Bank wiedzy:

Nowe standardowe klauzule umowne (Standard Contractual Clauses) dla transferów danych osobowych poza Europejski Obszar Gospodarczy

W dniu 4 czerwca 2021 roku Komisja Europejska przyjęła dwa zestawy bardzo oczekiwanych, zmodernizowanych standardowych klauzul umownych (SCC), których ważność została zakwestionowana w następstwie wyroku TSUE w sprawie Schrems II w lipcu 2020 r. Zgodnie z oczekiwaniami, Komisja wydała obecnie swoje ostateczne SCC dotyczące przekazywania danych osobowych do państw trzecich.

Komisja przyjęła również i opublikowała SCC do stosowania między administratorami danych a podmiotami przetwarzającymi dane na mocy art. 28 RODO. Mówi się, że dwa nowe zestawy SCC są bardziej zgodne z RODO i "zapewnią europejskim przedsiębiorstwom większą przewidywalność prawną i pomogą, zapewnić zgodność z wymogami dotyczącymi bezpiecznego przekazywania danych, jednocześnie umożliwiając swobodny przepływ danych przez granice Europejskiego Obszaru Gospodarczego (EOG), bez barier prawnych". 
Przedsiębiorcy, którzy obecnie opierają się na "starych" SCC jako mechanizmie przekazywania danych w przypadku transferu danych osobowych poza EOG, będą mieć 18 miesięcy na zaktualizowanie swoich umów o przekazywaniu danych wewnątrz grupy i renegocjowanie umów z klientami, sprzedawcami i innymi kontrahentami, którym udostępniają dane osobowe, w celu zastąpienia "starych" SCC nowymi unijnymi SCC. Komisja Europejska stwierdziła, że nowe unijne SCC stanowią "praktyczny zestaw narzędzi", umożliwiający spełnienie wymogów. 
Formalne przyjęcie nowych unijnych SCC nastąpiło po konsultacjach publicznych przeprowadzonych przez Komisję Europejską i otrzymaniu informacji zwrotnej od Europejskiej Rady Ochrony Danych na temat projektu nowych SCC, opublikowanego 12 listopada 2020 roku. Należy zaznaczyć, że wraz z nowymi unijnymi SCC Komisja Europejska przyjęła również standardowe klauzule, które mogą być stosowane między administratorami danych a podmiotami przetwarzającymi, spełniające wymogi art. 28 RODO ("klauzule z art. 28"). Klauzule z art. 28 mogą uprościć negocjacje w sprawie umów o przetwarzaniu danych między administratorami danych a podmiotami przetwarzającymi dane.

Czego przedsiębiorstwa mogą spodziewać się od nowych unijnych SCC?

