Nowe standardowe klauzule umowne jako mechanizm transferu danych do państwa trzeciego
Jak wykazuję praktyka obrotu, podstawą prawną ponad 90% transferów danych osobowych do państw trzecich (poza Europejski Obszar Gospodarczy) są tzw. standardowe klauzule umowne.
Nowe standardowe klauzule – kalendarium
Decyzją Komisji Europejskiej nr 2021/914/UE zostały przyjęte nowe klauzule („Nowe SKU”), które z dniem 27 września 2021 r. zastąpiły dotychczasowe klauzule, zatwierdzone decyzją 2001/497/WE (i stanowiąca jej wariant decyzja nr 2004/915/WE) oraz decyzją 2010/87/UE.
Zgodnie z art. art. 4 ust.4 decyzji nr 2021/914/UE uznaje się, że umowy transferowe zawarte przed dniem 27 września 2021 r. na podstawie decyzji 2001/497/WE lub decyzji 2010/87/UE zapewniają odpowiednie gwarancje w rozumieniu art. 46 ust. 1 rozporządzenia (UE) 2016/679 do dnia 27 grudnia 2022 r., pod warunkiem że:
- operacje przetwarzania stanowiące przedmiot umowy pozostaną niezmienione oraz
- stosowanie tych klauzul zapewnia, aby przekazywanie danych osobowych odbywało się z zastrzeżeniem odpowiednich zabezpieczeń.
Mimo, że w stosunku do umów transferowych zawartych przed 27.09.2021 r. obowiązuję okres przejściowy do dnia 27.12.2022 r., to sposób sformułowania powyższych warunków powoduję, że w praktyce wcześniej konieczne będzie zastąpienie „starych” SKU „nowymi” SKU (np. w sytuacji, gdy transferem zostaną objęte nowe dane). Będzie tak również dlatego, że sposób sformułowania wymogów w nowych klauzulach powoduję, że dotychczasowe umowy transferowe często nie będą spełniały wymogu „odpowiednich zabezpieczeń” w rozumieniu art.4 ust.4 decyzji nr 2021/914/UE.
Nowe SKU – najważniejsze zmiany w stosunku do dotychczasowych klauzul umownych
Do najważniejszych zmian wprowadzonych w nowych SKU zaliczyć należy:
- nowymi SKU objętych jest więcej niż obecnie rodzajów transferów danych osobowych do państw trzecich (np. transfer pomiędzy procesorem i podprocesorem z państwa trzeciego, procesorem z EOG i administratorem z państwa trzeciego),
- nowe SKU zawierają znacznie więcej postanowień niż stare SKU (podział na wspólne klauzule ogólne oraz klauzule szczegółowe w poszczególnych modułach),
- stronami nowych SKU mogą być więcej niż dwa podmioty (zob. klauzula przystąpienia – nr 7),
- nowe SKU zawierają elementy umowy powierzenia danych, określone w art.28 ust.3 i 4 RODO, brak jest więc konieczności zawierania odrębnych umów w tym zakresie,
- odpowiedzialność za naruszenie ochrony danych osobowych, uregulowana jest zarówno w relacji pomiędzy stronami SKU, jak i w stosunku do podmiotów danych,
- w klauzulach określona została nieograniczona odpowiedzialność eksportera danych za importera danych (zakres odpowiedzialności jest więc szerszy niż w przypadku odpowiedzialności administratora za procesora na gruncie RODO),
- importer danych, a więc odbiorca danych w państwie trzecim stał się adresatem szeregu bezpośrednich obowiązków,
- nowe SKU wprowadzają szczególne postanowienia ograniczające dostęp organów z państw trzecich do przekazywanych danych osobowych („defend-your-data”),
- zwiększono uprawnienia organów nadzorczych odnośnie możliwości żądania dokumentów i informacji od eksportera i importera danych,
- katalog środków technicznych i organizacyjnych został rozbudowany w stosunku do starych SKU (dotychczasowe środki mogą się okazać niewystarczające), ma to znaczenie między innymi przy dokonywaniu Transfer Impact Assesment (TIA), który to wymóg nadal obowiązuję również przy stosowaniu nowych klauzul.
Implementacja nowych SKU do umów handlowych
W praktyce spotyka się dwa warianty (sposoby) implementacji nowych SKU do umów handlowych:
- I wariant – wyselekcjonowanie postanowień ze SKU (klauzule ogólne, klauzule szczegółowe w poszczególnych modułach określonych w SKU) do nowej umowy handlowej),
- II wariant – do umowy handlowej dołączone są kompletne SKU, a w tzw. cover sheet wskazane jest które moduły stosują się do danych relacji pomiędzy stronami (np. w przypadku outsourcingu przetwarzania danych przez podmiot/eksportera danych z EOG: moduł nr 2 – powierzenie danych podmiotowi w państwie trzecim).
Mimo, że w niektórych postanowieniach (np. klauzula nr 7) mowa jest o „podpisaniu”, w analizach dotyczących nowych SKU podkreśla się możliwość ich zawarcia w postaci elektronicznej (np. systemy podpisów typu „DocuSign” or „Adobe Sign„).