Standardowe klauzule umowne do poprawki. Projekt nowej decyzji Komisji Europejskiej

16 czerwca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał wyrok w sprawie Schrems II, w którym zanegowane zostały dotychczasowe zasady transferu danych osobowych do USA. W praktyce wyrok ten może stwarzać administratorom problemy z transferem danych do wszystkich krajów spoza Unii Europejskiej. Poniższy artykuł przybliża i omawia projekt nowych standardowych klauzul umownych przygotowanych przez Komisję Europejską.

Elementy wspólne z dotychczasowymi klauzulami (SCC):

  1. zobowiązanie podmiotu przekazującego dane (wspomaganego przez importera) do rozważenia poziomu ochrony danych osobowych w państwie trzecim;
  2. zobowiązanie odbierającego dane do powiadomienia przekazującego o niemożności przestrzegania przez importera SCC oraz odpowiadający mu obowiązek, spoczywający na eksporterze, wstrzymania przekazywania danych, rozwiązania umowy lub powiadomienia organu nadzorczego, jeśli nadal przekazuje dane osobowe, po otrzymaniu takiego zawiadomienia.

Nowości wynikające z wyroku TSUE (sprawa Schrems II)

  1. podmiot przekazujący dane jest zobowiązany do udokumentowania przeprowadzonej przez siebie oceny skutków transferu i udostępnienia jej na żądanie właściwemu organowi nadzorczemu;
  2. Bezpatna wiedza o RODO.
    Korzystaj do woli!

    Webinary, artykuły, poradniki, szkolenia, migawki i pomoc. Witaj w bazie wiedzy ODO 24.
    WCHODZĘ W TO
    w klauzulach określono czynniki, które przekazujący dane musi wziąć pod uwagę w ocenie skutków transferu. Oprócz uwzględnienia prawa i praktyki w kraju trzecim, projekt klauzul zawiera również pomocne odniesienie m.in. do:
    a. czasu trwania umowy,
    b. skali i prawidłowości transferów, 
    c. długości łańcucha przetwarzania i używanego kanału transmisji,
    d.rodzaju odbiorców,
    e. celu przekazania i charakteru przekazywanych danych;
  3. nowe klauzule obejmują również większe zobowiązania podmiotu odbierającego dane w stosunku do prób uzyskania dostępu do danych osobowych pochodzących z UE przez organy publiczne w kraju trzecim. Podmiot odbierający:
    a. o ile to możliwe, powinien powiadomić zarówno przekazującego dane, jak i osobę, której dane dotyczą, o otrzymaniu wniosku od organu publicznego o dostęp do takich danych;
    b. musi ocenić zgodność z prawem każdego takiego nakazu, odnosząc się do prawa obowiązującego w państwie trzecim, a jeżeli uzna, że ma podstawy do zakwestionowania tego nakazu, musi to zrobić;
    c. w miarę możliwości powinien dążyć do podjęcia środków tymczasowych w celu zawieszenia wszelkich wymogów ujawnienia danych w toku postępowania odwoławczego; musi również ujawnić możliwie najmniejszą ilość danych osobowych w odpowiedzi na żądanie;
    d. importer musi udokumentować te wnioski oraz kroki, jakie podejmuje i udostępnić je eksporterowi. Powinien również przygotować raport przejrzystości (ogólne informacje o charakterze otrzymanych wniosków).

Komisja Europejska nie uwzględniła wszystkich proponowanych przez EROD dodatkowych środków, w szczególności nie uwzględniono sugestii dotyczących „warrant canary” i gwarancji braku „backdor-ów”.

CZYTAJ WIĘCEJ:Skargi pokłosiem Tarczy Prywatności.

Zwiększenie roli organów nadzorczych 

Tam gdzie potrzebne są dodatkowe zabezpieczenia, Komisja wzmacnia rolę, jaką odgrywają organy nadzorcze. Jeżeli przekazujący dane ma powody, by sądzić, że odbierający dane nie może wypełnić swoich zobowiązań wynikających z klauzul albo dlatego, że importer o tym powiadomił lub sam doszedł do takiego wniosku, przekazujący może kontynuować transfer danych osobowych tylko wtedy, gdy wprowadza dodatkowe zabezpieczenia; jeśli jednak przekazujący dane zastosuje takie podejście, musi powiadomić o tym organ nadzorczy i podać pełne szczegóły przyjętych zabezpieczeń.

Okres przejściowy i aneksowanie umów

W projekcie decyzji wykonawczej przewidziano roczny okres przejściowy, w trakcie którego strony mogą wprowadzić w życie nowe klauzule. W tym okresie można nadal dokonywać transferu na podstawie istniejących SCC, chyba że umowy te zostaną zmienione.

RODO. Wspracie się przydaje!

Jeżeli umowy zostaną zmienione, strony tracą możliwość korzystania ze starych klauzul i muszą opierać się na nowych SCC. Jeżeli strony zmienią istniejące umowy w celu wprowadzenia dodatkowych zabezpieczeń – zgodnie z wyrokiem  Schrems II i zaleceniem EROD – wówczas mogą nadal korzystać ze starych  klauzul.

Rozwiązania in plus

  1. Obecne SCC mogą być używane wyłącznie przez eksporterów danych w UE, którzy są administratorami. Oznacza to, że nie ma zatwierdzonych standardowych klauzul umownych, które można zastosować, gdy podmiot przetwarzający w UE przekazuje dane osobowe podmiotowi przetwarzającemu spoza UE (stawiając w ten sposób podmioty przetwarzające z UE w niekorzystnej sytuacji w porównaniu z podmiotami spoza UE) lub gdy podmiot przetwarzający w UE zwraca dane osobowe administratorowi, w imieniu którego przetwarza dane osobowe. Nie ma również zatwierdzonych klauzul do wykorzystania przez eksporterów danych, którzy podlegają RODO, ale nie mają siedziby w UE. Nowe klauzule zajmują się tymi lukami, a ich treść jest wykorzystywana w następujących relacjach: administrator-administrator, administrator - podmiot przetwarzający, podmiot przetwarzający - subprocesor i podmiot przetwarzający -administrator.  Wyraźnie stwierdzają również, że mogą być używane przez strony, które nie mają siedziby w UE.
  2. Administrator-importer musi zgodzić się na zobowiązania dotyczące przejrzystości, z naciskiem na jasny i prosty język, zgodnie z art. 12 RODO. Dostęp, usuwanie i prawa do sprzeciwu wobec przetwarzania do celów marketingu bezpośredniego są również uwzględnione. Jedną z innowacji RODO było uwzględnienie zasady rozliczalności, a zarówno administratorzy, jak i podmioty przetwarzające muszą zgodzić się na wykazanie zgodności z SCC; podmioty przetwarzające muszą również prowadzić rejestr wszystkich kategorii czynności przetwarzania dla operacji, które realizują w imieniu administratora.

Kontrowersje

  1.  W przypadku gdy administrator z UE przekazuje dane osobowe administratorowi spoza UE, klauzule wprowadzają uciążliwe obowiązki w zakresie przejrzystości. Administrator importujący musi powiadomić osobę, której dane dotyczą, o wszystkich transferach danych, które zamierza przekazać stronom trzecim , w tym określić osobę trzecią i cel przekazania.
  2. Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

    Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
    ODBIERZ PAKIET
    W przypadku gdy podmiot przetwarzający z UE przekazuje dane osobowe podmiotowi przetwarzającemu spoza UE, klauzule wymagają, aby subprocesor zawiadomił i pomógł bezpośrednio administratorowi, zamiast pozostawić to w gestii procesora (pierwszego). Na przykład, jeśli importujący procesor chce wyznaczyć subprocesora, musi powiadomić o tym pierwotnego administratora.
  3. Pomocna jest koncepcja klauzuli „dokującej”, która umożliwia dołączanie nowych stron. Klauzule stanowią, że nowa strona może przystąpić wypełniając nowy aneks dotyczący przekazywania danych za porozumieniem stron. Nie jest jasne, w jaki sposób istniejące strony zgodziłyby się na porozumienie.

Nowe klauzule

Ponieważ nowe klauzule dotyczą transferów C2C, C2P, P2P i P2C, wyglądają one zupełnie inaczej niż obecne SCC, w których istnieją oddzielne, niezależne umowy dla każdego rodzaju transferu danych. Nowe klauzule zawierają określoną treść, która ma zastosowanie do wszystkich sytuacji – na przykład przepisy wprowadzające, przepisy dotyczące nieprzestrzegania przepisów i rozwiązania umowy. Zawierają również modułową zawartość, która ma zastosowanie tylko do tego konkretnego rodzaju transferu (C2C, C2P, P2P lub P2C). W rezultacie nowe klauzule bardzo się różnią od obecnych SCC.


Sekcja 1


Zapisy ogólne.


 - cel i zakres stosowania,
 - prawa osób, których dane dotyczą,
 - szczegóły dotyczące transferów,
 - mechanizm przystąpienia.

 


Sekcja 2


Część modułowa.

 
 - obowiązki w zakresie ODO,

 - wpływ transferu i związane z nim zobowiązania.

  


Zapisy ogólne z możliwością edycji.

 
 - zadośćuczynienie,
 - odpowiedzialność,
 - odszkodowanie,
 - nadzór.


Sekcja 3


Zapisy ogólne z możliwością edycji.


 - wypowiedzenie,
 - prawo właściwe i jurysdykcja.

Jak to określiła Komisja Europejska w omawianym projekcie decyzji, uzupełnienie standardowych klauzul umownych o nowe klauzule i dodatkowe zabezpieczenia ma służyć temu, aby  dane osobowe przekazywane na tej podstawie były objęte poziomem ochrony zasadniczo równoważnym z tym, który jest gwarantowany w Unii Europejskiej. KE zachęca administratorów i podmioty przetwarzające do zapewnienia takich zabezpieczeń, o ile to jest możliwe i nie stoi w sprzeczności, bezpośrednio lub pośrednio, ze standardowymi klauzulami umownymi, ani nie narusza podstawowych praw lub wolności osób, których dane dotyczą.

Czytaj także:

Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".