4 czerwca 2021 r. Komisja Europejska decyzją 2021/914 przyjęła nowe zestawy standardowych klauzul umownych dotyczących przekazywania danych osobowych.
Potrzeba wprowadzenia nowego brzmienia klauzul podyktowana była w przeważającej mierze postępem technologicznym, koniecznością ich dostosowania do Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”) oraz wyroku Trybunału Sprawiedliwości UE C-311/18, w sprawie Facebook Ireland i Maximillian Schrems (tzw. Schrems II) – uchylającego program „Privacy Shield”.
Czym w zasadzie są standardowe klauzule umowne?
Standardowy przepływ danych osobowych regulowany przez RODO, dotyczy ich przekazywania w ramach obszaru EOG. Przesyłanie danych osobowych poza ten obszar nie jest co prawda zakazane, lecz wymaga spełnienia dodatkowych warunków.
Transfer taki możliwy jest do krajów, w stosunku do których Komisja wydała decyzję stwierdzającą odpowiedni stopień ochrony (aktualnie decyzje takie obowiązują m.in. wobec Kanady, Szwajcarii, Zjednoczonego Królestwa Wielkiej Brytanii i Irlandii Północnej, Japonii, Korei Południowej czy Izraela). W przypadku braku decyzji Komisji wobec danego państwa transfer taki możliwy jest także poprzez zapewnienie odpowiednich zabezpieczeń, wymienionych w art. 46 ust. 2 oraz ust. 3 RODO. Jednym z ww. sposobów jest zawarcie pomiędzy podmiotem transferującym a podmiotem odbiorcą – umowy, zawierającej standardowe klauzule, przyjęte przez Komisję. Dotychczasowe zestawy klauzul opierały się na poprzednio obowiązującej dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (decyzje 2001/497/WE oraz decyzja 2010/87/WE).
Co nowego wprowadzają klauzule umowne i kto musi dokonać zmian?
Komisja przyjęła dwa nowe zestawy klauzul:
- standardowe klauzule dotyczące transferu danych poza EOG, a także
- zestaw klauzul, który może być wykorzystywany jako podstawa do uregulowania powierzenia danych na podstawie art. 28 ust. 3 RODO, tj. pomiędzy administratorem a podmiotem przetwarzającym, działającymi w ramach EOG. Przy czym ten zestaw klauzul jest dobrowolny – podmioty mogą dalej korzystać ze swoich własnych wzorów umów powierzenia. Z tego też względu dalsza część niniejszego artykułu poświęcona została klauzulom regulującym transfer danych poza EOG.
Nowe zestawy regulujące transfer danych poza EOG składają się z części ogólnej (klauzule 1 – 7) oraz z rozwiązań modułowych – tak aby strony mogły jak najlepiej odzwierciedlić zachodzące pomiędzy nimi relacje. Co więcej, swoistym novum jest możliwość objęcia klauzulami więcej niż dwóch podmiotów.
Przyjęcie przez Komisję nowych klauzul wywołuje konieczność ich wprowadzenia w organizacjach, które już opierają bądź zamierzają oprzeć transfer danych poza EOG, na podstawie standardowych klauzul umownych.
W jakim terminie należy wprowadzić klauzule umowne?
Dotychczasowe decyzje (2001/497/WE oraz 2010/87/WE), tracą moc ze skutkiem od dnia 27 września 2021 r. Ustanowiono jednak okres przejściowy (do 27 grudnia 2022 r.), którego celem jest umożliwienie dostosowania się do wprowadzonych regulacji. W trakcie okresu przejściowego dopuszczalny jest transfer danych na podstawie dotychczasowych, podpisanych uprzednio klauzul – pod warunkiem, że:
- czynności przetwarzania pozostaną niezmienione (uwaga – tutaj znaczenie ma też katalog przekazywanych danych), a
- stosowanie klauzul zapewnia odpowiednie bezpieczeństwo danym osobowym.
Niezależnie od powyższego, od 27 grudnia 2022 roku transfer danych poza EOG z wykorzystaniem standardowych klauzul umownych może odbywać się wyłącznie na nowych wzorach. Warto jednak wziąć pod uwagę, że negocjowanie umów może być czasochłonne – nie należy zatem zwlekać z rozpoczęciem procedury negocjacyjnej.
Podpisując umowy w okresie przejściowym, należy procedować już na nowych klauzulach.
Wyjaśnienia od Komisji Europejskiej odnośnie nowych klauzul umownych
Wychodząc naprzeciw potrzebom rynkowym Komisja Europejska opublikowała zbiór odpowiedzi na pojawiające się pytania, związane ze stosowaniem nowych wzorów klauzul („The new standard contractual clauses – questions and answers overview”).
Jak wskazano w wyjaśnieniach pierwszym krokiem we wdrożeniu nowych klauzul jest prawidłowe określenie ról podmiotów, które uczestniczyć będą w procesie wymiany danych. Dzięki modułowej budowie klauzule mogą zostać ściśle dopasowane do rzeczywistej sytuacji biznesowej. Aby uwzględnić potrzeby praktyczne – do wyboru przygotowane zostały cztery moduły dla następujących relacji:
- administrator – administrator,
- administrator – procesor,
- procesor – procesor oraz
- procesor – administrator.
Przy czym ze względu na występowanie złożonych relacji możliwe jest uzgodnienie pomiędzy stronami kilku modułów jednocześnie.
Klauzule winny być przyjęte w brzmieniu wprowadzonym decyzją Komisji, a ich treść nie powinna być samodzielnie modyfikowana. Należy jedynie dokonać wyboru odpowiednich modułów, zaproponowanych w nich wariantów, jak i uzupełnić miejsca do tego przeznaczone. Strony mogą jednak przyjąć dodatkowe zabezpieczenia, zwiększające bezpieczeństwo przetwarzanych danych osobowych. Ważnym jest, że w przypadku dokonania dalej idących modyfikacji, klauzule nie będą mogły zostać uznane za dozwoloną podstawę legalnego z prawem transferowania danych. Wykorzystywanie tak zmodyfikowanych klauzul musiałoby zostać zatwierdzone przez właściwy organ nadzorczy (zgodnie z art. 46 ust. 3 lit. a RODO). Modyfikowaniem klauzul jest także ich usuwanie – strony nie mogą usuwać klauzul innych niż te, które nie mają zastosowania do ich sytuacji.
Klauzule mogą stanowić odrębną umowę bądź zostać „wplecione” w umowę główną. Zachowane muszą przy tym zostać powyższe zasady dotyczące modyfikacji, jak i niemożności zamieszczania w umowie głównej postanowień sprzecznych z klauzulami.
Komisja zwraca uwagę, że najistotniejszym jest zawarcie klauzul w sposób prawnie wiążący i przestrzeganie przyjętych w nich zobowiązań. Istotne jest również wypełnienie załączników do klauzul, które stanowią ich integralną część. Klauzule nie zawierają specjalnych wymogów dotyczących formy ich zawarcia – obowiązują zasady wynikające z prawa krajowego, któremu poddana została dana umowa.
Nowe klauzule zdają się odzwierciedlać problem powstały w związku z rozstrzygnięciem w sprawie Schrems II. Na strony nałożony został bowiem m. in. obowiązek przeprowadzenia „oceny wpływu przekazania” (Transfer Impact Assessment – TIA). Ocena ta musi objąć weryfikację czy prawo i praktyki w państwie przeznaczenia (do którego dane będą transferowane), w tym wszelkie wymogi dotyczące ujawniania danych osobowych lub środki upoważniające organy publiczne do uzyskania dostępu, nie uniemożliwią podmiotowi odbierającemu dane wypełnienie jego obowiązków wynikających z klauzul (klauzula 14). W przypadku oceny negatywnej, umowa taka nie powinna być podstawą do przekazania danych. Obowiązek ten nałożony został na obydwie strony, a przeprowadzenie weryfikacji powinno zostać odpowiednio udokumentowane.
Podsumowanie
- od 27 grudnia 2022 roku obowiązywać zaczną nowe wzory standardowych klauzul umownych. Jeżeli Państwa organizacja dokonuje transferu danych poza EOG w oparciu o standardowe klauzule umowne, zobowiązana jest dokonać ich weryfikacji;
- do ww. daty możliwym jest korzystanie z już podpisanych umów, o ile spełnione są warunki wskazywane w niniejszym artykule.
W przypadku, gdyby chcieli się Państwo dowiedzieć więcej lub potrzebowali wsparcia w niniejszym temacie – nasz zespół ekspertów pozostaje do Państwa dyspozycji.