Cross-border передача персональних даних та SCC 2021 (Standard Contractual Clauses) — це механізм за ст. 44-49 Регламенту (ЄС) 2016/679 (GDPR) + ст. 24-1 Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI, що дозволяє ТОВ/ФОП-Контролеру правомірно передавати персональні дані до країн поза EU/EEA. Базова форма — Implementing Decision (EU) 2021/914 від 04.06.2021 (SCC 2021). Для cross-border передачі обов'язково: 1) adequacy decision Комісії; 2) SCC 2021 з модулями C2C/C2P/P2P/P2C; 3) BCR (Binding Corporate Rules); 4) certifications/codes of conduct; 5) виключні підстави (consent, contract, vital interests).
Коли потрібен SCC для українського бізнесу
Будь-яке передання персональних даних поза EU/EEA + поза країнами з adequacy decision → потрібен SCC + Transfer Impact Assessment (TIA):
- Український ТОВ + AWS us-east-1 (Virginia, USA) → SCC 2021 модуль C2P + перевірка DPF (Data Privacy Framework) status.
- Український ТОВ + India outsourcing → SCC 2021 + TIA (India не має adequacy decision).
- Український ТОВ + UK customer base → SCC 2021 не потрібен, бо UK має adequacy decision до 2025+.
- Український ТОВ + EU customer + Switzerland processor → SCC 2021 не потрібен (Switzerland — adequacy decision).
- Український ТОВ + Singapore SaaS → SCC 2021 + TIA.
- EU-companies + Ukraine controller (наш ТОВ) → SCC 2021 не потрібен бо Україна has adequacy для EU.
Adequacy decisions — поточний статус 2026
EU Commission визнала "adequate level of protection" для:
| Країна / регіон | Adequacy date | Status 2026 |
|---|---|---|
| Andorra | 2010 | ✅ active |
| Argentina | 2003 | ✅ active |
| Canada (commercial) | 2001 | ✅ active |
| Faroe Islands | 2010 | ✅ active |
| Guernsey | 2003 | ✅ active |
| Israel | 2011 | ✅ active |
| Isle of Man | 2004 | ✅ active |
| Japan | 2019 | ✅ active |
| Jersey | 2008 | ✅ active |
| New Zealand | 2012 | ✅ active |
| Republic of Korea | 2021 | ✅ active |
| Switzerland | 2000 | ✅ active |
| Uruguay | 2012 | ✅ active |
| United Kingdom | 2021 | ✅ active (4-year review 2025) |
| Ukraine | (preparation 2024+) | partial — окремі рішення для specific scenarios |
| USA | 2023 (DPF) | ✅ partial — лише for DPF-certified companies |
Critical для України: EU still has not adopted full adequacy decision for Ukraine (як з UK), але draft 2024+ під обговоренням. Practice 2026: транскордонна передача EU→Ukraine використовує SCC 2021 модуль C2C/C2P + у деяких ситуаціях посилання на art. 49 GDPR (necessary for performance of contract).
SCC 2021 — 4 модулі
Implementing Decision (EU) 2021/914 пропонує 4 модульні clauses:
Модуль 1: Controller-to-Controller (C2C)
- Обидві сторони — Controllers; обмінюються даними для незалежної подальшої обробки.
- Use case: український ТОВ передає партнерську базу EU-компанії для co-marketing.
Модуль 2: Controller-to-Processor (C2P) — найпопулярніший
- Контролер передає Процесору (зазвичай SaaS/cloud) для обробки за інструкціями.
- Use case: український ТОВ-Контролер + AWS-Processor.
Модуль 3: Processor-to-Processor (P2P)
- Процесор передає sub-Процесору (chain processing).
- Use case: український ТОВ-агенція-Процесор передає Mailchimp-sub-Процесору для розсилок.
Модуль 4: Processor-to-Controller (P2C)
- Процесор повертає / надає дані іншому Контролеру.
- Use case: український ТОВ-Процесор обробив дані, повертає їх до EU-Контролера.
SCC 2021 структура:
- Section I: Purpose, scope and definitions
- Section II: Obligations of the Parties (per module)
- Section III: Local laws and obligations in case of access by public authorities
- Section IV: Final provisions
- Annex I: List of parties / description of transfer / competent supervisory authority
- Annex II: Technical and organisational measures
- Annex III: List of sub-processors (для C2P, P2P)
Покроково: впровадження SCC 2021 в український DPA
- Map data flows. Які дані куди передаються. List кожного cross-border transfer separately.
- Adequacy check. Якщо receiving country has adequacy decision → SCC не потрібен. Якщо ні → continue.
- Identify SCC module. C2C / C2P / P2P / P2C — based на role of sending and receiving party.
- Sign SCC document. SCC 2021 — стандартний document; sign as Annex до DPA. Не змінювати clauses (зміни порушують validity).
- Annex I.A: List of parties. Identity, contact, role.
- Annex I.B: Description of transfer. Categories of data, special categories (yes/no), categories of subjects, frequency, nature, purpose, retention, transfers to sub-processors.
- Annex I.C: Competent supervisory authority. EU sender — DPA від EU member state (e.g., CNIL для France). Ukraine sender + EU receiver — Уповноважений ВРУ + EU DPA.
- Annex II: Technical and organisational measures. Encryption, access control, pseudonymisation, certifications (ISO 27001, SOC 2).
