Zmiana standardowych klauzul umownych dotyczących przekazywania danych osobowych do krajów trzecich oraz dodatkowe środki bezpieczeństwa.
Poprzedni Następujący14.07.2022 10:47
Jak radzić sobie z obecną regulacją prawną przekazywania dotyczącą danych osobowych do państw trzecich? Przeczytajcie Państwo artykuł docenta Morávka tutaj:
Prawdopodobnie niedawno zwrócili się do Państwa w szczególności dostawcy usług internetowych posiadający infrastrukturę poza UE z informacją o konieczności wprowadzenia zmian w dokumentacji umownej. Jeśli do tej pory tak się nie stało i nie stanie się tak w najbliższym czasie, zalecamy wezwanie usługodawcy do zmiany dokumentacji umownej z powodów wymienionych poniżej. Bez odpowiednich modyfikacji istnieje ryzyko nałożenia sankcji przez Urząd Ochrony Danych Osobowych. Powody są następujące.
Uregulowanie dotyczące ochrony danych osobowych rozróżnia (art. 44 lit. RODO) między krajami, które zapewniają odpowiedni poziom ochrony danych osobowych porównywalny ze standardami prawodawstwa europejskiego. Takimi krajami są państwa członkowskie UE i EWG oraz kraje, które Komisja Europejska, na mocy decyzji stwierdzającej odpowiedni poziom ochrony, uznaje za bezpieczne (uwaga: obecnie państwa, które ratyfikowały Konwencję Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych z 1981 r. , nie są już uznawane za bezpieczne). W innych przypadkach, jeśli dane mają być przekazane administratorowi lub podmiotowi przetwarzającemu poza bezpiecznym krajem w rozumieniu, o którym mowa powyżej, wymagane jest (art. 46 RODO) przyjęcie odpowiednich zabezpieczeń. Jedynie w przypadku, gdy zastosowanie odpowiednich zabezpieczeń nie jest możliwe, przekazywanie danych osobowych może odbywać się na podstawie jednego z wyjątków określonych w art. 49 RODO.
Środkami zapewniającymi odpowiedni poziom ochrony przy przekazywaniu danych osobowych do państw trzecich są (w uproszczeniu) z jednej strony (art. 47 RODO) wiążące reguły korporacyjne, które są adresowane przede wszystkim do grup przedsiębiorstw, a z drugiej strony standardowe klauzule umowne zawarte w decyzji Komisji.
Standardowe klauzule umowne mają zastosowanie zarówno do relacji administrator – podmiot przetwarzający, jak i administrator – administrator.
Ich działanie jest proste. Przewiduje się jedynie wprowadzenie w stosunek umowny zainteresowanych osób.
W przeszłości Komisja wydała kilka decyzji dotyczących standardowych klauzul umownych. W następstwie RODO, co ma znaczenie w kontekście wyżej wymienionej komunikacji, w szczególności z dostawcami usług internetowych i innych podobnych usług, decyzja Komisji nr 2021/914 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na mocy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 zastąpiła standardowe klauzule umowne wspomnianą wyżej decyzją, która zawiera uniwersalny zestaw modułowych standardowych klauzul umownych mających zastosowanie do wszystkich wspomnianych relacji.
W związku z tym od 27 września 2021 r. nie można już stosować dotychczasowych standardowych klauzul umownych, a we wszystkich przypadkach należy przestrzegać postanowień decyzji nr 2021/914.
Ponadto przewidziano, że do 27 grudnia 2022 r. wszystkie umowy zawarte przed 27 września 2021 r., w których jako środek ochrony zastosowano wcześniejszą decyzję Komisji w sprawie standardowych klauzul umownych, klauzule te muszą zostać zastąpione decyzją Komisji nr 2021/914 lub standardowymi klauzulami umownymi zgodnymi z tą decyzją.
W tym kontekście warto przypomnieć, że po wydaniu przez Trybunał Sprawiedliwości UE orzeczenia w sprawie Schrems II (C-311/18) standardowe klauzule umowne nie mogą być uznawane za środek zapewniający odpowiedni poziom ochrony przy przekazywaniu danych osobowych bez dalszych rozważań. Zawsze należy z wyprzedzeniem ocenić, czy klauzule umowne, biorąc pod uwagę ustawodawstwo, poziom praworządności i stosowanie jej zasad, a także inne istotne okoliczności, zapewniają wystarczający poziom ochrony po stronie odbiorcy danych w państwie trzecim. Ocena tych aspektów powinna być przeprowadzona we współpracy z właściwą osobą (lub organem rządowym) w kraju trzecim. W przypadku pozytywnego wniosku można stosować standardowe klauzule umowne bez dodatkowych gwarancji. W przeciwnym razie należy podjąć dodatkowe zabezpieczenia (techniczne, umowne, organizacyjne) w celu wzmocnienia ochrony przekazywanych danych. W odniesieniu do dodatkowych zabezpieczeń można odwołać się do zalecenia Europejskiej Rady Ochrony Danych nr 1/2020 z dnia 10 listopada 2020 r. w sprawie środków uzupełniających instrumenty przekazywania danych w celu zapewnienia zgodności z poziomem ochrony danych osobowych w UE.
Zdajemy sobie sprawę, że kwestia i regulacja prawna ochrony danych osobowych jest stosunkowo skomplikowana, a regulacja prawna dotycząca przekazywania danych osobowych do krajów trzecich jest szczególnie skomplikowana. Dlatego w razie jakichkolwiek pytań prosimy o kontakt z nami. Jesteśmy gotowi szybko udzielić Państwu wsparcia i pomocy.
Wiadomość przygotował: doc. JUDr. Jakub Morávek, Ph. D.
adwokat i partner Felix a spol. advokátní kancelář s.r.o.