Komisja przyjęła nowe standardowe klauzule umowne – co dalej z transferem danych?
27 czerwca 2021 r. weszła w życie decyzja Komisji Europejskiej ustanawiająca nowe standardowe klauzule umowne dotyczące przekazywania danych osobowych poza Europejski Obszar Gospodarczy. Co z tego wynika oraz kiedy konieczne będzie dostosowanie się do nowych regulacji?
Warunki transferu danych
Przekazywanie danych osobowych poza Europejski Obszar Gospodarczy jest na gruncie RODO ograniczone, to znaczy może się odbywać w ściśle określonych sytuacjach. Transfer danych jest dopuszczalny między wówczas, jeśli Komisja Europejska wydała w danym przypadku decyzję stwierdzającą odpowiedni stopień ochrony.
Takich decyzji nie wydano jednak zbyt wiele (dotyczą m.in. Wielkiej Brytanii czy Japonii), dlatego często ciężar zalegalizowania przekazania danych osobowych do państw trzecich spoczywa na podmiocie, który te dane przekazuje. Może on zastosować któreś z zabezpieczeń określonych w RODO – najczęściej będą to standardowe klauzule umowne, czyli swego rodzaju ustandaryzowana umowa zawierana pomiędzy stronami zaangażowanymi w dany transfer.
Czym różnią się klauzule?
Do tej pory dopuszczalne było stosowanie klauzul, przygotowanych na potrzeby nieobowiązującej już unijnej dyrektywy regulującej przetwarzanie danych osobowych. Nowe klauzule opracowane zostały na podstawie RODO, a co więcej – uwzględniają również wytyczne wynikające m.in. z wyroku Schrems II, który znacznie utrudnił przekazywanie danych poza EOG, zwłaszcza do USA. Nie znaczy to jednak, że zastosowanie nowych klauzul zawsze będzie wystarczające (zgodnie z wyrokiem Schrems II każdorazowo konieczna jest uprzednia weryfikacja, czy przetwarzanie danych w państwie odbiorcy będzie bezpieczne).
Nowe klauzule zawarte zostały w jednej decyzji Komisji Europejskiej i składają się z różnych modułów – co zapewnia ich elastyczność i możliwość stosowania w większej liczbie sytuacji. Dzięki temu mogą zostać zawarte również pomiędzy procesorem i podprocesorem, co do tej pory było niemożliwe i w praktyce wymuszało zastosowanie dość karkołomnej konstrukcji polegającej na udzieleniu procesorowi pełnomocnictwa do zawarcia z podprocesorem standardowych klauzul umownych w imieniu administratora.
Ponadto nowe klauzule odpowiadają nomenklaturze stosowanej w RODO oraz zapewniają wyższy stopień ochrony, np. w zakresie obowiązku zgłaszania naruszeń. Nowe klauzule wymuszają na stronach również określenie szczególnych zabezpieczeń, które będą stosowane, aby zniwelować ewentualny negatywny wpływ prawa państwa trzeciego na bezpieczeństwo danych.
Co dalej?
Obecnie trwa okres przejściowy, który podzielony został na dwa etapy. Ze skutkiem od 27 września 2021 r. tracą moc wcześniejsze decyzje Komisji Europejskiej. Od tej chwili zawarcie standardowych klauzul umownych w brzmieniu nimi ustalonym nie będzie stanowiło odpowiedniego zabezpieczenia w rozumieniu RODO. Jeżeli jednak umowa została lub zostanie zawarta przed tym dniem, to wówczas ostatecznym terminem na zmianę klauzul na nowe jest 27 grudnia 2022 r.
Naszym zdaniem zbyt długie opóźnianie zastępowania starych klauzul nowymi albo stosowanie starych klauzul w nowych umowach zwiększa ryzyko, że finalnie do zmiany umów nie dojdzie. W związku z tym sugerujemy w nowych umowach stosować nowe klauzule, a jeżeli chodzi o umowy wcześniejsze, to zastąpić dotychczasowe rozwiązanie w możliwie niedługim czasie.
AUTOR WPISU
E: pawel.grzembka@pl.Andersen.com
T: +48 32 731 68 50