- Annex III: Sub-processors (C2P, P2P). List + jurisdictions + nature.
- Transfer Impact Assessment (TIA). Оцінка, чи країна-receiver забезпечує protection comparable to GDPR. Для US — assess Section 702 FISA, Executive Order 12333, post-Schrems II considerations.
- Document everything — accountability per ст. 5(2) GDPR.
Transfer Impact Assessment (TIA) — обов'язкова складова
Введений Schrems II (CJEU 2020): SCC сам по собі недостатній, потрібен TIA для оцінки чи країна-receiver забезпечує "essentially equivalent" protection.
TIA містить:
- Identification of transfer. Country, recipient, data categories.
- Local law analysis. Surveillance laws, judicial review, redress mechanisms.
- Risk assessment. Likelihood of access by public authorities + impact.
- Supplementary measures. Encryption, pseudonymisation, contractual safeguards, organisational measures.
- Documentation + decision. Якщо протекція не достатня навіть з supplementary measures → не передавати.
Critical countries for TIA 2026: USA (Section 702 + EO 14086), China, India, Russia (sanctioned), Saudi Arabia, UAE.
EU-US Data Privacy Framework (DPF) 2023
Adopted 10.07.2023 — replaces Privacy Shield (invalidated Schrems II 2020).
Conditions:
- US company self-certifies до DPF program at dataprivacyframework.gov.
- Subject to FTC enforcement.
- Independent recourse mechanism.
- Подвійна authority oversight (Privacy and Civil Liberties Oversight Board + Data Protection Review Court).
Practice: AWS, Google, Microsoft, Meta, Salesforce — DPF certified. Перевірка status — обов'язкова перед relying on DPF.
Critical: DPF != adequacy для всіх US transfers; only for DPF-certified companies. Non-DPF US companies — потрібен SCC + TIA.
Часті помилки cross-border DPA
1. Storing data в US-region без SCC. ТОВ запускає AWS us-east-1 без SCC модуля C2P. Recipe: EU-region (Frankfurt/Ireland) або SCC + TIA.
2. SCC без TIA. SCC підписаний, але TIA не проведений — порушення Schrems II. Recipe: TIA documented + reviewed annually.
3. Зміни в SCC clauses. ТОВ змінює clause 6 (security measures) "для convenience". Result: SCC invalid. Recipe: не змінювати clauses; supplementary measures у Annex II.
4. Без list sub-процесорів у Annex III. C2P / P2P modules require sub-processor list. Recipe: living document + 30-day notice updates.
5. Без notification suspecт про cross-border. Privacy Notice не згадує транскордонну передачу. Recipe: Privacy Notice include "країни / safeguards / right of objection".
6. UK transfers після Brexit. Хто думав, що UK = EU. Recipe: UK has separate adequacy decision (2021); UK GDPR + International Data Transfer Agreement (IDTA) для UK→non-adequate countries.
7. Sub-процесори у sanctioned countries. Russian sub-processor = OFAC + EU sanctions risk. Recipe: annual sub-processor review + restrictions list.
Воєнний стан 2026: розширені cross-border можливості
ЗУ № 2122-IX + Розпорядження КМУ № 360-р (2022) розширили можливості зберігання даних поза Україною для resilience:
- Спрощений режим cross-border до країн з adequacy decision EU (Frankfurt, Ireland, UK, Switzerland) — для backup + resilience.
- DPF-certified US providers — допустимі для resilience (з SCC + TIA).
- Дiя реєстри — частина даних на AWS eu-region.
FAQ
Чи можу я використати legacy SCC (2010)? НІ. SCC 2010 invalidated 27.12.2022 — після transition period. Тільки SCC 2021. Якщо ваш DPA посилається на SCC 2010 — терміново update.
Чи Schrems III ризикує DPF? NOYB (Max Schrems organization) подав скаргу до DPF у 2023. Поточний status: DPF active, але ризик майбутньої invalidation existing. Recipe: SCC 2021 + supplementary measures навіть для DPF-certified processors.
Що таке supplementary measures? Додаткові технічні / договірні / організаційні заходи поверх SCC: end-to-end encryption з keys у sender's country, pseudonymisation, contractual obligations про challenge surveillance requests, transparency reports. EDPB Recommendations 01/2020 — guidance.
Чи 2025 SCCs готові? EU Commission відкрила консультації Q4 2024. Initial expectation — Q2 2025. На 2026-05-10 нові SCCs ще не опубліковані. Поточна версія 2021/914 залишається чинною.
Чи Україна має adequacy decision EU? Не повну — Ukraine у preparation status (2024+). Practice 2026: транскордонна передача EU→Ukraine використовує SCC 2021 модулі. Очікується full adequacy 2026-2027.
AGENTIS — інформаційний інструмент. Не замінює адвоката і не є юридичною консультацією.
Готовий шаблон DPA з SCC 2021 модулем + TIA template — згенеруйте чернетку DPA через AGENTIS.
Пов'язані матеріали:
- Pillar: Договір про обробку персональних даних
- DPA з cloud-провайдером AWS GCP Azure
- GDPR ст. 28 — повний огляд
- Закон № 2297-VI повний огляд
Зовнішні джерела: SCC 2021 на commission.europa.eu · GDPR Art. 44-49 · EU-US Data Privacy Framework