06.12.2022

Autorzy:

Praktyki:

Specjalizacje:

Bartosz Marcinkowski i Mateusz Jankowski z zespołu ochrony danych osobowych, w artykule dla Rzeczpospolitej przypominają o zbliżającym się terminie zastąpienia starych SCC nowymi oraz tłumaczą dlaczego zwiększają one bezpieczeństwo przekazywania danych osobowych poza EOG.

W wielu spółkach trwa gorączkowy przegląd procesów biznesowych i identyfikacja transferów danych osobowych. Ważne są bowiem podstawy, na jakich taki transfer jest dokonywany. 


W dobie powszechnej globalizacji transgraniczne przekazywanie danych jest procesem powszechnym. O ile transfer danych wewnątrz Europejskiego Obszaru Gospodarczego („EOG”), grupującego kraje członkowskie Unii Europejskiej oraz Islandię, Norwegię i Liechtenstein, nie pociąga zasadniczych ryzyk prawnych, o tyle przy przekazywaniu danych poza EOG, tj. do tak zwanych państw trzecich, pojawiają się w praktyce liczne wątpliwości co do bezpieczeństwa danych.

Jednym z podstawowych, i w praktyce szczególnie często stosowanych narzędzi służących zapewnieniu legalności transferu danych poza EOG, są standardowe klauzule umowne („Standard Contractual Clauses”, czyli SCC).

SCC stanowią w braku decyzji Komisji Europejskiej stwierdzającej odpowiedni poziom ochrony danych w określonym państwie trzecim – najpopularniejszy instrument umożliwiający między innymi wielkoskalowe przekazywanie danych osobowych na przykład z Polski do odbiorcy w państwie trzecim (na temat innych podstaw takiego przekazywania danych – zob. rozdział V RODO). 

Decyzji w sprawie adekwatności Komisja Europejska wydała dotychczas zaledwie kilkanaście. Z perspektywy polskich przedsiębiorców najważniejsze z nich dotyczą Wielkiej Brytanii, Szwajcarii czy częściowo Japonii i Kanady. Między innymi te państwa w ocenie Komisji Europejskiej zapewniają danym taką ochronę, jakiej oczekuje prawodawca unijny.

Na owej białej liście Komisji Europejskiej próżno jednak szukać takich gospodarczych potentatów, jak Stany Zjednoczone, Chiny, Indie czy Brazylia. Brak także na przykład Ukrainy.

Stąd przekazywanie danych osobowych do takich państw trzecich wymaga spełnienia szczególnych przesłanek, precyzyjnie określonych w art. 46 ust. 2 RODO.

Jak była o tym mowa wcześniej, szczególnie popularne są rozwiązania kontraktowe, o których mowa w art. 46 ust. 2 lit. c RODO.

(...)

 

---

Cały artykuł autorstwa Bartosza Marcinkowskiego, Partnera i Mateusza Jankowskiego, Associate z zespołu ochrony danych osobowych jest dostępny w dzienniku Rzeczpospolita.