

  1. риск – нарушение GDPR и блокирование сотрудничества;
  2. срочность — документы часто нужны «на вчера»;
  3. коммерческая ценность – без надлежащего пакета клиент может потерять сделку;
  4. масштабируемость – один проект может перерасти в полный GDPR support;
  5. повторяемость – после одного SCC-запроса часто возникают DPA, privacy docs, vendor contracts, TIA, security appendices.

То есть SCC – это не разовая статья «для блога». Это воронка на комплаенс-услуги.

Узнать стоимость адвокатского сопровождения

Что мы проверяем в рамках работы по SCC?

В практической работе мы обычно анализируем:

  1. действительно ли имеет место международная передача данных;
  2. кто есть controller, processor, sub-processor;
  3. есть adequacy decision, требуются ли именно SCC;
  4. какой модуль SCC применяется;
  5. правильно ли заполнены Annexes;
  6. нужен ли Transfer Impact Assessment;
  7. соответствуют ли SCC реальной технической и договорной модели;
  8. есть ли дополнительные риски по Schrems II;
  9. согласованы SCC с DPA, MSA, privacy docs и vendor chain.

Это важно, потому что бизнес часто хочет просто шаблон, а на самом деле требует юридического структурирования трансфера.

Кому особенно стоит заказать работу по SCC?

Чаще всего такая услуга требуется:

  • IT-компаниям и SaaS-платформам;
  • аутсорсинговым и аутстафинговым компаниям;
  • маркетинговым и продуктовым командам, работающим с CRM и email-системами;
  • HR/recruitment бизнеса;
  • компаниям, работающим с европейскими контрагентами;
  • стартапам перед investment round или enterprise sales;
  • группам компаний с трансграничной структурой.

Data Processing Agreement (DPA) для GDPR

Чем мы можем помочь?

Наша команда может сопровождать работу по SCC как в точечном, так и в комплексном формате.

Мы можем помочь с:

  1. анализом, есть ли у вашей модели международная передача персональных данных;
  2. определением ролей сторон в пределах GDPR;
  3. подготовкой или ревью SCC;
  4. проверкой SCC, которые прислал ваш клиент или контрагент;
  5. подготовкой Transfer Impact Assessment (TIA);
  6. приведением в соответствие DPA, SCC и privacy documentation;
  7. юридическим сопровождением переговоров с B2B-клиентами и поставщиками;
  8. подготовкой investor-ready/vendor-ready GDPR пакета.

Мы также можем помочь, если проблема уже возникла: контракт “завис” через GDPR, клиент требует data transfer documentation, procurement не пропускает onboarding или инвестор задает вопрос относительно lawful cross-border data transfers.

SCC – это не очередное формальное приложение к договору. Для бизнеса это инструмент, от какого напрямую зависит: можно ли законно передавать данные за пределы ЕС; будет ли подписан контракт с европейским клиентом; пройдет ли компания due diligence; выглядит ли она зрелой с точки зрения комплаенса. Для юридической практики это, в свою очередь, сильное и коммерческое направление: с четкой болью клиента, понятной ценностью услуги и хорошим потенциалом для расширения в полный GDPR support.

Рассчитайте стоимость услуг

1 вопрос

Вам нужна консультация по GDPR?

Да
Нет

2 вопрос

Вам нужна помощь в разработке DPA?

Да
Нет

3 вопрос

Вас интересует полный GDPR Compliance?

