Elementy wspólne z dotychczasowymi klauzulami (SCC):

1. zobowiązanie podmiotu przekazującego dane (wspomaganego przez importera) do rozważenia poziomu ochrony danych osobowych w państwie trzecim;
2. zobowiązanie odbierającego dane do powiadomienia przekazującego o niemożności przestrzegania przez importera SCC oraz odpowiadający mu obowiązek, spoczywający na eksporterze, wstrzymania przekazywania danych, rozwiązania umowy lub powiadomienia organu nadzorczego, jeśli nadal przekazuje dane osobowe, po otrzymaniu takiego zawiadomienia.

Nowości wynikające z wyroku TSUE (sprawa Schrems II)

1. podmiot przekazujący dane jest zobowiązany do udokumentowania przeprowadzonej przez siebie oceny skutków transferu i udostępnienia jej na żądanie właściwemu organowi nadzorczemu;
2. 

   Bezpłatna wiedza o RODO.
   Korzystaj do woli!

   Webinary, artykuły, poradniki, szkolenia, migawki i pomoc. Witaj w bazie wiedzy ODO 24.

   WCHODZĘ W TO
   w klauzulach określono czynniki, które przekazujący dane musi wziąć pod uwagę w ocenie skutków transferu. Oprócz uwzględnienia prawa i praktyki w kraju trzecim, projekt klauzul zawiera również pomocne odniesienie m.in. do:
   a. czasu trwania umowy,
   b. skali i prawidłowości transferów, 
   c. długości łańcucha przetwarzania i używanego kanału transmisji,
   d.rodzaju odbiorców,
   e. celu przekazania i charakteru przekazywanych danych;
3. nowe klauzule obejmują również większe zobowiązania podmiotu odbierającego dane w stosunku do prób uzyskania dostępu do danych osobowych pochodzących z UE przez organy publiczne w kraju trzecim. Podmiot odbierający:
   a. o ile to możliwe, powinien powiadomić zarówno przekazującego dane, jak i osobę, której dane dotyczą, o otrzymaniu wniosku od organu publicznego o dostęp do takich danych;
   b. musi ocenić zgodność z prawem każdego takiego nakazu, odnosząc się do prawa obowiązującego w państwie trzecim, a jeżeli uzna, że ma podstawy do zakwestionowania tego nakazu, musi to zrobić;
   c. w miarę możliwości powinien dążyć do podjęcia środków tymczasowych w celu zawieszenia wszelkich wymogów ujawnienia danych w toku postępowania odwoławczego; musi również ujawnić możliwie najmniejszą ilość danych osobowych w odpowiedzi na żądanie;
   d. importer musi udokumentować te wnioski oraz kroki, jakie podejmuje i udostępnić je eksporterowi. Powinien również przygotować raport przejrzystości (ogólne informacje o charakterze otrzymanych wniosków).

Komisja Europejska nie uwzględniła wszystkich proponowanych przez EROD dodatkowych środków, w szczególności nie uwzględniono sugestii dotyczących „warrant canary” i gwarancji braku „backdor-ów”.

Zwiększenie roli organów nadzorczych 

Tam gdzie potrzebne są dodatkowe zabezpieczenia, Komisja wzmacnia rolę, jaką odgrywają organy nadzorcze. Jeżeli przekazujący dane ma powody, by sądzić, że odbierający dane nie może wypełnić swoich zobowiązań wynikających z klauzul albo dlatego, że importer o tym powiadomił lub sam doszedł do takiego wniosku, przekazujący może kontynuować transfer danych osobowych tylko wtedy, gdy wprowadza dodatkowe zabezpieczenia; jeśli jednak przekazujący dane zastosuje takie podejście, musi powiadomić o tym organ nadzorczy i podać pełne szczegóły przyjętych zabezpieczeń.

Okres przejściowy i aneksowanie umów

W projekcie decyzji wykonawczej przewidziano roczny okres przejściowy, w trakcie którego strony mogą wprowadzić w życie nowe klauzule. W tym okresie można nadal dokonywać transferu na podstawie istniejących SCC, chyba że umowy te zostaną zmienione.

Jeżeli umowy zostaną zmienione, strony tracą możliwość korzystania ze starych klauzul i muszą opierać się na nowych SCC. Jeżeli strony zmienią istniejące umowy w celu wprowadzenia dodatkowych zabezpieczeń – zgodnie z wyrokiem  Schrems II i zaleceniem EROD – wówczas mogą nadal korzystać ze starych  klauzul.

