Jakie są dostępne moduły i jak należy wybrać moduł właściwy?
ODPOWIEDŹ
W SCC połączono klauzule ogólne, które mają zastosowanie we każdym przypadku
(np. sekcja I) wraz z czterema modułami, które są dostosowane do różnych scenariuszy transferu danych poza EOG. Strony muszą wybrać moduł, który odpowiada zaistniałemu stanowi faktycznemu, w szczególności w świetle pełnionych ról, tj. czy są administratorami, podmiotami przetwarzającymi czy subprocesorami (w odniesieniu do znaczenia tych pojęć zob. również wytyczne Europejskiej Rady Ochrony Danych, dostępne tu: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_en
Moduł 1 ma zastosowanie do przekazywania danych przez administratora (podmiotu przekazującego dane) do innego administratora (podmiotu odbierającego dane).
Przykład:
szwedzkie biuro podróży zawarło umowę ramową z siecią hoteli na organizowanie zakwaterowania dla turystów europejskich na całym świecie. Aby przekazać dane gości do centrum rezerwacji sieci (podmiot odbierający dane) w oparciu o SCC, agencja szwedzka (podmiot przekazujący dane) powinna skorzystać z Modułu 1.
Moduł 2 ma zastosowanie do przekazywania danych przez administratora (podmiotu przekazującego dane) do podmiotu przetwarzającego (podmiotu odbierającego dane).
Przykład:
firma w Holandii zleca usługi kadrowe dostawcy działającemu w Indiach. Firma z Holandii powinna skorzystać z Modułu 2, aby przekazać dane swoich pracowników indyjskiemu dostawcy (podmiotowi odbierającemu dane) w oparciu o SCC.
Moduł 3 dotyczy przekazywania danych przez podmiot przetwarzający (podmiot przekazujący dane) do subprocesora (podmiot odbierający dane).
Przykład:
szpital w Niemczech przekazuje próbki krwi, do analizy w laboratorium w Polsce. Polskie laboratorium zleca niektóre z obszarów swoich usług - indonezyjskiemu instytutowi, specjalizującemu się w analizie genetycznej, wykorzystując w tym celu SCC. Polskie laboratorium (podmiot przekazujący dane) może skorzystać z Modułu 3, aby przekazać dane do indonezyjskiego instytutu (podmiot odbierający dane).
Moduł 4 dotyczy przekazywania danych przez podmiot przetwarzający (podmiot przekazujący dane) do administratora (podmiot odbierający dane).
Przykład 1:
firma marokańska korzysta z usług w chmurze oferowanych przez firmę luksemburską w celu zarządzania swoją bazą klientów. SCC (moduł 4) mogą być używane przez przedsiębiorstwo luksemburskie (podmiot przekazujący dane) w celu przesyłania danych ze swojego serwera w Luksemburgu (z powrotem) do klienta w Maroku (podmiot odbierający dane).
Przykład 2:
uniwersytet w Tunezji wynajmuje instytut badawczy w Belgii, w celu przeprowadzenia ankiety, w ramach której belgijski instytut zbiera i przetwarza dane w UE, aby następnie przesłać dane na tunezyjską uczelnię. SCC (moduł 4) może być wykorzystany przez instytut belgijski (podmiot przekazujący dane) do przekazywania danych do uniwersytetu w Tunezji (podmiot odbierający dane).
Powyższa odpowiedź pochodzi z oficjalnego dokumentu Komisji Europejskiej.
Mogą się Państwo z nim zapoznać pod adresem: https://ec.europa.eu/info/sites/default/files/questions_answers_on_sccs_en.pdf
Na naszym blogu zamiesiliśmy jego tłumaczenie: "Standardowe klauzule umowne (SCC) – pytania i odpowiedzi".