Nowe standardowe klauzule umowne Komisji Europejskiej

Komisja Europejska (KE) przyjęła w piątek 4 czerwca dwa zestawy nowych standardowych klauzul umownych (nowe klauzule) mające ułatwić relację pomiędzy administratorami danych a podmiotami przetwarzającymi w zapewnieniu bezpiecznego transferu danych osobowych do państw spoza EOG[1] (tzw. państw trzecich). Opublikowanie nowych klauzul jest pokłosiem wydanego w lipcu 2020 r. wyroku Trybunału Sprawiedliwości Unii Europejskiej – Shrems II – unieważniającego dotychczasową podstawę transferu jaką była decyzja Privacy Shield[2]. O tym wyroku pisaliśmy już na naszym blogu.

Opublikowane przez KE nowe klauzule mają ułatwić uczestnikom rynku, którzy przetwarzają dane osobowe zapewnienie zgodności z przepisami RODO.

Nowe klauzule oddziałują na dwóch płaszczyznach tj poprzez zapewnienie:

  1. Odpowiedniego poziomu bezpieczeństwa przetwarzanych danych podczas przekazywania danych do państw trzecich.
  2. Odpowiednich narzędzi regulujących przekazywanie danych podmiotom przetwarzającym a także dalszym podmiotom przetwarzającym, czyli takim którzy przetwarzają dane w imieniu administratorów danych.

Nowe standardowe klauzule umowne wprowadzają rozwiązania odpowiadające obecnym wyzwaniom rynku, a mianowicie:

  • Zapewnienie zgodności klauzul z przepisami RODO.
  • Podejście modułowe umożliwiające elastyczne kształtowanie treści klauzul, poprzez wybór odpowiedniego modułu do potrzeb konkretnego procesu przekazywania danych.
  • Możliwość dodania klauzul i korzystania z nich przez więcej niż 2 strony np. przez dalsze podmioty przetwarzające w przypadku przystąpienia przez nie do zawartych przez strony standardowych klauzul umownych.

Nowe przyjęte klauzule mają zastąpić standardowe klauzule umowne obowiązujące do tej pory w oparciu dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Podmioty, które dotychczas opierały przekazywanie danych do państw trzecich na wcześniejszych standardowych klauzulach umownych będą miały okres przejściowy na dostosowanie się do nowej regulacji. Mogą one w dalszym ciągu na ich podstawie przekazywać dane do państw trzecich przez okres przejściowy 18 miesięcy. Okres ten podzielony jest na 2 etapy:

  • I etap – 3 miesiące od dnia przyjęcia nowych klauzul – w tym okresie możliwe jest zawieranie w nowych umowach wcześniejszych klauzul. Po tym okresie ma nastąpić uchylenie decyzji 2001/497/WE i 2010/87/UE zawierającej wcześniejsze klauzule umowne.
  • II etap – 15 miesięcy od dnia uchylenia wcześniejszych klauzul czyli od zakończenia I etapu– w tym okresie, przy zawieraniu nowych umów, możliwe jest używanie jedynie nowych klauzul. W przypadku umów zawierających wcześniejsze klauzule umowne, zawartych przed tym okresem, nie ma konieczności aktualizacji umów, jeżeli aktualizacja miałaby dotyczyć jedynie zmiany klauzul umownych. Konieczność aktualizacji klauzul umownych występuje jedynie w przypadku, gdy w trakcie II etapu nastąpi zmiana treści umowy. Wtedy konieczne jest również dokonanie aktualizacji standardowych klauzul umownych.

Poprzednie standardowe klauzule będą obowiązywać do 27 grudnia 2022 r.

Wprowadzone nowe standardowe klauzule umowne są jedną z możliwości przekazywania danych do państw trzecich. Zaprezentowane klauzule będą najszybszą i najprostszą możliwością zapewnienie odpowiedniego poziomu bezpieczeństwa transferu danych poza EOG. Jest to wygodne i łatwe w stosowaniu podejście modułowe, które uwzględnia 4 możliwości transferu:

  1. Pomiędzy administratorami z czego jeden z administratorów znajduje się w państwie trzecim.
  2. Między administratorem a podmiotem przetwarzającym znajdującym się w państwie trzecim.
  3. Pomiędzy podmiotami przetwarzającymi z czego jeden z podmiotów przetwarzających znajduje się w państwie trzecim.
  4. Między podmiotem przetwarzającym a administratorem znajdującym się w państwie trzecim.

Nowe standardowe klauzule umowne pomogą zapewnić bezpieczeństwo transferu danych do państw trzecich. Jednakże dopiero z perspektywy czasu będzie można wskazać czy wprowadzone rozwiązania ułatwiły proces przekazywania danych poza EOG.

[1] Europejski Obszar Gospodarczy (EOG) – to porozumienia państw zawarte w celu utworzenia wewnętrznego rynku oraz strefy wolnego handlu. Do EOG należą kraje członkowskie Unii Europejskiej oraz Islandia, Norwegia i Liechtenstein.

[2] Privacy Shield – określała zasady transferu danych osobowych między Państwami Unii Europejskiej a Stanami Zjednoczonymi.

Autor

Kamil Bodzak

Prawnik, Inspektor Ochrony Danych. Doświadczenie zdobywał w warszawskich kancelariach oraz spółkach specjalizujących się w ochronie danych osobowych oraz doradztwie prawnym m.in. w zakresie prawa cywilnego oraz prawa spółek handlowych. Posiada doświadczenie w zakresie projektów związanych z danymi osobowymi oraz w zakresie sporządzania dokumentacji zgodnej z przepisami RODO.