Nowy projekt standardowych klauzul umownych dotyczących transferu danych osobowych poza UE

3 grudnia 2020

Nowy projekt standardowych klauzul umownych dotyczących transferu danych osobowych poza UE

Trwają konsultacje nowego projektu standardowych klauzul umownych dotyczących transferu danych osobowych poza UE. Co się zmieni? Odpowiedź znajdziecie w artykule, przygotowanym przez ekspertów zaprzyjaźnionej Kancelarii GARRIGUES.

 

Standardowe klauzule umowne („SCC”) są zestawem postanowień kontraktowych, określających podstawowe prawa i obowiązki stron innej, łączącej strony umowy zakładającej powierzenie przetwarzania danych osobowych. Po raz pierwszy SCC zostały sformułowane w decyzji Komisji Europejskiej („KE”) 2001/497/WE z dnia 15 czerwca 2001 r., wydanej na podstawie dyrektywy 95/46/WE o ochronie danych osobowych. Pomimo, że SCC można było stosować do wszelkich rodzajów umów przewidujących przetwarzanie danych osobowych, największe znaczenie miały one w umowach pomiędzy podmiotami pochodzącymi z UE, a przedsiębiorstwami z siedzibami w państwach spoza Unii. Standardowe klauzule umowne do dzisiaj są jedną z możliwych podstaw prawnych przetwarzania danych osobowych przez podmioty, które podlegają prawu właściwemu państwa spoza UE niespełniającemu wymogów ochrony danych osobowych przewidzianych w ogólnym rozporządzeniu o ochronie danych z dnia 27 kwietnia 2016 r., 95/46/WE („RODO”). Strony mogły wpleść postanowienia SCC do umowy głównej lub na ich podstawie przygotować odpowiednio dostosowany załącznik.

SCC były kilkukrotnie modyfikowane, m. in. przez decyzję KE 2010/87/EU w 2010 r. oraz RODO w 2016 r. Od tego czasu, na skutek bogatego orzecznictwa TSUE, standardowe klauzule umowne uległy dezaktualizacji i wymagały dostosowania do bieżącego stanu prawnego.

W dniu 12 listopada 2020 r. Komisja Europejska przedstawiła projekt decyzji dotyczącej nowej treści standardowych klauzul umownych. W projektowanej decyzji Komisja Europejska stwierdza, że nowa treść standardowych klauzul umownych zapewnia odpowiednie środki bezpieczeństwa w rozumieniu art. 46 RODO oraz jasno określa prawa i obowiązki stron procesu przetwarzania danych osobowych.

Podmioty, które przekazują lub odbierają dane osobowe na podstawie standardowych klauzul umownych na podstawie wcześniejszych decyzji 2001/497/EC lub 2010/87/EU mogą opierać się na nich wyłącznie przez okres 1 roku od dnia wejścia w życie projektowanej decyzji, pod warunkiem, że łącząca strony umowa nie ulegnie zmianie, z wyjątkiem zmian służących zapewnieniu odpowiednich środków bezpieczeństwa.

Poniżej opisane zostały wybrane, najważniejsze zmiany w projektowanych standardowych klauzulach umownych:

  1. Postanowienia nowych SCC zyskują moc postanowień najwyższego rzędu spośród wszystkich umów zawartych pomiędzy stronami. Oznacza to, że w przypadku, gdy strony łączą inne umowy, postanowienia SCC mają mieć charakter dominujący, a pozostałe umowy zawarte między tymi samymi stronami powinny być z nimi zgodne.
  2. Wszelkie instrukcje dotyczące przetwarzania danych powinny być w formie możliwej do udokumentowania tj. e-mail, pismo, plik elektroniczny, czy nawet sms. Istotna jest forma instrukcji, która pozwalałaby na obiektywne odczytanie jej treści. W obecnym stanie prawnym instrukcje mogą być przekazywane również w formie ustnej.
  3. Obowiązkowym elementem nowych SCC stanie się lista celów przetwarzania danych oraz zastosowanych środków bezpieczeństwa. Cele i środki powinny być precyzyjnie wskazane, unikając pojęć ogólnych i z zachowaniem zasady minimalizmu przekazywanych danych.
  4. Nowa treść SCC zachęca również do rozważenia zastosowania szyfrowania i pseudonimizacji przekazywanych danych w celu zabezpieczenia ich transferu.
  5. Obie strony będą zobowiązane do posiadania możliwości wykazania zgodności przetwarzania danych z SCC, w tym posiadania odpowiedniej dokumentacji.
  6. Najważniejsze zmiany, które zostały wprowadzone do SCC, wynikają bezpośrednio z treści wyroku w sprawie Schrems II (której skutki opisywaliśmy tutaj) i obejmują klauzulę drugą oraz trzecią projektowanych standardowych klauzul umownych. Klauzula druga zawiera postanowienia, na podstawie których strony oświadczają, że nie mają podstaw do stwierdzenia, że prawo państwa trzeciego, któremu podlega odbiorca danych, uniemożliwia odbiorcy wypełnienie zobowiązań wynikających z SCC, przy czym, w szczególności dotyczy to praw organów krajowych do ujawnienia treści przekazywanych danych osobowych. Oświadczenie to uzasadnione jest założeniem, że prawo, które respektuje prawa i wolności ludzi oraz które stosuje jedynie proporcjonalne i niezbędne środki do ochrony wartości wymienionych w art. 23 RODO (m. in. bezpieczeństwo narodowe, bezpieczeństwo publiczne, ochrona sądów, zapobieganie przestępczości itp.) nie stoi w sprzeczności z treścią SCC.