Да
Нет

Вам также может понадобиться:

РЕГИСТРАЦИЯ БИЗНЕСА (ФИРМЫ) В БОЛГАРИИ

Подробнее

Data Processing Agreement (DPA) для GDPR

Подробнее

Залог корпоративных прав

Подробнее

Внесение корпоративных прав в уставный капитал

Подробнее

GDPR compliance для бизнеса

Подробнее

РЕГИСТРАЦИЯ БИЗНЕСА (ФИРМЫ) В ВЕЛИКОБРИТАНИИ

Подробнее
Статьи по теме:
20%
скидка
Если мы не
перезвоним
в течение дня
Консультация
Юридическая компания
Оставьте заявку на юридическую помощь прямо сейчас:
9+ лет на рынке
70+ специалистов практиков
Фиксированная цена
Онлайн / офлайн консультация

ФінТех

SCC GDPR Data Processing Agreement (DPA) для GDPR Инвестиционный договор в сфере криптовалют KYC верификация Инвестирование в криптовалюту — Юридическое сопровождение AML проверка Внедрение Travel Rule систем в Европе Получение лицензии MiCA для CASP в ЕС Юридическая проверка транзакции на AML/CTF Получение CASP в Австрии Открытие крипто-компании (CASP) в Польше Бухгалтерский учет криптовалюты и токенов в Украине Токенизация недвижимости РАСЧЕТЫ КРИПТОВАЛЮТОЙ В УКРАИНЕ Получение лицензии EMI на Мальте Получение лицензии AEMI в Нидерландах Юридическое сопровождение разблокировки криптокошельков Зарегистрировать компанию в Англии Зарегистрировать компанию в Гонконге Лицензия на букмекерский пункт Продление игорных лицензий в Украине Аннулирование игорных лицензий Юридическое сопровождение проверки безопасности криптовалютного кошелька Юридическая проверка криптокошелька Аудит криптобиржи или криптотрейдера Выбор между MetaTrader 4 (MT4) и MetaTrader 5 (MT5) Подключение платформы MetaTrader Купить готовую компанию с MT4 Покупка готовой компании с МТ5 Как получить лицензию Whitelabel MT4/MT5 Сколько стоит лицензия МТ4? Лицензия на казино в сети Интернет ТОКЕНИЗАЦИЯ SPI лицензия в Чехии Лицензия на покер в сети интернет Лицензия на игровой стол Получение SPI в Польше Покупка готовой компании в Сингапуре Лицензия на игровое оборудование Получение лицензии AEMI в Литве Оформление токенизации недвижимости и других активов в Украине и за границей Лицензия на залы игровых автоматов ЛИЦЕНЗИЯ ДЛЯ ПЛАТЕЖНОЙ СИСТЕМЫ НА КИПРЕ Правовое сравнение лицензий на электронные деньги EMI/AEMI и лицензии платежного учреждения PI Открытие брокерского счета в Exante СОЗДАНИЕ ХОЛДИНГОВОЙ КОМПАНИИ НА КИПРЕ Система налогообложения для украинцев в Хорватии Система налогообложения украинцев в Словении Открытие бизнеса в Словакии Система налогообложения украинцев в Словакии Получение криптолицензии в Болгарии Система налогообложения украинцев в