Do jakich transferów można wykorzystać SCC?
ODPOWIEDŹ
SCC mogą być wykorzystywane przez administratorów lub podmioty przetwarzające, którzy podlegają reżimowi RODO, do przekazywania danych osobowych administratorom lub podmiotom przetwarzającym działającym poza EOG, którzy nie podlegają RODO.
Po pierwsze, SCC mogą być wykorzystywane przez administratorów i podmioty przetwarzające w EOG, w celu przekazania danych poza EOG, w szczególności gdy planowane jest:
- przekazanie danych osobowych przez administratora działającego w EOG - do administratora lub podmiotu przetwarzającego działającego poza EOG, który nie podlega reżimowi RODO;
- przez podmiot przetwarzający działający w EOG – w celu przekazania danych osobowych dalszemu podmiotowi przetwarzającemu lub administratorowi działającemu poza EOG (w imieniu którego przekazujący podmiot przetwarzający przetwarza dane), który nie podlega reżimowi RODO.
Przykład:
czeska firma wykorzystuje SCC, do przekazywania danych swoich pracowników, do dostawcy usług outsourcingu kadrowego w Singapurze.
Po drugie, unijne przepisy o ochronie danych mają w określonych sytuacjach bezpośrednie zastosowanie do działalności administratorów i podmiotów przetwarzających funkcjonujących poza EOG, np. z tego względu, iż działają na rynku EOG, oferując towary lub usługi osobom fizycznym w EOG (więcej informacji - patrz: wytyczne Europejskiej Rady Ochrony Danych, dostępne pod adresem https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_3_2018_territorial_scope_after_public_consultation_en_1.pdfZ uwagi na powyższe, SCC mogą być wykorzystywane przez administratorów i podmioty przetwarzające działające poza EOG, w celu transferu danych do innych administratorów i podmiotów działających poza EOG, w szczególności w sytuacji:
- gdy administrator działa poza EOG, ale podejmowane przez niego przetwarzanie podlega reżimowi RODO – zamierza przekazać dane innemu administratorowi lub podmiotowi przetwarzającemu, który również działa poza EOG, ale nie podlega reżimowi RODO;
Przykład:
biuro podróży w Tajlandii podlega bezpośrednio reżimowi RODO na mocy jego art. 3 ust. 2, ponieważ oferuje pakiety turystyczne skierowane do klientów europejskich (oferta pakietów jest sporządzana w językach używanych w EOG, dostosowana do potrzeb i preferencji turystów europejskich, z możliwością zapłaty w euro lub innej walucie używanej w EOG itp.). Aby zorganizować zakwaterowanie w Tajlandii, biuro posiada stałą umowę z lokalnym tajlandzkim hotelem. Tajlandzkie biuro podróży może korzystać z SCC (Moduł 1), aby udostępnić tajlandzkiemu hotelowi dane osobowe turystów europejskich.
Powyższa odpowiedź pochodzi z oficjalnego dokumentu Komisji Europejskiej.
Mogą się Państwo z nim zapoznać pod adresem: https://ec.europa.eu/info/sites/default/files/questions_answers_on_sccs_en.pdf
Na naszym blogu zamiesiliśmy jego tłumaczenie: "Standardowe klauzule umowne (SCC) – pytania i odpowiedzi".