W tym zakresie, podpisując nowe SCC, strony potwierdzają, że wzięły pod uwagę liczne czynniki wpływająca na zgodność transferu danych do państw trzecich, w tym istotne przepisy prawa państwa trzeciego.

W Klauzuli trzeciej odbiorca danych zobowiązuje się do podjęcia określonych działań w przypadku otrzymania wiążącego prawnie żądania dostępu do danych wydanego przez organ władzy publicznej lub w przypadku uzyskania informacji o udostępnieniu danych organowi władzy publicznej. Podstawowym obowiązkiem odbiorcy jest poinformowanie podmiotu przekazującego dane o otrzymanym żądaniu lub uzyskanym dostępie. W przypadku, gdy prawo właściwe zakazuje informowania podmiotów trzecich o ujawnieniu danych, odbiorca ma obowiązek podjęcia i udokumentowania wszelkich możliwych czynności zmierzających do zwolnienia go z tego zakazu. Odbiorca danych jest ponadto zobowiązany do podjęcia wszelkich środków zmierzających do podważenia lub zawieszenia działania decyzji. Takie sformułowanie zobowiązania odbiorcy może prowadzić do nadmiernych trudności w jego wykonaniu, bowiem skorzystanie z wszelkich możliwych środków nie zawsze jest opłacalne czy racjonalne.

Zgodnie z powyższą klauzulą, odbiorca danych będzie zobowiązany również, w regularnych odstępach czasu, przedstawiać podmiotowi przekazującemu dane, w jak najszerszym zakresie, informacje o otrzymanych żądaniach dostępu do przekazywanych danych wydanych przez organy władzy publicznej.

Mając na uwadze czas, który upłynął od dnia wydania orzeczenia w sprawie Schrems II, można śmiało stwierdzić, że Komisja Europejska potraktowała problem transferu danych do państw trzecich priorytetowo. Niewątpliwie nowe SCC stanowią wyraz zarówno wieloletniej praktyki orzeczniczej TSUE, w tym konkluzji wynikających z wyroku w sprawie Schrems II, jak i głosów przedstawicieli biznesu. Uwypuklona została zasada transparentności przetwarzania danych. Na koncerny odbierające dane osobowe z Unii Europejskiej nowe SCC nakładają dodatkowe obowiązki, którym będą musieli sprostać. Co najważniejsze, wprowadzono mechanizmy mające na celu zapobieganie i przeciwdziałanie decyzjom organów krajowych udzielających dostępu do danych osobowych przekazywanych z UE. Pomimo, iż projektowane standardowe klauzule umowne nie wpływają w jakikolwiek sposób na treść lub interpretację prawa obowiązującego w USA, SCC wprost dopuszczają istnienie różnorakich uprawnień organów państwowych w ustawodawstwach państw trzecich i stanowią wyraz podjęcia działań mających na celu zminimalizowanie ryzyka związanego z tymi uprawnieniami. Tym samym Komisja Europejska potwierdza dopuszczalność transferu danych osobowych z UE do państw trzecich, na podstawie SCC, w przypadkach, gdy ustawodawstwo danego państwa spoza UE nie zapewnia równorzędnego poziomu ochrony danych osobowych co RODO. 

Zmiany w nowych SCC można komentować do dnia 10 grudnia 2020 r. na stronie Komisji Europejskiej pod linkiem:

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries

 

Wpis gościnny kancelarii GARRIGUES:

Warsaw Financial Center
Emilii Plater, 53
00-113 Warszawa 
Tel.: +48 22 540 6100
Fax: +48 22 540 6101

 

PYTANIA? SKONTAKTUJ SIĘ Z NAMI

 

Zobacz również: