4 czerwca br. Komisja Europejska przyjęła nowe zestawy standardowych klauzul umownych (ang. standard contractual clauses, SCC). Publikacja dwóch decyzji wykonawczych w ich sprawie nastąpiła po trzech dniach, tj. 7 czerwca 2021 r. Każda z decyzji, wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym UE, tj. 27 czerwca 2021 r.
Czym są standardowe klauzule umowne przyjęte przez KE? Kto i kiedy może z nich korzystać?
Dwie decyzje wykonawcze Komisji Europejskiej
Jak już wskazano we wstępie, Komisja Europejska przyjęła dwie decyzje w sprawie standardowych klauzul umownych i są to:
oraz
Projekty obu tych decyzji zostały przedstawione w listopadzie 2020 r. Do 10 grudnia 2020 r. Komisja Europejska przyjmowała opinie w ich sprawie. W styczniu 2021 r. wspólne opinie w tym zakresie przyjęły Europejska Rada Ochrony Danych (EROD) i Europejski Inspektor Ochrony Danych (EIOD).
SCC dotyczące przekazywania danych osobowych do państw trzecich
Pierwszy zestaw standardowych klauzul umownych przyjętych przez Komisję Europejską dotyczy przekazywania danych osobowych do państw trzecich na podstawie RODO.
Zgodnie z art. 46 ust. 1 RODO, w razie braku decyzji KE stwierdzającej odpowiedni stopień ochrony, przekazywanie danych osobowych do państwa trzeciego (tj. poza Europejski Obszar Gospodarczy) możliwe jest wyłącznie, gdy zapewnione zostaną odpowiednie zabezpieczenia. Takie zabezpieczenia można zapewnić właśnie za pomocą standardowych klauzul ochrony danych przyjętych przez Komisję Europejską.
Jak już wskazywaliśmy w naszym artykule dotyczącym przekazywania danych osobowych do państw trzecich, SCC przyjęte przez KE to zdecydowanie jedno z najprostszych narzędzi transferowych.
Standardowe klauzule ochrony są w praktyce formą umowy pomiędzy eksporter a importerem danych. Odbiorca zobowiązuje się w nich do przestrzegania określonych zasad przetwarzania danych osobowych.
Dotychczas obowiązywały trzy decyzje zawierające zestawy standardowych klauzul umownych. Wydawane one były odpowiednio w 2001, 2004 oraz 2010 r. Od ich przyjęcia wiele się jednak zmieniło. W 2018 r. rozpoczęto stosowanie RODO, w 2020 r. TSUE wydał kolejny przełomowy dla transferów danych wyrok (tzw. Schrems II), nie mówiąc już o ciągłych zmianach gospodarczych i technologicznych, które mają wpływ na sposoby przetwarzania danych osobowych.
Zaszła zatem potrzeba modernizacji i dostosowania SCC do obecnych realiów. Wynikiem realizacji tej potrzeby, są standardowych klauzul umownych przyjętych przez Komisję Europejską w czerwcu br.
Podział standardowych klauzul umownych na moduły
Nowe standardowe klauzule umowne łączą klauzule ogólne z podejściem modułowym, tak aby uwzględnić różne scenariusze przekazywania danych i złożoność łańcuchów przetwarzania.
Oprócz klauzul ogólnych administratorzy i podmioty przetwarzające powinni zatem wybrać moduł mający zastosowanie do ich sytuacji, aby dostosować obowiązki spoczywające na nich na mocy klauzul do roli i obowiązków, jakie pełnią w związku z przetwarzaniem danych. SCC przewidują cztery moduły:
- PIERWSZY: Przekazywanie między administratorami
- DRUGI: Przekazywanie przez administratora podmiotowi przetwarzającemu
- TRZECI: Przekazywanie między podmiotami przetwarzającymi
- CZWARTY: Przekazywanie przez podmiot przetwarzający administratorowi
Chcąc skutecznie wykorzystać SCC jako podstawę transferu danych osobowych nie można modyfikować ich treści. Nie dotyczy to jednak modyfikacji dokonanej w celu wyboru odpowiedniego modułu i jego uzupełniania lub w celu dodania informacji do dodatku lub aktualizacji takich informacji.
Transfer danych do państw trzecich na podstawie SCC – ważne daty
Nowe zestawy standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich zostały opublikowane w Dzienniku Urzędowym Unii Europejskiej w dniu 7 czerwca 2021 r. i w konsekwencji wejdą w życie 27 czerwca 2021 r.
Nowe SCC pozwalają na dalsze wykorzystywanie starych SCC do „nowych” (po 27 czerwca br.) transferów danych osobowych przez trzymiesięczny okres przejściowy po publikacji w Dzienniku Urzędowym Unii Europejskiej (tj. do 27 września 2021 r.).
Stare SCC mogą być nadal wykorzystywane do istniejących transferów przez okres do 18 miesięcy po opublikowaniu w Dzienniku Urzędowym UE. Oznacza to, że przeniesienie dotychczasowych transferów danych osobowych ze starych na nowe SCC powinno nastąpić do 27 grudnia 2022 r.