Австрии Особенности налогообложения украинцев в Латвии GDPR compliance для бизнеса Legal Opinion Letter — Юридическое заключение Налогообложение украинцев в Эстонии Регистрация спулки по предоставлению р2р услуг в Польше Система налогообложения для украинцев в Канаде Лицензирование поставщиков виртуальных валют в Испании Открытие банковского счета в Турции для юридического лица Система налогообложения для украинцев в Италии Получение гемблинг лицензии Кюрасао Система налогообложения для украинцев в Ирландии EMI лицензия Открытие счета в платежной системе Открытие счета в Payoneer для юридических лиц Налогообложение украинцев в Германии Покупка готовой компании с лицензией EMI Получение лицензии на казино в Украине Юристы в сфере технологии блокчейн Налогообложение украинцев в Британии Налогообложение для украинцев в Чехии Лицензирование криптовалютной деятельности во Франции Юридическое сопровождение покупки готовой компании с Форекс лицензией СИСТЕМА НАЛОГООБЛОЖЕНИЯ ДЛЯ УКРАИНЦЕВ В ИСПАНИИ Релокация бизнеса на территорию Европейского Союза Релокация бизнеса в Европу Регистрация ООО (BV) в Нидерландах Регистрация предпринимателя в Нидерландах Купить компанию с криптолицензией Купить готовую компанию с оборотами в Украине Купить готовую компанию с брокерским счетом в Украине Купить готовую компанию в Эстонии Купить готовую компанию в Польше Купить готовую компанию в ОАЭ (Дубаи) Купить готовую компанию в Гонконге со счетом Купить готовую брокерскую компанию с лицензией в Украине Регистрация ООО в Болгарии Самозанятое лицо (ИП) на Мальте Покупка готовой компании с MetaTrader 4 Регистрация ФЛП (ЭТ) в Болгарии Зарегистрировать компанию в США Регистрация компании в Великобритании Готовая компания с лицензией на криптовалюту Система налогообложения на Мальте Регистрация компании на Мальте Оптимизация налоговой нагрузки в Великобритании Как разблокировать денежный счет на биржах и других денежных учреждениях? Разблокирование криптокошельков на биржах и других финансовых учреждениях Консультация по налогообложению в Европе Регистрация компании на Кипре Регистрация ИП в Великобритании Открытие индивидуального предприятия в Чехии Регистрация ООО в Великобритании Регистрация индивидуального предпринимателя в Латвии Регистрация компании в Латвии Открытие индивидуального предприятия в Германии Сравнение MetaTrader 4 и MetaTrader 5 Открытие счета в платежных системах FOREX юрисдикции Расторжение ГИГ-контракта РЕГИСТРАЦИЯ КОМПАНИИ (ООО) В ЧЕХИИ Регистрация ИП для IT в Европе Система налогообложения в Австрии