Standardowe klauzule umowne

BySylwia Ostrowska
standardowe klauzule umowneCzym są standardowe klauzule umowne

Ogólne Rozporządzenie o Ochronie Danych (RODO) zawiera ograniczenia w zakresie przekazywania danych do państw trzecich (państw poza Europejskim Obszarem Gospodarczym, „EOG”). Ma to istotne konsekwencje dla międzynarodowego przepływu danych osobowych, szczególnie w dobie globalizacji, w tym rozwoju outsourcingu usług, gdzie wytworzyły się niezliczone scenariusze transgranicznego przesyłania danych. Scenariusze te mogą obejmować usługi np. w zakresie marketingu, obsługi klientów czy obsługi IT. Pojawienie się daleko idących przepisów dotyczących prywatności danych stworzyło blokady na drodze do swobodnego przepływu danych osobowych, w szczególności poza obszar EOG.

Transfer danych osobowych poza Europejski Obszar Gospodarczy

Według RODO, transfer danych do państw trzecich to przekazanie danych osobowych poza bezpieczny obszar w rozumieniu przepisów ogólnego rozporządzenia. Transferem może być między innymi udostępnienie danych osobowych administratorowi mającemu siedzibę poza EOG jak i powierzenie danych osobowych podmiotowi przetwarzającemu mającemu siedzibę poza EOG. W zakresie transferu danych należy w szczególności uwzględnić dwie grupy Państw. Pierwsza grupa to kraje względem których Komisja Europejska wydała decyzję stwierdzającą wysoki stopień ochrony danych (zobacz listę krajów). Drugą grupę stanowią państwa wobec których takiej decyzji nie wydano. W sytuacji transferu danych do krajów z grupy pierwszej, transfer taki dokonywany jest na takich samych zasadach jak z przekazywaniem danych pomiędzy podmiotami wewnątrz EOG. Odmiennie wygląda sytuacja w przypadku krajów z grupy drugiej, gdzie w sytuacji dokonywania takiego transferu z pomocą mogą przyjść SKU.

Legalność transferu danych do Państwa trzeciego

Dokonując transferu danych możemy skorzystać z kilku wyjątków, które pozwalają na dokonanie takiego przetwarzania. Mowa tu jest o decyzji stwierdzającej odpowiedni stopień ochrony (art. 45 RODO) lub skorzystanie z odpowiednich zabezpieczeń (art. 46 RODO).  Istnieje również możliwość odstępstw w szczególnych sytuacjach (art. 49 RODO). Odpowiednie zabezpieczenia obejmują kilka mechanizmów, takich jak wiążące reguły korporacyjne (art. 47 RODO), zatwierdzone kodeksy postępowania (art. 40 RODO) lub właśnie standardowe klauzule umowne (art. 93 RODO).

Cel stosowania Standardowych Klauzul Umownych

Celem klauzul jest zapewnienie odpowiednich zabezpieczeń ochrony danych osobowych przy dokonywaniu transferu danych osobowych do państwa trzeciego. Klauzule stanowią wzorcowe zapisy, zatwierdzone przez Komisję Europejską. Nie należy jednak traktować ich jako kompleksowego uregulowania kwestii transferu danych osobowych. Zaleca się uzupełnianie standardowych klauzul umownych o dodatkowe zabezpieczenie danych dostosowane do konkretnych okoliczności i potrzeb stron umowy. Należy pamiętać, że takie dodatkowe postanowienia nie mogą pozostawać w sprzeczności z treścią klauzul ani naruszać podstawowych praw lub wolności osób, których dane dotyczą.

Aktualizacja Standardowych Klauzul Umownych

W 2021 roku Komisja Europejska zaktualizowała klauzule. Nowe standardowe klauzule umowne (więcej na stronie: Urzędu Ochrony Danych Osobowych) zastępują poprzednie przyjęte w 2001 i 2004 r. Przewidziano trzymiesięczny okres przejściowy od wejścia w życie nowych standardowych klauzul umownych (tj. do września 2021 r.). i zgodnie z przepisami „stare” standardowe klauzule umowne od 27 grudnia 2022 r., w tym te podpisane przed czerwcem 2021 r., nie mogą już być wykorzystywane do zgodnego z prawem przekazywania danych do państwa trzeciego.

Należałoby więc przejrzeć podpisane umowy w ramach, których występuje transfer danych osobowych do Państwa trzeciego pod kątem zgodność z nowymi wymogami prawnymi.

Zastosowanie Standardowych Klauzul Umownych

Struktura nowych Klauzul jest modułowa i umożliwia transfery danych osobowych:

  • od Administratora do Administratora (moduł 1);
  • od Administratora do Podmiotu przetwarzającego (moduł 2);
  • od podmiotu przetwarzającego do podwykonawcy przetwarzania (moduł 3);
  • od Podmiotu przetwarzającego do Administratora (moduł 4).

