Dbamy o Twój biznes

Pomagamy szybko i profesjonalnie

Nowe standardowe klauzule umowne

Na gruncie prawa ochrony danych osobowych w ostatnim czasie miało miejsce ważne wydarzenie, bowiem Komisja Europejska wydała 04 czerwca 2021 r. decyzję, w której uznała, że określone w niej standardowe klauzule umowne („SKU”) zapewniają odpowiedni poziom ochrony danych osobowych oraz podstawowych praw i wolności jednostek. Decyzja ta 27 czerwca 2021 roku weszła w życie do unijnego porządku prawnego.

Dlaczego nowe standardowe klauzule umowne są ważne?

Nowe SKU są bardzo ważne z dwóch podstawowych powodów:

  1. Klauzule dotychczasowe nie umożliwiały transferu danych poza EOG w relacji procesor – subprocesor (a więc podpowierzenia przetwarzania danych).
  2. 16 lipca 2020 roku Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w wyroku w sprawie „Schrems II” uznał, że Tarcza Prywatności (Privacy Shield) obowiązująca pomiędzy UE a Stanami Zjednoczonymi Ameryki Północnej jest nieważna. Ponadto, pomimo, że wcześniejsze decyzje Komisji Europejskiej dot. wprowadzenia standardowych klauzul umownych utrzymano w mocy, TSUE uznał, że klauzule takie same w sobie nie stanowią środka dostatecznie zabezpieczającego transfer danych osobowych do państw trzecich i każdorazowo transfer taki poprzedzony powinien zostać oceną poziomu bezpieczeństwa przekazywanych danych osobowych w danym państwie trzecim oraz ewentualnym wprowadzeniem dodatkowych mechanizmów zabezpieczających prywatność danych osobowych.

Wyrok TSUE w sprawie Schrems II

W/w wyrok TSUE okazał się niezwykle dużym problemem dla biznesu. Wynika to oczywiście z tego, że powszechnie używane przez europejski biznes rozwiązania informatyczne, w tym usługi chmurowe, oferowane są najczęściej przez dostawców z USA, którzy nie zawsze gwarantują brak transferu danych poza EOG. Unieważnienie tarczy prywatności oraz brak standardowych klauzul umownych adekwatnych do dalszego powierzenia przetwarzania danych (relacja procesor – subprocesor) postawił pod znakiem zapytania legalność wielu procesów biznesowych.

Wprowadzenie nowych SKU nie usunęło co prawda w pełni powyższego problemu, po pierwsze jednak nowe SKU uznać należy za bardziej adekwatnie zabezpieczające transfer danych osobowych do państw trzecich niż klauzule dotychczasowe. Po drugie, klauzule te umożliwiły w końcu transfer poza EOG danych osobowych, dla których podmiot przekazujący dane nie jest administratorem a jedynie procesorem (podmiotem przetwarzającym). Niezależnie od powyższego, wytyczne TSUE dot. tego, że przed transferem danych do państwa trzeciego należy przeanalizować ryzyko z tym związane i wprowadzić ewentualne dodatkowe zabezpieczenia prywatności danych, pozostają aktualnymi.

Nowe standardowe klauzule umowne

W wielkim skrócie, nowe SKU zostały podzielone na cztery moduły, przeplatające się przez całą treść SKU, obowiązujące w czterech odmiennych relacjach polegających na przekazywaniu danych osobowych do państwa trzeciego:

  1. gdy administrator danych osobowych (ADO) przekazuje dane osobowe do innego ADO;
  2. gdy ADO przekazuje dane osobowe do procesora;
  3. gdy procesor przekazuje dane osobowe do innego procesora;
  4. gdy procesor przekazuje dane osobowe do ADO.

Podzielenie SKU na moduły pozwala we względnie intuicyjny sposób poruszać się po ich treści oraz szybko zidentyfikować potrzebne w danej sytuacji zapisy.

Novum stanowi również prawo przystąpienia (za zgodą stron) do SKU podmiotu, który nie był ich stroną. Podmiot ten może przystąpić do SKU w dowolnym momencie albo jako podmiot przekazujący dane (eksporter danych), albo jako podmiot odbierający dane (importer danych), wypełniając Dodatek i Załącznik I.A stanowiące integralną część Klauzul. Może to być przydatne np. w razie współpracy pomiędzy grupami kapitałowymi złożonymi z większej liczby podmiotów.

Ponadto, zawarcie przez strony nowych SKU wyłącza konieczność zawarcia odrębnej umowy powierzenia danych osobowych, ponieważ treść tej umowy, określona w art. 28 ogólnego rozporządzenia o ochronie danych (RODO), znajduje odzwierciedlenie w treści SKU. Dotychczasowe standardowe klauzule umowne, przyjęte przez Komisję Europejską przed opracowaniem RODO w oczywisty sposób komfortu tego nie dawały, co wymuszało dublowanie dokumentacji. W/w zmiana pozwoli Stronom umowy na „załatwienie” wielu kwestii związanych z ochroną danych osobowych za jednym razem, co poskutkuje oszczędnością czasu i kosztów.


Data publikacji: 08.07.2021.

Kontakt

Borek Doliński Radcowie Prawni spółka jawna

ul. Macieja Palacza 96/1, 60-274 Poznań

office@bdrp.pl

[0048] 530 001 500 // 510 551 991

O nas

Specjalizujemy się w obsłudze prawnej biznesu, ze szczególnym uwzględnieniem branży IT.

Oferujemy najwyższą jakość świadczonego wsparcia prawnego, wysoką responsywność i osobiste zaangażowanie wspólników Kancelarii.