27 września 2021 r. to ważna data dla firm przekazujących dane osobowe do państw trzecich.

Po tym dniu nie będzie już możliwe zawieranie umów w przedmiocie transferu danych osobowych w oparciu o „stare” standardowe klauzule umowne (SCC). Chodzi o klauzule, które wprowadziła Komisja Europejska w 2001 i 2010 roku (nr 2001/497/WE i 2010/87/UE). Nowe umowy mają być zawierane na bazie nowego zestawu klauzul SCC, przewidzianych w decyzji KE z czerwca br. Nowe SCC spełniają wymogi RODO. Jednak by sam transfer był w pełni legalny, eksporterzy i importerzy danych muszą spełnić dalsze obowiązki.

A co z umowami dotyczącymi transferu danych, które zostały zawarte przed 27 września br.? Czy przestaną one obowiązywać z mocy prawa?

Tak, ale nie od razu. Tymczasowo mogą one dalej funkcjonować. Okres przejściowy wynosi 15 miesięcy i kończy się 27 grudnia 2022 r. Jest to czas, który firmy powinny wykorzystać na pełne przejście na nowe SCC. Ponieważ proces ten może okazać się czasochłonny, warto rozpocząć przygotowania firmy do tej zmiany już teraz.

Przekazywanie danych osobowych do państw trzecich, spoza Europejskiego Obszaru Gospodarczego, to częsta praktyka w działalności międzynarodowych grup kapitałowych. Korzystanie z oprogramowania lub infrastruktury IT działającej w chmurze, często opiera się na tego rodzaju wymianie danych.