Możliwość objęcia przekazywania danych od podmiotu przetwarzającego do jego podwykonawcy jest już dawno spóźniona. Rozwiązuje istniejący od dawna problem polegający na próbach uzasadnienia przekazywania danych przez podmioty przetwarzające do państw trzecich. Przepisy te są zasadniczo rozsądne, chociaż istnieją pewne interakcje między podwykonawcą przetwarzania a administratorem. Mogą one być trudne do zorganizowania w relacji handlowej. Na przykład, jeśli podwykonawca przetwarzania chce korzystać z dalszych podwykonawców przetwarzania danych, musi uzyskać zgodę administratora. Standardowe Klauzule Umowne są również zaprojektowane tak, aby działać na zasadzie wielostronnej. Dzięki czemu jeden zestaw klauzul obejmuje przekazywanie danych osobowych między wieloma stronami. Do tego dochodzi „klauzula dokująca”, która pozwala na dodawanie nowych stron w miarę upływu czasu.

Obowiązki Podmiotów przy zastosowaniu Standardowych Klauzul Umownych

Standardowe klauzule umowne nakładają na podmioty uproszczone obowiązki wynikające z RODO, poparte prawami osób trzecich dla osób, których dane dotyczą. Niektóre z tych obowiązków są nowe (wynikają z RODO), inne istniały już w starych klauzulach. Szczególne obowiązki nakładane zarówno na eksportera jak i importera danych mogą dotyczyć takich kwestii jak:

  • Ograniczenie celu: należy wykorzystywać dane osobowe wyłącznie do celów opisanych w umowie, chyba że uzyska zgodę osoby, której dane dotyczą, przetwarzanie jest niezbędne do dochodzenia roszczeń lub ochrony żywotnych interesów.
  • Przejrzystość: należy przekazywać osobom, których dane dotyczą informacje
    o przetwarzaniu danych osobowych.
  • Bezpieczeństwo: należy zapewnić bezpieczeństwo danych osobowych na podstawie dokonanej analizy ryzyka.
  • Dalsze przekazywanie: należy ustanowić szczególne kontrole dotyczące dalszego przekazywania do stron trzecich spoza UE.
  • Praw osób, których dane dotyczą: należy przestrzegać praw osób, których dane dotyczą, w tym praw dostępu osób, których dane dotyczą, oraz praw do poprawiania, sprzeciwu i usuwania danych osobowych.
  • Mechanizm składania skarg: należy zapewnić proces rozpatrywania skarg dla osób, których dane dotyczą.
  • Poddania się jurysdykcji: podmiot odbierający dane musi poddać się jurysdykcji UE. Obejmuje to poddanie się jurysdykcji odpowiednich organów nadzorczych i sądów, w których osoby, których dane dotyczą, mają miejsce zamieszkania.
  • Innych zasad w tym: zasady dokładności, minimalizacji i retencji danych.

W związku z tym, że w ostatnich latach znacznie wzrosło ryzyko związane z przepisami postępowaniami cywilnymi dotyczącymi nieprzestrzegania wymogów ochrony danych, eksporterzy i importerzy danych powinni przewidzieć dokładną kontrolę ich zgodności z nowymi klauzulami.

Działania, które należy podjąć przed transferem danych do państwa trzeciego

Należy się zastanowić czy taki transfer danych jest w ogóle dopuszczalny. Konieczne jest przeprowadzenie analizy ryzyka dla praw i wolności podmiotów danych, jakie wyniknie z transferu danych. W kontekście analizy ryzyka należy w szczególności przeanalizować fakty i okoliczności przekazania (np. charakter danych, czas trwania przekazania, cel przetwarzania, miejsce przechowywania danych, zamierzone dalsze przekazanie), odpowiednie przepisy i praktyki obowiązujące w jurysdykcji odbiorcy oraz wszelkie rozsądne zabezpieczenia mające na celu uzupełnienie ochrony przekazywanych danych.

Ta udokumentowana ocena musi zostać zakończona przed podpisaniem klauzul i musi zostać udostępniona na żądanie organowi nadzorczemu.

Podsumowanie

Stosowanie SKU może nie jest najłatwiejszym rozwiązaniem, ale często bywa, że jedynym instrumentem umożliwiającym dokonanie transferu danych poza EOG. Co ważne z punktu widzenia Importera danych osobowych, zastosowanie standardowych klauzul umownych powoduje, że w kontekście dokonanego przetworzenia danych nie jest wymagana zgoda podmiotów danych, których dane osobowe dotyczą ani notyfikowanie procesu przetwarzania do Prezesa Urzędu Ochrony Danych Osobowych. Nie mniej należy podjeść do opisanego instrumentu ostrożnie i przeanalizować proces pod kątem zgodności z RODO oraz wymogami zawartymi w standardowych klauzulach umownych.

 

 

 

 

 

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *