Na gruncie prawa ochrony danych osobowych w ostatnim czasie miało miejsce ważne wydarzenie, bowiem Komisja Europejska wydała 04 czerwca 2021 r. decyzję, w której uznała, że określone w niej standardowe klauzule umowne („SKU”) zapewniają odpowiedni poziom ochrony danych osobowych oraz podstawowych praw i wolności jednostek. Decyzja ta 27 czerwca 2021 roku weszła w życie do unijnego porządku prawnego.
Dlaczego nowe standardowe klauzule umowne są ważne?
Nowe SKU są bardzo ważne z dwóch podstawowych powodów:
- Klauzule dotychczasowe nie umożliwiały transferu danych poza EOG w relacji procesor – subprocesor (a więc podpowierzenia przetwarzania danych).
- 16 lipca 2020 roku Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w wyroku w sprawie „Schrems II” uznał, że Tarcza Prywatności (Privacy Shield) obowiązująca pomiędzy UE a Stanami Zjednoczonymi Ameryki Północnej jest nieważna. Ponadto, pomimo, że wcześniejsze decyzje Komisji Europejskiej dot. wprowadzenia standardowych klauzul umownych utrzymano w mocy, TSUE uznał, że klauzule takie same w sobie nie stanowią środka dostatecznie zabezpieczającego transfer danych osobowych do państw trzecich i każdorazowo transfer taki poprzedzony powinien zostać oceną poziomu bezpieczeństwa przekazywanych danych osobowych w danym państwie trzecim oraz ewentualnym wprowadzeniem dodatkowych mechanizmów zabezpieczających prywatność danych osobowych.
Wyrok TSUE w sprawie Schrems II
W/w wyrok TSUE okazał się niezwykle dużym problemem dla biznesu. Wynika to oczywiście z tego, że powszechnie używane przez europejski biznes rozwiązania informatyczne, w tym usługi chmurowe, oferowane są najczęściej przez dostawców z USA, którzy nie zawsze gwarantują brak transferu danych poza EOG. Unieważnienie tarczy prywatności oraz brak standardowych klauzul umownych adekwatnych do dalszego powierzenia przetwarzania danych (relacja procesor – subprocesor) postawił pod znakiem zapytania legalność wielu procesów biznesowych.
Wprowadzenie nowych SKU nie usunęło co prawda w pełni powyższego problemu, po pierwsze jednak nowe SKU uznać należy za bardziej adekwatnie zabezpieczające transfer danych osobowych do państw trzecich niż klauzule dotychczasowe. Po drugie, klauzule te umożliwiły w końcu transfer poza EOG danych osobowych, dla których podmiot przekazujący dane nie jest administratorem a jedynie procesorem (podmiotem przetwarzającym). Niezależnie od powyższego, wytyczne TSUE dot. tego, że przed transferem danych do państwa trzeciego należy przeanalizować ryzyko z tym związane i wprowadzić ewentualne dodatkowe zabezpieczenia prywatności danych, pozostają aktualnymi.
Nowe standardowe klauzule umowne
W wielkim skrócie, nowe SKU zostały podzielone na cztery moduły, przeplatające się przez całą treść SKU, obowiązujące w czterech odmiennych relacjach polegających na przekazywaniu danych osobowych do państwa trzeciego:
- gdy administrator danych osobowych (ADO) przekazuje dane osobowe do innego ADO;
- gdy ADO przekazuje dane osobowe do procesora;
- gdy procesor przekazuje dane osobowe do innego procesora;
- gdy procesor przekazuje dane osobowe do ADO.
Podzielenie SKU na moduły pozwala we względnie intuicyjny sposób poruszać się po ich treści oraz szybko zidentyfikować potrzebne w danej sytuacji zapisy.
Novum stanowi również prawo przystąpienia (za zgodą stron) do SKU podmiotu, który nie był ich stroną. Podmiot ten może przystąpić do SKU w dowolnym momencie albo jako podmiot przekazujący dane (eksporter danych), albo jako podmiot odbierający dane (importer danych), wypełniając Dodatek i Załącznik I.A stanowiące integralną część Klauzul. Może to być przydatne np. w razie współpracy pomiędzy grupami kapitałowymi złożonymi z większej liczby podmiotów.
Ponadto, zawarcie przez strony nowych SKU wyłącza konieczność zawarcia odrębnej umowy powierzenia danych osobowych, ponieważ treść tej umowy, określona w art. 28 ogólnego rozporządzenia o ochronie danych (RODO), znajduje odzwierciedlenie w treści SKU. Dotychczasowe standardowe klauzule umowne, przyjęte przez Komisję Europejską przed opracowaniem RODO w oczywisty sposób komfortu tego nie dawały, co wymuszało dublowanie dokumentacji. W/w zmiana pozwoli Stronom umowy na „załatwienie” wielu kwestii związanych z ochroną danych osobowych za jednym razem, co poskutkuje oszczędnością czasu i kosztów.
Data publikacji: 08.07.2021.