Wzory standardowych klauzul umownych zgodne z RODO – transfer danych poza EOG

Od 27 czerwca 2021 r. obowiązują nowe wzory standardowych klauzul umownych (SKU), których celem jest zabezpieczenie transferu danych osobowych do państw trzecich. Każdy administrator powinien rozważyć ich zastosowanie, jeżeli udostępnia dane osobowe poza EOG, na przykład w związku z międzynarodową współpracą, bądź przy okazji korzystania z usług podmiotów zagranicznych.

Wprowadzenie nowych wzorów standardowych klauzul umownych

W dniu 4 czerwca 2021 r. Komisja Europejska wydała decyzję wykonawczą w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, na mocy której przyjęto nową treść SKU.

SKU zaktualizowano w związku z wprowadzeniem RODO, jak i w konsekwencji wyroku Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z dnia 18 lipca 2020 r., w sprawie Schrems II.

CZYTAJ WIĘCEJ: Projekt nowej decyzji Komisji Europejskiej

Dotychczasowa treść SKU, które zawierały podmioty transferujące dane osobowe poza EOG, oparta była na decyzji Komisji Europejskiej z dnia 5 lutego 2010 r., wydanej na podstawie dyrektywy 95/46/WE, a obowiązującej jeszcze przed wprowadzeniem RODO.

Obowiązywanie nowych SKU

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
Nowe SKU weszły w życie w dniu 27 czerwca 2021 r. Stare SKU zostały uchylone w 27 września 2021 r., po upływie trzymiesięcznego okresu przejściowego.

Umowy, które zostały zawarte do 27 września 2021 r. mogą dalej obowiązywać w niezmienionej postaci do 27 grudnia 2022 r. (zob. komunikat na stronie UODO).

Każda nowa umowa zawarta po 27 września 2021 r. wymaga rozważenia zastosowania nowych SKU, jeżeli w toku jej wykonywania nastąpi udostępnienie, bądź inna forma transferu danych osobowych  poza EOG.

Modułowa konstrukcja nowych SKU

Treść nowych SKU zawarta w decyzji wykonawczej Komisji, stanowi dokument liczący 31 stron (w wersji polskiej), który kryje w sobie cztery alternatywne wzory umowy, nazywane modułami. Odpowiedni moduł  powinien być zawarty dla danej relacji pomiędzy podmiotami, które biorą udział w transferze danych osobowych poza EOG:

  1. Moduł pierwszy: umowa pomiędzy między dwoma administratorami, w tym jednym administratorem poza EOG;
  2. Moduł drugi: umowa pomiędzy administratorem, a procesorem poza EOG;
  3. Moduł trzeci: umowa pomiędzy dwoma procesorami, w tym jednym procesorem poza EOG;
  4. Moduł czwarty: umowa pomiędzy procesorem, a administratorem w państwie trzecim.

Część postanowień SKU ma charakter ogólny i jest tożsama dla każdego modułu. Pozostałe fragmenty są specyficzne dla poszczególnych modułów, co obrazuje następujący przykład:

Klauzula 18
Wybór forum i jurysdykcji

Moduł pierwszy: przekazywanie między administratorami
Moduł drugi: przekazywanie przez administratora podmiotowi przetwarzającemu
Moduł trzeci: Przekazywanie między podmiotami przetwarzającymi
a) Wszelkie spory wynikające z klauzul są rozstrzygane przez sądy państwa członkowieskiego UE.
b) Strony uzgadniają, że są to sądy: .......... (należy wskazać państwo członkowskie).
c) Osoba, której dane dotyczą, moęż również wszcząć postępowanie sądowe przeciwko podmiotowi przekazującemu dane lub podmiotowi odbierającemu dane przed sądami państwa członkowskiego, w którym znajduje się jej miejsce zwykłego pobytu.
d) Strony uzgadniają, że będą podlegały jurysdykcji tych sądów.
Moduł czwarty: Przekazywanie przez podmiot przetwarzający administratorowi
Wszelkie spory wynikające z niniejszych klauzul są rozstrzygane przez sądy ......... (należy wskazać państwo).