SCC dotyczące powierzenia przetwarzania danych osobowych
Drugi zestaw przyjętych przez Komisję Europejską standardowych klauzul umownych, stanowi wzorzec postanowień umów powierzenia przetwarzania danych osobowych, które zawierane są pomiędzy administratorami a podmiotami przetwarzającymi (procesorami). Co ważne, nie służą one do przekazywania danych osobowych do państw trzecich!
Opracowane przez organ wykonawczy UE klauzule, odnoszą się zarówno do przepisów RODO, jak i do przepisów rozporządzenia 2018/1725, które dotyczy przetwarzania danych osobowych przez instytucje i organy unijne.
Celem klauzul, jest zapewnienie harmonizacji występujących na terenie Unii Europejskiej relacji powierzenia przetwarzania danych osobowych. Dzięki SCC, każdy administrator, który zamierza powierzyć do przetwarzania dane osobowe innemu podmiotowi, będzie miał pewność, jak zrobić to zgodnie z RODO.
Podział klauzul na części
Przyjęte przez Komisję Europejską klauzule składają się z dwóch części:
Ogólnej, która zawiera postanowienia zasadniczo nie wymagające uzupełnień, są to m.in. postanowienia dotyczące:
- zobowiązania procesora do działania zgodnie z poleceniami administratora,
- ograniczenia celu powierzenia,
- korzystania z usług podmiotów podprzetwarzających,
- współpracy administratora i podmiotu przetwarzającego w przypadku realizacji wniosków osób, których dane są przetwarzane,
- zgłaszania naruszenia ochrony danych osobowych, czy też
- zwrotu lub usunięcia danych po rozwiązaniu umowy,
Szczegółowej, która składa się składa się z czterech załączników. Należy je uzupełnić w taki sposób, aby odpowiadały one kontekstowi konkretnej sytuacji. W załącznikach należy wskazać:
- strony umowy,
- szczegółowe informacje o przetwarzaniu, tj. kategorie osób, których dane osobowe są przetwarzane, kategorie przetwarzanych danych osobowych, charakter, cele oraz czas przetwarzania,
- środki techniczne i organizacyjne, w tym środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych,
- wykaz podmiotów podprzetwarzających.
SCC opracowane przez Komisję Europejską nie są uniwersalnym wzorem umowy, który można zastosować w każdym przypadku bez żadnych zmian czy uzupełnień. Ich wykorzystanie przez administratorów i procesorów wymaga ich dostosowania do konkretnego przypadku powierzenia przetwarzania danych osobowych.
Co istotne, korzystanie ze standardowych klauzul umownych opracowanych przez Komisję Europejską nie jest obowiązkowe. Administrator oraz procesor w ramach łączącej ich relacji, mogą posługiwać się własnym wzorem umowy powierzenia przetwarzania danych osobowych, z zastrzeżeniem, że spełnia ona wskazane w art. 28 RODO warunki.
Umowa powierzenia
Trzy gotowe i sprawdzone szablony umowy powierzenia zgodnej z RODO z instrukcją wypełniania.
Zobacz co otrzymasz w pakiecie.
SCC organów nadzorczych
Standardowe klauzule umowne w zakresie umów powierzenia przetwarzania danych osobowych mogą być również opracowywane przez krajowe organy nadzorcze.
Do dzisiaj, jedynymi takimi klauzulami, które zostały opublikowane na stronie Europejskiej Rady Ochrony Danych, są standardowe klauzule umowne duńskiego organu nadzorczego. EROD opublikowała klauzule po tym, jak duński organ nadzorczy wprowadził zmiany do ich projektu, zgodnie z jej rekomendacjami.
W maju 2020 r. EROD wydała również opinię na temat klauzul dotyczących umów powierzenia przygotowanych przez słoweński organ nadzorczy.
Warto przypomnieć, że w styczniu 2019 r. Prezes UODO ogłosił, że zamierza przyjąć standardowe klauzule umowne w zakresie umów powierzenia przetwarzania danych i rozpoczął konsultacje w ich sprawie. Termin zgłoszenia stanowisk upłynął 1 lutego 2019 r. Do tej pory jednak, polski organ, ani nie odniósł się do zgłoszonych uwag, ani nie przedstawił swoich propozycji klauzul.
Podsumowanie
Na decyzję KE w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich, która uwzględniałaby postanowienia RODO, czekaliśmy ponad trzy lata. Jej przyjęcie niewątpliwie przyspieszył wyrok Trybunału Sprawiedliwości UE z 2020 r. tzw. Schrems II.
Klauzule umowne dotyczące powierzenia przetwarzania są z kolei cenną wskazówką co do tego, jak administratorzy oraz procesorzy powinni prawidłowo realizować wymagania, jakie RODO stawia w przypadkach zlecenia przetwarzania danych osobowych na zewnątrz.
Źródła:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych osobowych)
- Dziennik Urzędowy Unii Europejskiej L 199 Rocznik 64 7 czerwca 2021
- Decyzja wykonawcza Komisji (UE) 2021/914 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679
- Decyzja wykonawcza Komisji (UE) 2021/915 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi na podstawie art. 28 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 oraz art. 29 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.