Bank wiedzy:

Transfer danych osobowych do państw trzecich – projekt nowych klauzul umownych

16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał wyrok w sprawie Schrems II. Wskutek tego wyroku TSUE unieważnił legalne zasady transferu danych osobowych do USA, który odbywał się na podstawie Programu Tarcza Prywatności tzw. Privacy Shield. Wyrok ten zapoczątkował rewolucję w zakresie transferów danych osobowych do państw spoza Europejskiego Obszaru Gospodarczego.

Unieważniając Tarczę Prywatności TSUE potwierdził jednak ważność innego instrumentu będącego podstawą dla transferu danych, czyli standardowych klauzul umownych (Standard Contractual Clauses).

Z uwagi na skalę transferu danych z Europejskiego Obszaru Gospodarczego (EOG) do państw trzecich, wiele podmiotów stanęło przed wyzwaniem szybkiego znalezienia alternatywnej podstawy prawnej legalizującej przesył danych - zwłaszcza do USA. Rozwiązaniem alternatywnym są standardowe klauzule umowne (SCC).

Wskazane klauzule umowne są bardzo istotnym mechanizmem przekazywania danych osobowych, stosowanym przez administratorów i podmioty przetwarzające jako eksporterów danych do przekazywania danych osobowych odbiorcom spoza EOG. SCC nakładają na odbiorców (importerów) danych spoza EOG szereg obowiązków w zakresie ochrony danych w celu zrekompensowania niedociągnięć w przepisach o ochronie danych, którym podlega importer danych. Należy zaznaczyć, iż ich automatyczne zastosowanie nie gwarantuje jeszcze legalności przekazania danych. O ile Tarcza Prywatności dotyczyła jedynie transferów danych do USA, o tyle standardowe klauzule umowne stanowią podstawę przekazywania danych osobowych ogólnie do państw trzecich, oczywiście włączając w ten zakres także USA. Do chwili obecnej istnieją trzy oddzielne zestawy klauzul umownych w zależności od odpowiedniego scenariusza transferu.
Jednakże dwa zestawy SCC obejmują transfery między administratorami (z których świeższy zestaw EG / 2004/619 jest praktycznie bardziej odpowiedni), drugi zestaw ma zastosowanie do transferów od administratorów do podmiotów przetwarzających. Mimo to okazało się, że zestawy klauzul są niekompletne, ponieważ nie uwzględniono w nich scenariuszy, w których dane osobowe nie są eksportowane bezpośrednio przez administratora, ale przez jego podmiot przetwarzający z siedzibą w EOG, który angażuje podwykonawcę z państwa trzeciego. W takim przypadku SCC zwykle przewidują bezpośredni stosunek umowny między administratorem a podwykonawcą, który jednak rzadko jest ustanawiany w praktyce. Ze względu na wygodę w takich scenariuszach SCC są zamiast tego rutynowo zawierane między przedstawicielstwem mającym siedzibę na terenie EOG a podwykonawcą.

W związku z powyższym Europejska Rada Ochrony Danych (EROD) i Europejski Inspektor Ochrony Danych (EIOD) przyjęły 14 stycznia 2021 r. wspólne opinie w sprawie dwóch zestawów standardowych klauzul umownych, tj. opinię w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi oraz opinię w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich.
Opowiedziano się za podejściem modułowym, które łączy oddzielne zasady dla wszystkich potencjalnych scenariuszy transferu w jednej ogólnej umowie. W szczególności uwzględniono nowe zestawy do przekazywania danych między dwoma podmiotami przetwarzającymi, w tym także od podmiotu przetwarzającego z obszaru EOG do administratora z państwa trzeciego.

Kolejną zmianą w ramach nowych SCC jest tak zwana „klauzula dokowania”, która ułatwia tworzenie wielostronnych stosunków umownych, umożliwiając nowym stronom przystąpienie do już istniejącej umowy. Nowe SCC mają służyć nie tylko jako podstawa do transferu danych osobowych, ale także jako umowa powierzenia przetwarzania danych w myśl art. 28 ust. 7 RODO. Warto jednak wspomnieć, że w swojej wspólnej opinii 2/2021 EROD i EIOD krytycznie odnieśli się do tego rozwiązania, dlatego że nie można łatwo rozróżnić różnych przepisów dotyczących międzynarodowego przekazywania i przetwarzania danych, w związku z czym kwestia ta wymaga jeszcze wyjaśnienia i doprecyzowania.

Co zmieniają nowe klauzule umowne (SCC)

W ramach nowych SCC przede wszystkim wzmocnione zostaną prawa osób fizycznych przekazujących swoje dawne osobowe administratorom. W przeciwieństwie do obecnego systemu, w którym osoby fizyczne nie mają bezpośrednich praw, jakie RODO przyznaje im wobec odbierających dane, osoby fizyczne uzyskają bezpośrednie prawa wobec odbierających dane. Dokładny zakres tych praw będzie zależał od konkretnego scenariusza przekazywania danych, ale zgodnie z projektem - w przypadku przekazywania danych między administratorami, osoby fizyczne, które przekazały swoje dane, mogą egzekwować pełen zakres swoich praw, przysługujących im zgodnie z RODO. Będzie to wymagało od importerów danych wdrożenia procesów umożliwiających im realizację tych praw i na ogół przemawia za tym, aby przetwarzający dane podlegali systemowi podobnemu do RODO.
Ponadto ma również nastąpić rozszerzenie praw osób fizycznych, których dane dotyczą. Zgodnie z projektem SCC osoby fizyczne będą mogły powoływać się na klauzule umowne i egzekwować swoje prawa wobec podmiotów przekazujących i odbierających dane. Nowe SCC wprowadzą system ścisłej odpowiedzialności porównywalny z zasadami odpowiedzialności na mocy RODO.
Każda ze stron jest odpowiedzialna wobec drugiej strony (lub stron) za wszelkie szkody materialne lub niematerialne, które wyrządzi drugiej stronie (lub stronom) poprzez naruszenie klauzul. Ponadto osoby fizyczne, których dane dotyczą, mogą żądać odszkodowania za szkody materialne i niematerialne zarówno od podmiotu odbierającego, jak i przekazującego dane, w przypadku naruszenia klauzul przez którąkolwiek ze stron. W następstwie tego strony klauzul mogą ponosić solidarną odpowiedzialność wobec osób, których dane dotyczą. Ważne jest również to, że w niektórych scenariuszach (przekazywanie danych od administratora do podmiotu przetwarzającego i od podmiotu przetwarzającego do dalszego podmiotu przetwarzającego - subprocesora), podmiot przekazujący dane będzie nawet podlegał odpowiedzialności na zasadzie ryzyka za naruszenia popełnione przez importerów danych.

Zwiększenie roli organów nadzorczych

Komisja Europejska wzmacnia rolę, jaką odgrywają organy nadzorcze tam, gdzie potrzebne są dodatkowe zabezpieczenia. Jeżeli przekazujący dane ma powody by sądzić, że odbierający dane nie może wypełnić swoich zobowiązań wynikających z SCC lub w sytuacji, gdy importer o tym sam powiadomił, transfer danych osobowych jest możliwy tylko wtedy, gdy przekazujący wprowadzi dodatkowe zabezpieczenia. Jednakże jeśli przekazujący dane zastosuje takie podejście, musi powiadomić o tym organ nadzorczy i podać pełne szczegóły przyjętych zabezpieczeń.

Czas na dostosowanie umów

Po wejściu w życie nowe przepisy będą wiążące dla wszystkich podmiotów przekazujących dane - w odniesieniu do przyszłych transferów danych. W związku z tym stare zestawy klauzul stracą ważność. W projekcie decyzji wykonawczej przewidziano roczny okres przejściowy, w którym strony mogą wprowadzić w życie nowe klauzule. W tym okresie można nadal dokonywać transferu na podstawie istniejących SCC, chyba że umowy te zostaną zmienione. Do tej chwili nie ma jeszcze decyzji o zatwierdzeniu nowych klauzul umownych, mimo spekulacji, że możemy się ich spodziewać na koniec kwietnia 2021 roku.

Opracowała:
Beata Zalewska, Inspektor Ochrony Danych Osobowych