fbpx

Transfer danych do państw trzecich po zmianach, czyli o nowych standardowych klauzulach umownych

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on email
Email

Odpowiadając na powszechne zapotrzebowanie wprowadzenia zgodnej z RODO podstawy przekazywania danych osobowych do państw trzecich, Komisja Europejska wydała decyzję w sprawie nowych standardowych klauzul umownych dotyczących transferu danych do takich państw. Tym samym, dotychczas stosowane rozwiązanie przejściowe w postaci klauzul pochodzących z „ery przedRODO-wej” powoli odchodzi w przeszłość. Co zmiany te oznaczają dla administratorów danych osobowych i jak powinni się do nich przygotować?

Podsumowanie na start

Nie chcesz czytać całego artykułu? Zapoznaj się z naszym podsumowaniem poniżej:

  1. „Najwygodniejszą” podstawą przekazania danych osobowych do państwa trzeciego jest decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony danych osobowych w danym państwie trzecim. Niewielka liczba takich decyzji sprawia jednak, że administratorzy często zmuszeni są korzystać z innych podstaw, którymi są m.in. standardowe klauzule umowne.
  2. Standardowe klauzule umowne dotyczące przekazywania danych osobowych do państw trzecich to po prostu „gotowe” zapisy umowne, które powinny znaleźć się w umowie w przedmiocie przekazania danych osobowych z państwa EOG do państwa trzeciego.
  3. Zgodnie z ustalonym harmonogramem, umowy oparte na „starych” klauzulach mogą być zawierane do dnia 27 września 2021 r., natomiast ostateczny termin utraty mocy prawnej przez takie umowy to 27 grudnia 2022 r.
  4. Zakres działań, które powinien podjąć administrator danych osobowych w związku z pojawieniem się nowych klauzul umownych w praktyce jest uzależniony od tego, czy mógł on negocjować postanowienia umowy z kontrahentem, czy musiał zaakceptować stosowane przez niego ogólne warunki przetwarzania. 

Prawne podstawy przekazywania danych osobowych do państw trzecich

Zgodnie z przepisami RODO, administrator, który chce przekazać przetwarzane przez siebie dane osobowe do państwa trzeciego (czyli nienależącego do Europejskiego Obszaru Gospodarczego, obejmującego państwa UE oraz Norwegię, Islandię i Liechtenstein), może uczynić to jedynie wówczas, gdy ma ku temu odpowiednią podstawę prawną. „Najwygodniejszą” z nich jest bez wątpienia decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony danych osobowych w danym państwie trzecim, co de facto zwalnia administratora z podejmowania „nadzwyczajnych” działań w związku z przekazaniem danych osobowych do tego państwa.

Niestety, grono państw i terytoriów, wobec których została wydana powyższa decyzja, jest relatywnie niewielkie, a co jeszcze bardziej istotne, aktualnie nie ma w nim USA. Wprawdzie to ostatnie państwo było przez pewien czas objęte odpowiednią decyzją (tzw. „Tarczą Prywatności”), która jednak została uchylona przez Trybunał Sprawiedliwości UE w 2020 r. Rozstrzygnięcie to wywołało spore zamieszania zarówno wśród administratorów z EOG, jak i ich kontrahentów zza oceanu (włączając to takich „gigantów” jak Google czy Facebook), którzy nieoczekiwanie zostali zmuszeni do znalezienia innej podstawy przekazywania danych do USA. 

W powyższych okolicznościach, doszło do gremialnego „przerzucenia się” z nieobowiązującej już „Tarczy Prywatności” na standardowe klauzule umowne zatwierdzone przez Komisję Europejską, które stanowią jedną z kilku dopuszczanych przez RODO alternatyw dla decyzji stwierdzającej odpowiedni stopień ochrony w danym państwie trzecim. Rozwiązanie to było jednak o tyle problematyczne, że ówczesne klauzule pochodziły z 2010 r. i choć na mocy przepisów RODO nadal obowiązywały jako rozwiązanie przejściowe, w praktyce nie były adekwatne do współczesnych wyzwań związanych z bezpieczeństwem przetwarzania danych osobowych. Sytuacja ta zmusiła Komisję Europejską do przyspieszenia prac nad nowymi klauzulami, które ostatecznie zostały zatwierdzone w czerwcu 2021 r.

Czym są standardowe klauzule umowne?

Standardowe klauzule umowne dotyczące przekazywania danych osobowych do państw trzecich to po prostu „gotowe” zapisy umowne, które powinny znaleźć się w umowie w przedmiocie przekazania danych osobowych z państwa EOG do państwa trzeciego (z reguły jest to umowa powierzenia przetwarzania danych osobowych). Innymi słowy, partnerzy biznesowi, którzy chcieliby zawrzeć taką umowę, powinni zredagować ją w taki sposób, aby jej treść odpowiadała standardowym klauzulom. 