Celem zawarcia SKU jest zabezpieczenie podstawy prawnej transferu danych do państwa trzeciego. Oznacza to, że treść poszczególnych modułów nie powinna być modyfikowana, z wyłączeniem wyboru odpowiedniego modułu i jego uzupełnienia we fragmentach wskazanych przez unijnego ustawodawcę.

Praktyka gospodarcza - dodatkowe 60 stron umowy z partnerem handlowym z USA

Wyrok Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z 16 czerwca 2020 r.  w sprawie Schrems II unieważnił decyzję wykonawczą Komisji 2016/1250 z dnia 12 lipca 2016 r. w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE–USA (Privacy Shield).

Tarcza prywatności w znacznym stopniu ułatwiała transfer, w tym udostępnianie danych osobowych do kontrahentów w USA. Po jej unieważnieniu, to właśnie nowe SKU stanowić mogą powszechnie wybieraną przez przedsiębiorców podstawą udostępniania oraz innych form transferu danych do USA.

Funkcja IOD - to się dobrze przekazuje

Nie sposób przy tym pominąć, że zawieranie nowej, dodatkowej umowy opartej na SKU, może przedłużyć negocjacje partnerów handlowych. Podmiot działający na rynku polskim jest zwykle zainteresowany zawarciem umowy w języku polskim, zaś podmiot zagraniczny - umową w języku angielskim.

Zawarcie umowy w dwóch wersjach językowych, w oparciu o wzór udostępniony przez instytucje unijne, oznacza konieczność podpisania dodatkowego, ponad 60-stronicowego dokumentu.

Cztery wzory opracowane przez ODO 24

Wzory do pobrania
W odpowiedzi na oczekiwania rynku, w celu uproszczenia i przyspieszenia Państwa negocjacji z międzynarodowymi partnerami handlowymi, zespół ODO 24 opracował cztery wzory standardowych klauzul umownych, zgodnych z RODO, ale „odchudzonych” ze zbędnej treści.

Każdy ze wzorów zawiera wyłącznie treść odpowiedniego modułu, w dwóch wersjach językowych, tj. polskiej i angielskiej:
- Moduł pierwszy: ADO - ADO;
- Moduł drugi: ADO - PP;
- Moduł trzeci: PP - PP;
- Moduł czwarty: PP - ADO;

Dodatkowe obowiązki

Każdy z powyższych wzorów należy uzupełnić we wskazanych polach, w celu dostosowania dokumentu do konkretnego transferu danych pomiędzy kontrahentami.

Należy przypomnieć, iż samo zastosowanie nowych SKU może nie być wystarczającą podstawą transferu danych poza obszar EOG. W orzeczeniu Schrems II, Trybunał sprawiedliwości zwrócił uwagę, że w pewnych okolicznościach konieczne są dalsze środki, oprócz SKU, w celu ustanowienia odpowiedniego poziomu ochrony danych w państwie trzecim. W szczególności podmioty transferujące dane nie zostają zwolnione z obowiązku samodzielnej oceny prawa i praktyki w zakresie danych osobowych w państwie trzecim, do którego zamierzają transferować dane.

CZYTAJ WIĘCEJ: Jak zabezpieczyć transfer danych do państw trzecich?

W razie wątpliwości co do wymaganego zakresu właściwych działań i zastosowania odpowiednich środków bezpieczeństwa, warto rozważyć konsultacje z ekspertami w dziedzinie ochrony danych osobowych.

quiz

Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!

Które z poniższych twierdzeń jest błędne:

Czytaj także:

Najczęstsze błędy przy zawieraniu umów powierzenia
Pamiętaj: sprawdź link, zanim klikniesz!
Never gonna give you up!
Check the link before you click
Never gonna give you up!