Standardowe Klauzule Umowne – konieczność zmian do 27 grudnia 2022 r.

Od lat najpopularniejszą podstawą legalnego przekazania danych osobowych z UE do USA, Indii czy Chin jest umowa zawarta na wzorcu opracowanym przez Komisję Europejską, tzw. Standardowe Klauzule Umowne (SCC).

W związku ze sprawą Schrems II Trybunał Sprawiedliwości UE (TSUE) stwierdził, że o ile SCC są nadal ważne, nie mogą być stosowane bezrefleksyjnie, a podmioty je wykorzystujące muszą ocenić, czy państwo trzecie zapewnia danym osobowych ochronę na europejskim poziomie.

I tak, 4 czerwca 2021 r. Komisja Europejska przyjęła zestaw nowych Standardowych Klauzul Umownych zapewniających zgodność z nowymi przepisami. W konsekwencji do 27 grudnia 2022 r. wszystkie stare SCC muszą być zastąpione nowymi. W przypadku dużych przedsiębiorstw oznacza to podpisanie setek, a niekiedy tysięcy, umów zgodnych z nowym wzorcem.

Zwracamy Państwa uwagę, że niewdrożenie nowych SCC w powyższym terminie może wiązać się z poniższymi ryzykami:

• Ryzyko regulacyjne/prawne - administracyjne kary pieniężne nałożone przez organ nadzoru;
• Ryzyko PR–owe -straty wizerunkowe spowodowane karą lub udostępnioną publicznie informacją o niedostatecznej ochronie danych osobowych przekazywanych poza EOG;
• Ryzyko biznesowe - utrata zaufania partnerów biznesowych wynikająca z niedostatecznego stopnia ochrony danych osobowych.

Zmiany w Standardowych Klauzulach Umownych

Głównym celem wprowadzenia nowych SCC jest zapewnienie odpowiednich zabezpieczeń przekazywania danych osobowych do państw spoza EOG w przypadku braku decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony dla takiego państwa. To zaś przekłada się na zmiany w strukturze umów oraz zakresie ich stosowania.

• Nowe SCC umożliwiają stronom dostosowywanie się do konkretnych okoliczności za pomocą czterech różnych, samodzielnych konfiguracji:
  • Administrator – Administrator
  • Administrator – Podmiot przetwarzający
  • Podmiot przetwarzający – Administrator
  • Podmiot przetwarzający – Podmiot przetwarzający
• Nowo określone moduły zawierają wszystkie wymagane elementy przetwarzania danych wskazane w art. 28 RODO. W związku z tym nie ma potrzeby zawierania dodatkowej umowy powierzenia przetwarzania danych.
• Zmienione klauzule mogą stanowić podstawę przekazywania danych osobowych nawet wtedy, gdy administrator danych lub eksporter nie ma siedziby w EOG.
• O wyborze prawa i miejsca jurysdykcji nie decyduje już miejsce prowadzenia działalności eksportera danych. W przypadku przekazywania danych z podmiotu przetwarzającego do administratora można wziąć pod uwagę nawet jurysdykcje spoza EOG.
• Odbiorca danych musi powiadomić przekazującego dane i, w miarę możliwości, osobę, której dane dotyczą (w razie potrzeby z pomocą eksportera), jeśli otrzyma prawnie wiążący wniosek o ujawnienie danych od organu publicznego.
• Przy całej elastyczności i nowoczesnej formule modułowej nowe SCC wprowadzają wymóg przeprowadzenia udokumentowanej oceny wpływu transferu na ochronę danych osobowych – tzw. TIA (Transfer Impact Assessment). TIA polega na wieloaspektowej ocenie okoliczności m.in. przekazania danych, prawa i praktyki obowiązującej w państwie trzecim itp.

Działania wdrażające nowe SCC

Podmioty przekazujące dane osobowe do państw trzecich powinny zweryfikować podstawę dokonywanych transferów i w razie potrzeby zawrzeć nowe umowy przy wykorzystaniu nowych SCC, które należy stosować od 27 września 2021 r.

Z uwagi na trwający do 27 grudnia 2022 r. okres przejściowy podmioty, które zawarły umowy przed 27 czerwca 2021 r. mogą nadal bazować na starych SCC. Zobowiązane są jednak do przeprowadzenia dodatkowej oceny adekwatności oraz wdrożenia wszelkich niezbędnych środków uzupełniających, o których mowa w zaleceniach EROD 01/2020.

Po 27 grudnia 2022 r. wszystkie transfery danych oparte na starych SCC muszą bezwzględnie ulec przekształceniu w nowe SCC.

Firmy spoza EOG, importujące dane osobowe w oparciu o stare SCC, powinny dochować wszelkich starań, aby przed upływem okresu przejściowego wdrożyć konieczne zmiany umożliwiające zgodny z prawem transfer danych osobowych do państw trzecich. W tym celu należy zidentyfikować wszystkie stosowane umowy oparte o stare SCC oraz określić, czy transfer opisanych w nich danych będzie kontynuowany po 26 grudnia 2022 r. W przypadku dalszego działania kluczowym jest określenie ograniczonego czasowo odpowiedniego terminu wymagającego aktualizacji.

Pomimo zaistniałych zmian oraz głośnego wyroku w sprawie Schrems II, niewiele międzynarodowych firm zdaje sobie sprawę z powagi sytuacji. Warto zatem skorzystać z pomocy wykwalifikowanych doradców prawnych, którzy przeprowadzą przedsiębiorstwo przez wymagający proces.

Doradztwo DZP w zakresie nowych SCC

Nasz wyspecjalizowany zespół doradza w zakresie ochrony danych osobowych. Wspieramy naszych klientów m.in. w zakresie:

• analiz aktualnych i planowanych transferów danych osobowych do państw spoza EOG pod kątem wymogów związanych z ich ochroną,
• przeprowadzania TIA m.in. wg metodologii IAPP,
• oceny prawa i praktyki państwa trzeciego,
• customizacji SCC,
• wypracowania innych niż SCC rozwiązań ograniczających ryzyko zakwestionowania transferów danych, w tym poprzez skorzystanie z innych mechanizmów przewidzianych w RODO.

 

Pobierz pełną treść