1. Podejście modułowe:
Nowe unijne SCC wykorzystują podejście modułowe, w którym określone zestawy klauzul mogą być stosowane nie tylko do przekazywania danych osobowych między administratorami oraz między administratorami a podmiotami przetwarzającymi, ale także do przekazywania danych osobowych między podmiotami przetwarzającymi oraz między podmiotami przetwarzającymi a administratorami. Ponadto nowe unijne SCC dają możliwość przystąpienia i korzystania z klauzul przez więcej niż dwie strony - dzięki tzw. klauzuli dokującej.
2. Okres przejściowy 18 miesięcy:
Przedsiębiorcy będą mieli 18 miesięcy od daty wejścia w życie decyzji Komisji Europejskiej (w przeciwieństwie do 12 miesięcy w projekcie opublikowanym przez Komisję Europejską w listopadzie 2020 r.) na zaktualizowanie wszystkich umów zawierających Stare SCC dla transferów poza Unię Europejską o Nowe Unijne SCC.
3. Brak konieczności wprowadzania odrębnych postanowień art. 28 RODO:
Zawarcie nowych unijnych umów SCC zastąpi konieczność nakładania przez administratora danych na podmiot przetwarzający odrębnych środków umownych - w celu wypełnienia obowiązków administratora danych wynikających z art. 28 RODO. Powinno to uprościć negocjacje z kontrahentami w przyszłości.
4. Ocena prawa miejscowego:
Zarówno przekazujący, jak i odbierający dane, będą musieli zagwarantować, że przeprowadzili ocenę przepisów prawa lokalnego w jurysdykcji, do której dane osobowe zostaną przekazane na mocy nowych unijnych SCC, i nie mają powodów, by sądzić, że przepisy i praktyki stosowane w takiej jurysdykcji uniemożliwią odbierającemu dane wywiązanie się z obowiązków wynikających z nowych unijnych SCC, przy uwzględnieniu odpowiednich zabezpieczeń wprowadzonych w celu uzupełnienia zabezpieczeń zawartych w nowych unijnych SCC. Ponadto strony będą zobowiązane do udokumentowania oceny i udostępnienia jej na żądanie organu nadzorczego do spraw ochrony danych. W przypadku Polski jest to UODO.
5. Środki bezpieczeństwa:
Nowe SCC wymagają, aby środki techniczne i organizacyjne przyjęte w celu zabezpieczenia przekazywania danych osobowych były opisane w sposób szczegółowy (a nie, jak to byłodotychczas, w sposób ogólny) w załączniku II do umowy. Ponadto w załączniku II należy również wyraźnie wskazać, które środki mają zastosowanie do każdego transferu.
6. Określenie właściwego organu nadzorczego:
Nowe unijne SCC stanowią, że organ nadzorczy ds. ochrony danych odpowiedzialny za zapewnienie przestrzegania RODO przez podmiot przekazujący dane będzie właściwym organem nadzorczym. Jeżeli podmiot przekazujący dane nie ma siedziby w państwie członkowskim UE, właściwym organem nadzorczym będzie organ nadzorczy państwa członkowskiego, w którym ma siedzibę europejski przedstawiciel pomiotu przekazującego.
Co ważne, poprzez zawarcie nowych unijnych SCC odbierający dane zgadza się poddać jurysdykcji właściwego organu nadzorczego, odpowiadać na jego zapytania, poddawać się audytom i stosować się do środków przyjętych przez taki organ nadzorczy.
7. Obowiązki odbierającego dane w przypadku dostępu organów publicznych:
Istnieją szczegółowe przepisy, których importerzy danych będą musieli przestrzegać, jeśli otrzymają prawnie wiążący wniosek od organu publicznego o ujawnienie danych osobowych przekazywanych na mocy nowych unijnych SCC.

Jak przyjęcie nowych unijnych SCC wpływa na transfer z/do Wielkiej Brytanii?

Obecnie brytyjskie Biuro Komisarza ds. Informacji ("ICO") jako odpowiedni mechanizm przekazywania danych dla międzynarodowych transferów danych osobowych z Wielkiej Brytanii uznaje jedynie stare SCC. Jednak na początku maja 2021 r. ICO ogłosiła, że pracuje nad standardowymi brytyjskimi klauzulami umownymi dla międzynarodowych transferów danych osobowych i zamierza opublikować projekt do konsultacji społecznych latem 2021 roku.
ICO podała, że rozważa, czy uznać nowe unijne SCC za ważny mechanizm przekazywania danych na mocy ogólnego rozporządzenia o ochronie danych w Zjednoczonym Królestwie (UK GDPR). Niemniej dobrze, aby ICO uznało nowe unijne SCC, po to aby dać przedsiębiorstwom pragnącym korzystać z nowych unijnych SCC pewność prawną, że takie umowy mogą również służyć jako odpowiedni mechanizm przekazywania danych zgodnie z brytyjskim GDPR (i uniknąć konieczności jednoczesnego korzystania ze starych SCC do przekazywania danych poza Wielką Brytanię i nowych unijnych SCC do przekazywania danych poza UE).


Jakie kroki podjąć już teraz?

W pierwszej kolejności należy dokonać przeglądu swoich ustaleń umownych z kontrahentami spoza EOG oraz swoich umów o transferze wewnątrzgrupowym (jeśli taki zachodzi) i zidentyfikować te, które obecnie zawierają stare SCC.
W przypadku ustaleń umownych, które będą obowiązywać przez okres dłuższy niż 18 miesięcy, przedsiębiorstwa powinny nawiązać kontakt z kontrahentami i spółkami z grupy w celu przejścia na nowe unijne SCC w ciągu 18-miesięcznego okresu, pamiętając, że strony będą zobowiązane do przeprowadzenia oceny prawa lokalnego i uwzględnienia szczegółowych środków bezpieczeństwa przy aktualizacji ustaleń umownych.


Treść opublikowanych jeszcze nieoficjalnych wersji SCC poniżej:

Standard contractual clauses for controllers and processors in the EU/EEA | European Commission (europa.eu)

Standard contractual clauses for international transfers | European Commission (europa.eu)

Opracowała:
Beata Zalewska Inspektor Ochrony Danych Osobowych