Uzupełniając powyższe należy podkreślić, że aby omawiane klauzule mogły stanowić podstawę przekazania danych, należy wprowadzić je do umowy bez żadnych modyfikacji. Ponadto, ich ewentualne uzupełnienie o dodatkowe postanowienia (np. w zakresie kar umownych) jest dopuszczalne pod warunkiem niesprzeczności tych postanowień z klauzulami. 

Pełna treść aktualnych standardowych klauzul umownych dostępna jest na stronie internetowej unijnego systemu informacji prawnej „EUR-Lex”.

Kiedy „stare” klauzule przestaną obowiązywać?

Zgodnie z ustalonym harmonogramem, umowy oparte na „starych” klauzulach mogą być zawierane do dnia 27 września 2021 r. (w przypadku umów zawartych w dniu 28 września 2021 r. i później, „stare” klauzule nie będą już stanowiły wystarczającej podstawy przekazania danych osobowych do państwa trzeciego).

Z uwagi na konieczność umożliwienia administratorom i ich kontrahentom bezpiecznego dostosowania się do wprowadzonych zmian, umowy oparte na „starych” klauzulach zawarte do dnia 27 września 2021 r. zachowają swoją moc prawną do dnia 27 grudnia 2022 r. 

Co należy zrobić w związku ze zmianami?

Zakres działań, które powinien podjąć administrator danych osobowych w związku z pojawieniem się nowych klauzul umownych w praktyce jest uzależniony od natury jego relacji z kontrahentem. Biorąc pod uwagę to kryterium, można wyróżnić dwie sytuacje:

  1. umowa łącząca administratora z kontrahentem podlegała negocjacjom (jest to sytuacja relatywnie rzadko spotykana)
  2. umowa łącząca administratora z kontrahentem nie podlegała negocjacjom (jest to sytuacja najczęstsza, obejmująca przede wszystkim relacje administratorów z EOG z „gigantami” z USA, takimi jak Google czy Facebook)

W przypadku, gdy umowa dotycząca przekazywania danych była negocjowana indywidualnie przez równorzędnych partnerów, administrator powinien zawiadomić o zmianach swojego kontrahenta i albo podpisać z nim odpowiedni aneks do dotychczas obowiązującej umowy, albo zawrzeć z nim całkowicie nową umowę. Niezależnie od wybranego rozwiązania, termin na jego wdrożenie upłynie 27 grudnia 2022 r.

Z oczywistych względów, administratorzy, którzy nie negocjowali swoich umów, a jedynie zaakceptowali ogólne warunki przetwarzania narzucone przez silniejszego kontrahenta, posiadają o wiele mniejszy wpływ na dostosowanie ich treści do nowych klauzul. Na szczęście jednak usługodawcy z siedzibą poza EOG zazwyczaj śledzą aktualne regulacje w zakresie ochrony danych i odpowiednio dostosowują do nich swoje warunki przetwarzania. W tej sytuacji, administratorom nie pozostaje nic innego, jak czekać na taką zmianę i ewentualne „dopingować” kontrahenta poprzez kontaktowanie się w tej sprawie z jego działem obsługi klienta.

Gdy tylko powyższa zmiana warunków zostanie dokonana, administrator powinien niezwłocznie uwzględnić to w swoich dokumentach RODO (polityce prywatności, klauzulach dołączanych do umów) poprzez wskazanie, że przekazanie danych do państwa trzeciego odbywa się na podstawie standardowych klauzul umownych zatwierdzonych decyzją Komisji Europejskiej (istotne jest wskazanie dokładnej daty wydania decyzji, aby nie było wątpliwości, że chodzi o „nowe” klauzule).


Potrzebujesz indywidualnej pomocy prawnej?

Potrzebujesz pomocy w napisaniu umowy, regulaminu,
a może konsultacji prawnej w temacie związanym z artykułem?


Możesz napisać do mnie na a.szczudlo@creativa-legal.com

I na koniec

Zatwierdzenie przez Komisję Europejską nowych standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich kończy okres niepewności, jaki zapanował po uchyleniu „Tarczy Prywatności”. Nie ulega bowiem wątpliwości, że chociaż klauzule te formalnie dotyczą wszystkich państw trzecich, są one kluczowe przede wszystkim dla administratorów korzystających z usług świadczonych przez podmioty z USA. Miejmy jednak nadzieję, że po wprowadzeniu „nowych” klauzul, Komisja Europejska nie spocznie na laurach i w niedalekiej przyszłości wypracuje rozwiązanie, które umożliwi transfer danych osobowych za ocean bez potrzeby ich stosowania. 

Regulaminy i polityka prywatności - dla produktów fizycznych, elektronicznych i mieszane​

Jeżeli szukasz gotowych wzorów dokumentów dla sklepu internetowego sporządzonych przez prawnika z wieloletnim doświadczeniem, znalazłeś się w dobrym miejscu.

Przydał Ci się ten artykuł? Udostępnij go!

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on email
Email

Weź udział w dyskusji, napisz komentarz!

Skip to content