Nowe standardowe klauzule umowne dotyczące przekazywania danych osobowych poza EOG

Komisja Europejska, decyzją wykonawczą z dnia 4 czerwca 2021 roku nr 2021/914 (dalej „Decyzja”), przyjęła nowe standardowe klauzule umowne – standard contractual clauses (dalej „SCC”) dotyczące przekazywania danych osobowych do państw trzecich.
Wydana Decyzja zastąpi dotychczasowe decyzje odpowiednio z dnia 5 lutego 2010 roku (w sprawie SCC w relacjach administrator – podmiot przetwarzający) oraz z dnia 15 czerwca 2001 roku (wprowadzającą SCC w relacjach administrator – administrator).

SCC stanowią wzór porozumienia pomiędzy eksporterem danych do państwa trzeciego oraz importerem tych danych. W świetle Rozporządzenia ogólnego o ochronie danych nr 2016/679 (dalej „RODO”) SCC stanowią, obok decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony (tzw. adequacy decision), jedno z podstawowych zabezpieczeń, umożliwiających przekazywanie danych osobowych podmiotom z państw spoza EOG. Takie przekazywanie może odbywać się np. w związku z wzajemnym udostępnianiem danych osobowych pracowników w ramach grup kapitałowych, w których występują spółki spoza EOG, czy też korzystaniem z usług opartych o nowoczesne technologie, gdzie dostęp do danych mogą uzyskiwać podmioty spoza EOG.

Co się zmienia?

Kluczowe zmiany wprowadzone w treści nowych SCC w porównaniu z dotychczasowymi to:

  • wprowadzenie, obok zestawu klauzul umownych w relacjach administrator-administrator i administrator-podmiot przetwarzający, również dwóch nowych zestawów SCC, mających zastosowanie do przekazania danych pomiędzy podmiotami przetwarzającymi oraz przez podmiot przetwarzający na rzecz administratora danych;
  • dodanie zapewnień importera danych, związanych z ochroną danych w kontekście potencjalnego dostępu do nich władz kraju importera, poprzedzonych odpowiednią oceną ryzyka, w szczególności oświadczenia, że prawa i praktyki w państwie przeznaczenia nie uniemożliwiają importerowi danych wykonania jego obowiązków wynikających z SCC (co jest pokłosiem niedawnego wyroku TSUE w sprawie Schrems II, ograniczającego, w uproszczeniu, możliwości transferu danych osobowych do państw trzecich);
  • wprowadzenie obowiązku importera danych co do niezwłocznego powiadomienia eksportera danych (i) o ewentualnym otrzymaniu od organu publicznego państwa importera żądania udostępnienia danych osobowych przekazywanych na podstawie danej umowy / SCC oraz (ii) w razie otrzymania informacji o przypadku uzyskania przez organ publiczny takiego dostępu do danych osobowych (obowiązek ten został również przewidziany w związku z wspomnianym wyżej wyrokiem w sprawie Schrems II);
  • uściślenie, że osobie, której dane dotyczą, w razie naruszenia ochrony jej danych osobowych przysługuje odszkodowanie zarówno za szkodę majątkową, jak i niemajątkową (tzw. krzywdę);
  • co do zasady umożliwienie poddania umowy dotyczącej transferu danych prawu jakiegokolwiek państwa członkowskiego UE, pod warunkiem, że prawo to uwzględnia prawa osób, których dane dotyczą (podczas, gdy zgodnie z dotychczasowymi decyzjami Komisji, możliwe było poddanie umowy prawu państwa siedziby eksportera danych).

Jakie działania należy podjąć?

Podmioty przekazujące dane osobowe do państw trzecich (spoza EOG), co do których Komisja Europejska nie wydała decyzji stwierdzającej odpowiedni stopień ochrony (adequacy decision), które dotychczas przekazywały ww. dane bez żadnego zabezpieczenia lub na podstawie dotychczasowych SCC, powinny zweryfikować podstawę dokonywanych transferów i w razie potrzeby zawrzeć nowe umowy lub zaktualizować treść SCC.

Pomimo iż umowy transferu danych zawarte na podstawie dotychczasowych SCC będą uznawane za zapewniające odpowiednie zabezpieczenia jeszcze do dnia 27 grudnia 2022 roku (okres przejściowy), ze względu na złożony charakter materii, odpowiednie działania warto podjąć w możliwie najkrótszym terminie.

Jak możemy pomóc ?

Kancelaria KPMG Law D.Dobkowski sp.k. świadczy pomoc prawną w zakresie ochrony danych osobowych.

Wspieramy naszych Klientów w zakresie między innymi:

  • analiz dotyczących aktualnych i planowanych transferów danych osobowych do państw spoza EOG pod kątem wymogów związanych z ochroną danych osobowych;
  • opracowywania umów w zakresie transferu danych, w tym w oparciu o SCC oraz aktualizacji dotychczasowych umów,
  • wypracowania innych niż SCC rozwiązań ograniczających ryzyka zakwestionowania stosowanych transferów danych, w tym poprzez skorzystanie z innych mechanizmów przewidzianych w RODO;
  • pomocy w ewentualnej korespondencji i postępowaniach wszczętych przez organy nadzorcze (w tym UODO).

Informacje zawarte w niniejszej publikacji mają charakter ogólny i nie dotyczą sytuacji konkretnej firmy. Ze względu na szybkość zmian zachodzących w polskim prawodawstwie prosimy o upewnienie się w dniu zapoznania się z niniejszą publikacją, czy informacje w niej zawarte są wciąż aktualne. Przed podjęciem konkretnych decyzji proponujemy skonsultowanie ich z naszymi doradcami.