Система налогообложения на Кипре Услуги MLRO – специалиста Открытие GmbH в Германии Регистрация индивидуального предпринимателя в Австрии Получение Форекс-лицензии Лицензия на торговлю криптовалютами Регистрация оффшорной компании Аудит смарт контрактов Регистрация компании GMBH (ООО) в Австрии РЕГИСТРАЦИЯ КОМПАНИИ (ООО) В ЭСТОНИИ ПОЛУЧЕНИЕ ГЕМБЛИНГ ЛИЦЕНЗИИ В АНЖУАНЕ РАЗРАБОТКА AML-ПОЛИТИКИ РЕГИСТРАЦИЯ КРИПТО-КОМПАНИИ В КОСТА-РИКЕ Лицензия на игорный бизнес в Украине РЕГИСТРАЦИЯ ИНДИВИДУАЛЬНОГО ПРЕДПРИНИМАТЕЛЯ В ИСПАНИИ ПОЛУЧЕНИЕ КРИПТОЛИЦЕНЗИИ В КЫРГЫЗСТАНЕ ПОЛУЧЕНИЕ КРИПТОЛИЦЕНЗИИ В САЛЬВАДОРЕ Получение гемблинг лицензии в Великобритании РЕГИСТРАЦИЯ БИЗНЕСА В КОСТА-РИКЕ ПОЛУЧЕНИЕ ЛИЦЕНЗИИ EMI В КАЗАХСТАНЕ ПОЛУЧЕНИЕ КРИПТОЛИЦЕНЗИИ В ИТАЛИИ ОФОРМЛЕНИЕ ГИГ-КОНТРАКТА ПОЛУЧЕНИЕ КРИПТОЛИЦЕНЗИИ В ГИБРАЛТАРЕ СМАРТ-КОНТРАКТЫ: БУДУЩЕЕ СОГЛАШЕНИЙ НА ОСНОВЕ БЛОКЧЕЙН -ТЕХНОЛОГИЙ И ИХ ЮРИДИЧЕСКОЕ СОПРОВОЖДЕНИЕ ПОЛУЧЕНИЕ КРИПТОЛИЦЕНЗИИ В КАЗАХСТАНЕ ПОЛУЧЕНИЕ КРИПТО ЛИЦЕНЗИИ В ШВЕЙЦАРИИ ЮРИДИЧЕСКОЕ СОПРОВОЖДЕНИЕ РАЗБЛОКИРОВАНИЯ КРИПТОАКТИВОВ ЮРИДИЧЕСКИЕ УСЛУГИ ПО СОПРОВОЖДЕНИЮ WEB 3.0 ПОЛУЧЕНИЕ КРИПТО ЛИЦЕНЗИИ В СИНГАПУРЕ Открытие банковского счета для крипто бизнеса ОТКРЫТИЕ БАНКОВСКОГО СЧЕТА ДЛЯ ГЕМБЛИНГА Открытие банковских счетов для High-Risk бизнеса РЕГИСТРАЦИЯ КОМПАНИИ В ГОНКОНГЕ Игровая лицензия (гемблинг) на Мальте ПОЛУЧЕНИЕ КРИПТО ЛИЦЕНЗИИ В СЛОВАКИИ ПОЛУЧЕНИЕ ПЛАТЕЖНОЙ ЛИЦЕНЗИИ EMI В ЛИТВЕ ПОЛУЧЕНИЕ КРИПТО ЛИЦЕНЗИИ НА КЮРАСАО Получение платежной лицензии SPI Получение платежной лицензии API (Application Programming Interface) Подключение к MetaTrader 5 ПОЛУЧЕНИЕ КРИПТОЛИЦЕНЗИИ В ГОНКОНГЕ Получение платежной лицензии на Белизе ПОЛУЧЕНИЕ SVF ЛИЦЕНЗИИ В СИНГАПУРЕ ПОЛУЧЕНИЕ ФОРЕКС ЛИЦЕНЗИИ ВАНУАТУ ПОЛУЧЕНИЕ АЕМІ ЛІЦЕНЗИИ В ВЕЛИКОБРИТАНИИ ПОЛУЧЕНИЕ ЛИЦЕНЗИИ MSB КАНАДА ПОЛУЧЕНИЕ КРИПТО ЛИЦЕНЗИИ В ЛИТВЕ ПОЛУЧЕНИЕ КРИПТО ЛИЦЕНЗИИ В ПОЛЬШЕ ПОЛУЧЕНИЕ КРИПТО ЛИЦЕНЗИИ В ЧЕХИИ РЕГИСТРАЦИЯ БАНКОВСКОГО СЧЕТА В ГОНКОНГЕ СОПРОВОЖДЕНИЕ ICO Как подключить платформу metatrader? РЕГИСТРАЦИЯ БАНКА НА КИПРЕ ПОЛУЧЕНИЕ КРИПТО ЛИЦЕНЗИЙ В ЕС ПОЛУЧЕНИЕ ЛИЦЕНЗИИ НА КАЗИНО ПОЛУЧЕНИЕ ФОРЕКС-ЛИЦЕНЗИЙ ПОЛУЧЕНИЕ ЛИЦЕНЗИИ НА БЕТТИНГ ПОЛУЧЕНИЕ ЛИЦЕНЗИИ MSO В ГОНКОНГЕ ПОЛУЧЕНИЕ КРИПТО ЛИЦЕНЗИИ В ЭСТОНИИ ПОЛУЧЕНИЕ ПОКЕР-ЛИЦЕНЗИИ ПОЛУЧЕНИЕ КРИПТО ЛИЦЕНЗИИ В ОАЭ ПОЛУЧЕНИЕ ЛИЦЕНЗИИ EMI, AEMI ПОЛУЧЕНИЕ КРИПТО ЛИЦЕНЗИИ В ГРУЗИИ ПОЛУЧЕНИЕ ЛИЦЕНЗИИ API, PI, PSP ПОЛУЧЕНИЕ ЛИЦЕНЗИИ НА ЛОТЕРЕИ В КЮРАСАО ПОЛУЧЕНИЕ ЛИЦЕНЗИИ НА ЛОТЕРЕИ CYPRUS INVESTMENT FIRM STP BROKER ГОТОВЫЕ КОМПАНИИ С БРОКЕРСКИМИ ЛИЦЕНЗИЯМИ ПОЛУЧЕНИЕ ЛИЦЕНЗИИ EMI В ЕВРОПЕ