Rozwiązania in plus

1. Obecne SCC mogą być używane wyłącznie przez eksporterów danych w UE, którzy są administratorami. Oznacza to, że nie ma zatwierdzonych standardowych klauzul umownych, które można zastosować, gdy podmiot przetwarzający w UE przekazuje dane osobowe podmiotowi przetwarzającemu spoza UE (stawiając w ten sposób podmioty przetwarzające z UE w niekorzystnej sytuacji w porównaniu z podmiotami spoza UE) lub gdy podmiot przetwarzający w UE zwraca dane osobowe administratorowi, w imieniu którego przetwarza dane osobowe. Nie ma również zatwierdzonych klauzul do wykorzystania przez eksporterów danych, którzy podlegają RODO, ale nie mają siedziby w UE. Nowe klauzule zajmują się tymi lukami, a ich treść jest wykorzystywana w następujących relacjach: administrator-administrator, administrator - podmiot przetwarzający, podmiot przetwarzający - subprocesor i podmiot przetwarzający -administrator.  Wyraźnie stwierdzają również, że mogą być używane przez strony, które nie mają siedziby w UE.
2. Administrator-importer musi zgodzić się na zobowiązania dotyczące przejrzystości, z naciskiem na jasny i prosty język, zgodnie z art. 12 RODO. Dostęp, usuwanie i prawa do sprzeciwu wobec przetwarzania do celów marketingu bezpośredniego są również uwzględnione. Jedną z innowacji RODO było uwzględnienie zasady rozliczalności, a zarówno administratorzy, jak i podmioty przetwarzające muszą zgodzić się na wykazanie zgodności z SCC; podmioty przetwarzające muszą również prowadzić rejestr wszystkich kategorii czynności przetwarzania dla operacji, które realizują w imieniu administratora.

Kontrowersje

1.  W przypadku gdy administrator z UE przekazuje dane osobowe administratorowi spoza UE, klauzule wprowadzają uciążliwe obowiązki w zakresie przejrzystości. Administrator importujący musi powiadomić osobę, której dane dotyczą, o wszystkich transferach danych, które zamierza przekazać stronom trzecim , w tym określić osobę trzecią i cel przekazania.
2. 

   Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

   Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.

   ODBIERZ PAKIET
   W przypadku gdy podmiot przetwarzający z UE przekazuje dane osobowe podmiotowi przetwarzającemu spoza UE, klauzule wymagają, aby subprocesor zawiadomił i pomógł bezpośrednio administratorowi, zamiast pozostawić to w gestii procesora (pierwszego). Na przykład, jeśli importujący procesor chce wyznaczyć subprocesora, musi powiadomić o tym pierwotnego administratora.
3. Pomocna jest koncepcja klauzuli „dokującej”, która umożliwia dołączanie nowych stron. Klauzule stanowią, że nowa strona może przystąpić wypełniając nowy aneks dotyczący przekazywania danych za porozumieniem stron. Nie jest jasne, w jaki sposób istniejące strony zgodziłyby się na porozumienie.

Nowe klauzule

Ponieważ nowe klauzule dotyczą transferów C2C, C2P, P2P i P2C, wyglądają one zupełnie inaczej niż obecne SCC, w których istnieją oddzielne, niezależne umowy dla każdego rodzaju transferu danych. Nowe klauzule zawierają określoną treść, która ma zastosowanie do wszystkich sytuacji – na przykład przepisy wprowadzające, przepisy dotyczące nieprzestrzegania przepisów i rozwiązania umowy. Zawierają również modułową zawartość, która ma zastosowanie tylko do tego konkretnego rodzaju transferu (C2C, C2P, P2P lub P2C). W rezultacie nowe klauzule bardzo się różnią od obecnych SCC.

Jak to określiła Komisja Europejska w omawianym projekcie decyzji, uzupełnienie standardowych klauzul umownych o nowe klauzule i dodatkowe zabezpieczenia ma służyć temu, aby  dane osobowe przekazywane na tej podstawie były objęte poziomem ochrony zasadniczo równoważnym z tym, który jest gwarantowany w Unii Europejskiej. KE zachęca administratorów i podmioty przetwarzające do zapewnienia takich zabezpieczeń, o ile to jest możliwe i nie stoi w sprzeczności, bezpośrednio lub pośrednio, ze standardowymi klauzulami umownymi, ani nie narusza podstawowych praw lub wolności osób, których dane dotyczą.