Komisja Europejska opracowała wytyczne w formie pytań i odpowiedzi (Q&A) dotyczące obydwu zestawów standardowych klauzul umownych (SKU) przyjętych przez Komisję w czerwcu zeszłego roku:

  • standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi (decyzja wykonawcza Komisji (UE) 2021/915);
  • standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich (decyzja wykonawcza Komisji (UE) 2021/914).

Celem pytań i odpowiedzi jest przekazanie praktycznych wskazówek dotyczących korzystania z SKU i zapewnienie zgodności z RODO[1]. Źródłem pytań i odpowiedzi były informacje i zapytania otrzymywane od podmiotów korzystających z SKU. Zamiarem Komisji jest aktualizowanie i uzupełnianie pytań i odpowiedzi w miarę pojawiania się nowych zagadnień.

Dokument podzielony jest na trzy części:

  • pierwsza dotyczy zagadnień wspólnych dla obu zestawów SKU, takich jak zmiana treści postanowień SKU, dodawanie innych postanowień do SKU czy klauzula przystąpienia do SKU;
  • druga dotyczy SKU między administratorami a podmiotami przetwarzającymi;
  • trzecia dotyczy SKU odnoszących się do transferów.

Poniżej przedstawiamy wybrane kwestie, które w swoich pytaniach i odpowiedziach omówiła Komisja.

Czy tekst SKU można zmieniać?

Komisja wyjaśniła, że treść SKU nie może być zmieniana, z wyjątkiem:

  • wybrania modułów lub konkretnych opcji wskazanych w tekście (np. moduły w SKU transferowych, opcje co do podpowierzenia w SKU powierzenia);
  • koniecznego uzupełnienia tekstu, co jest wskazane w nawiasach kwadratowych (np. określenie właściwego organu nadzorczego oraz terminów);
  • wypełnienia załączników;
  • dodania uzupełniających zabezpieczeń zwiększających poziom ochrony danych.

Powyższe zmiany nie są uważane za zmianę głównej treści SKU.

SKU powierzenia: w jakiej formie administrator powinien przekazywać polecenia podmiotowi przetwarzającemu?

Z SKU nie wynika, w jakiej formie administrator ma wydawać polecenia podmiotowi przetwarzającemu. W związku z tym administrator może przekazywać polecenia w dowolnej formie, która zostanie uznana za odpowiednią (np. pisemnie lub ustnie, za pomocą narzędzi internetowych i sygnałów technicznych), ale pod warunkiem, że polecenia będą udokumentowane.

SKU powierzenia: jaki jest wymagany termin, w którym podmiot przetwarzający ma zawiadomić administratora o naruszeniu ochrony danych osobowych?

W SKU nie jest wskazany termin, w którym podmiot przetwarzający ma zawiadomić administratora o naruszeniu ochrony danych dotyczącym danych przetwarzanych przez procesora. Z klauzuli 9 ust. 2 SKU wynika, że procesor musi zawiadomić administratora „niezwłocznie”. W związku z tym do stron należy określenie tego terminu, z uwzględnieniem szczególnych okoliczności przedmiotowego przetwarzania danych.

SKU transferowe: czy SKU mogą być wykorzystywane do przekazywania danych administratorom lub podmiotom przetwarzającym, których operacje przetwarzania podlegają bezpośrednio RODO na mocy art. 3 RODO?

SKU określone decyzją Komisji 2021/914 nie mogą być używane do transferów danych do podmiotów, które podlegają RODO zgodnie z art. 3 RODO. Obecne SKU wyznaczają kompleksowe ramy ochrony danych. Zostały one opracowane w celu zapewnienia ciągłości ochrony w przypadku przekazywania danych podmiotom odbierającym dane, które nie podlegają RODO.

W związku z tym obecne SKU transferowe nie są odpowiednie w odniesieniu do podmiotów odbierających dane, których operacje przetwarzania podlegają RODO zgodnie z art. 3, ponieważ postanowienia SKU powielają obowiązki – a częściowo od nich odstępują – wynikające bezpośrednio z RODO.

Komisja Europejska poinformowała, że jest w trakcie opracowywania dodatkowego zestawu SKU dla powyższego scenariusza, który będzie uwzględniał wymogi obowiązujące administratorów i podmioty przetwarzające na mocy RODO.

SKU transferowe: Zostałem poinformowany, że moje dane zostały przekazane poza EOG na podstawie SKU. Jak mogę uzyskać więcej informacji na temat transferów, moich praw jako osoby, której dane dotyczą, oraz obowiązujących zabezpieczeń? Czy mogę otrzymać kopię SKU?

Zgodnie z SKU strony mają obowiązek bezpłatnego udostępnienia na żądanie osobie, której dane dotyczą, kopii SKU w takiej formie, w jakiej zostały one zawarte. Obejmuje to wybrane moduły/opcje, a także wypełnione załączniki, w których strony muszą podać m.in. szczegóły dotyczące przekazywania danych oraz środków bezpieczeństwa podjętych w celu ochrony danych podczas ich przetwarzania przez podmiot odbierający. (Wynika to z SKU: moduł 1 – klauzula 8 ust. 2; moduł 2 i 3 – klauzula 8 ust. 3).

Ogólne odniesienie do SKU przyjętych przez Komisję Europejską (np. poprzez udostępnienie linku do strony internetowej Komisji) nie będzie wystarczające, aby zrealizować powyższy obowiązek.

Przekazując osobie, której dane dotyczą, kopię SKU, strony mogą jedynie usunąć (np. ukryć, zamazać) informacje dotyczące tajemnic handlowych lub innych informacji poufnych (np. danych osobowych innych osób), ale muszą wyjaśnić, dlaczego pewne fragmenty SKU zostały pominięte.

SKU transferowe: czy w przypadku modułu 4 (transfer od procesora do administratora) konieczne jest przestrzeganie sekcji III SKU (tj. przeprowadzenie oceny wpływu transferu)?

W przypadku stosowania modułu 4, czyli gdy dochodzi do przekazywania danych przez podmiot przetwarzający z EOG do administratora spoza EOG, w pewnych sytuacjach nie trzeba dokonywać oceny wpływu transferu (transfer impact assessment) zgodnie z klauzulą 14 SKU ani wypełniać obowiązków dotyczących dostępu organów publicznych do danych zgodnie z klauzulą 15 SKU.

Chodzi o sytuację, w której podmiot przetwarzający z EOG zwraca administratorowi spoza EOG dane otrzymane uprzednio od tego administratora. W tym scenariuszu dane osobowe były pierwotnie przetwarzane poza EOG, gdzie podlegały już krajowym ramom prawnym.

Jednakże w sytuacji, gdy podmiot przetwarzający zbiera dane osobowe w EOG w imieniu administratora (tj. dane osobowe „pochodzą” z EOG), sekcja III SKU ma zastosowanie, a zatem podmiot przetwarzający musi dokonać oceny wpływu transferu, a podmiot odbierający dane (administrator) musi wypełniać obowiązki dotyczące dostępu władz publicznych do danych.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).