W dniu 27 czerwca br. weszła w życie decyzja Komisji Europejskiej w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich, tj. krajów spoza Europejskiego Obszaru Gospodarczego.
Nowe klauzule mogą być stosowane w relacjach pomiędzy administratorami i podmiotami przetwarzającymi w różnych konfiguracjach, i regulować przekazywanie danych:
- przez administratora do podmiotu przetwarzającego w państwie trzecim,
- przez podmiot przetwarzający do administratora w państwie trzecim,
- przez administratora z UE do administratora w państwie trzecim,
- przez podmiot przetwarzający do podprzetwarzającego w państwie trzecim.
Przykłady
Nowe klauzule mogą znaleźć zastosowanie m.in. w przypadku korzystania przez administratora z siedzibą w państwie członkowskim UE z oprogramowania zapewnianego przez dostawcę w państwie trzecim, np. w ramach popularnej usługi VDR, polegającej na udostępnianiu wirtualnej przestrzeni do przechowywania danych.
Potrzeba przyjęcia nowych klauzul może pojawić się w międzynarodowych grupach kapitałowych, w szczególności gdy transfer danych nie odbywa się na podstawie wiążących reguły korporacyjnych (binding corporate rules).
Dotychczasowe decyzje KE dotyczące omawianego zagadnienia, tj. decyzja 2001/497/WE i 2010/87/UE utracą moc 27 września 2021 r. Do tego czasu podmioty przekazujące dane osobowe poza EOG oraz importerzy danych powinni przyjąć nowe standardowe klauzule umowne.
Komisja Europejska przewidziała jednak wyjątek. Zgodnie z art. 4 ust. 4 decyzji,
uznaje się, że umowy zawarte przed dniem 27 września 2021 r. na podstawie decyzji 2001/497/WE lub decyzji 2010/87/UE zapewniają odpowiednie gwarancje w rozumieniu art. 46 ust. 1 rozporządzenia (UE) 2016/679 do dnia 27 grudnia 2022 r., pod warunkiem że operacje przetwarzania stanowiące przedmiot umowy pozostaną niezmienione oraz że stosowanie tych klauzul zapewnia, aby przekazywanie danych osobowych odbywało się z zastrzeżeniem odpowiednich zabezpieczeń.
Same klauzule nie wystarczą
Warto dodać, że przyjęcie standardowych klauzul umownych w dalszym ciągu nie będzie wystarczające do legalizacji transferu danych do państwa trzeciego zgodnie z wymogami Rozdziału V RODO.
Jak wynika z klauzuli 8, na podmiocie przekazującym dane ciążyć będzie obowiązek dołożenia zasadnych starań w celu ustalenia, że podmiot odbierający dane jest w stanie wypełnić swoje obowiązki określone w niniejszych klauzulach, dzięki wdrożeniu odpowiednich środków technicznych i organizacyjnych.
Taka ocena powinna się odbyć przed pierwszym transferem danych. Zasadniczo powinna ona poprzedzać przyjęcie klauzul w relacji pomiędzy zainteresowanymi podmiotami.
Na dopuszczalność transferu do państwa trzeciego wpływać będzie analiza ryzyka dokonana przez podmiot przekazujący dane, obejmująca nie tylko stosowane środki techniczne i organizacyjne, ale także ocenę porządku prawnego państwa importera. Nowe klauzule nie zalegalizują transferu danych do państwa, którego prawo zawiera mechanizmy nie do pogodzenia ze standardami RODO.
Szczegółowe warunki transferu, jakie należy wziąć pod uwagę, zostały określone w Rekomendacjach 01/2020 Europejskiej Rady Ochrony Danych w sprawie środków uzupełniających ochrony danych w celu zapewnienia zgodności z europejskim stopnień ochrony danych.
Treść Rekomendacji w języku angielskim dostępna jest tutaj.