Projekt standardowych klauzul umownych dotyczących powierzenia przetwarzania
Komisja Europejska przedstawiła projekt decyzji ustanawiającej standardowe klauzule umowne między administratorami a podmiotami przetwarzającymi na podstawie art. 28 ust. 7 rozporządzenia 2016/679[1] (RODO) i art. 29 ust. 7 rozporządzenia 2018/1725[2] (dotyczącego przetwarzania danych osobowych przez instytucje unijne). Standardowe klauzule umowne stanowią mechanizm zapewniania zgodności z warunkami powierzenia przetwarzania danych osobowych określonymi w art. 28 ust. 3–4 RODO.
Po opublikowaniu ostatecznej wersji decyzji administratorzy i podmioty przetwarzające będą więc mieli możliwość korzystania z ustalonego przez Komisję wzoru umowy, który oczywiście będzie wymagał dopasowania do okoliczności konkretnego przetwarzania.
Aktualny status klauzul
Komisja Europejska przedstawiła projekt decyzji ustanawiającej standardowe klauzule umowne między administratorami a podmiotami przetwarzającymi w listopadzie 2020 r.
Komisja Europejska ma uprawnienie do wydania decyzji określającej standardowe klauzule umowne na podstawie art. 28 ust. 7 RODO. Decyzja taka wydawana jest zgodnie z procedurą sprawdzającą wskazaną w art. 93 ust. 2 RODO, co oznacza, że projekt decyzji musi zostać pozytywnie zaopiniowany przez komitet złożony z przedstawicieli państw członkowskich.
Warto zwrócić uwagę, że opracowane przez Komisję standardowe klauzule umowne odnoszą się zarówno do przepisów RODO (zawierają postanowienia wymagane na podstawie art. 28 ust. 3–4 RODO), jak i do przepisów rozporządzenia 2018/1725, które dotyczy przetwarzania danych osobowych przez instytucje i organy unijne (klauzule zawierają postanowienia wymagane przez art. 29 ust. 3–4 tego rozporządzenia).
Co do projektu standardowych klauzul wypowiedzieli się Europejska Rada Ochrony Danych (EROD) oraz Europejski Inspektor Ochrony Danych (EDPS) – organy te wydały wspólną opinię w tej sprawie w połowie stycznia 2021 r. EROD i EDPS zarekomendowali wprowadzenie pewnych zmian do projektu standardowych klauzul umownych. Ponadto organy te podkreśliły, że postanowienia, które jedynie powtarzają przepisy art. 28 ust. 3–4 RODO oraz art. 29 ust. 3–4 rozporządzenia 2018/1725, nie są wystarczające, aby stanowić standardowe klauzule umowne. Stwierdzono też, że umowa powierzenia przetwarzania powinna dodatkowo określać, w jaki sposób obowiązki wskazane w art. 28 RODO lub w art. 29 rozporządzenia 2018/1725 mają być realizowane.
Należy się zatem spodziewać pewnych zmian w ostatecznej wersji standardowych klauzul umownych przyjętych przez Komisję.
Korzystanie ze standardowych klauzul umownych opracowanych przez Komisję nie będzie obowiązkowe – strony mogą wynegocjować własną umowę, przy czym musi ona oczywiście spełniać warunki art. 28 ust. 3–4 RODO.
Warto dodać, że standardowe klauzule umowne mogą być opracowywane także przez krajowe organy nadzorcze. Na razie jedynymi opracowanymi przez krajowy organ nadzorczy standardowymi klauzulami umownymi, które zostały opublikowane na stronie EROD, są standardowe klauzule umowne duńskiego organu nadzorczego. Zostały one opublikowane na stronie EROD po tym, jak duński organ nadzorczy wprowadził zmiany do ich projektu, zgodnie z rekomendacjami EROD.
Struktura klauzul
Projekt standardowych klauzul umownych opracowanych przez Komisję można podzielić na dwie części: ogólną i szczegółową.
Część ogólna zawiera postanowienia, które zasadniczo nie wymagają uzupełnień. Są to m.in. postanowienia dotyczące zobowiązania podmiotu przetwarzającego do działania zgodnie z poleceniami administratora, zwrotu lub usunięcia danych po rozwiązaniu umowy, korzystania z podwykonawców czy też ogólnie ujęte obowiązki pomagania administratorowi w wykonywaniu jego zadań.
Natomiast część szczegółowa składa się z siedmiu załączników (I–VII), które należy uzupełnić w taki sposób, aby odpowiadały one kontekstowi konkretnej sytuacji powierzenia przetwarzania danych.
W załącznikach należy wskazać:
- strony umowy;
- szczegółowe informacje o przetwarzaniu (jego przedmiot, cel, charakter, czas trwania, kategorie danych i kategorie podmiotów danych);
- środki służące zabezpieczeniu danych osobowych;
- dodatkowe polecenia administratora;
- szczególne ograniczenia lub środki bezpieczeństwa dotyczące przetwarzania szczególnych kategorii danych;
- dalsze podmioty przetwarzające;
- środki techniczne i organizacyjne, za pomocą których podmiot przetwarzający ma pomagać administratorowi w wywiązywaniu się z jego zadań.
Struktura ta jest zatem podobna do duńskich standardowych klauzul umownych, które również dzielą się na zasadniczo niewymagającą zmian część ogólną oraz załączniki wymagające uzupełnienia.
Stosowanie standardowych klauzul umownych opracowanych przez Komisję będzie zatem wymagało ich uzupełnienia przez strony i dostosowania do konkretnego przypadku powierzenia przetwarzania danych.
Standardowe klauzule umowne nie będą więc uniwersalnym wzorem umowy, który można by zastosować w każdej sytuacji, bez żadnych zmian czy uzupełnień. Takie podejście jest zgodne z opinią EROD i EDPS, którzy podkreślili, że umowa taka powinna uszczegóławiać obowiązki wskazane w art. 28 ust. 3–4 RODO.
Po przyjęciu przez Komisję decyzji w sprawie standardowych klauzul umownych dotyczących powierzenia przetwarzania z pewnością będą one cenną wskazówką co do tego, jak prawidłowo realizować poszczególne wymagania wynikające z art. 28 ust. 3–4 RODO.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE.