Czas na aktualizację standardowych klauzul umownych – już tylko do 27 grudnia 2022 r.
Zgodnie z RODO przekazywanie danych osobowych do tzw. krajów trzecich, a więc państw spoza Europejskiego Obszaru Gospodarczego, dopuszczalne jest jedynie w przypadku, gdy spełnione są określone w RODO warunki, tj. zasadniczo gdy:
Podmioty, które transferują dane osobowe poza Europejski Obszar Gospodarczy na bazie nieobowiązujących już standardowych klauzul umownych (a transfer ten rozpoczął się przed 27 września 2021 r.), powinny do 27 grudnia 2022 r. zawrzeć umowy bazujące na nowych klauzulach.
- transfer następuje do państwa, w stosunku do którego Komisja Europejska stwierdziła, że zapewnia ono odpowiedni stopień ochrony (czyli wydała tzw. decyzję o adekwatności; dotychczas wydane decyzje dostępne są na stronie Komisji Europejskiej),
- jeśli nie ma decyzji o adekwatności – gdy zapewnione zostaną tzw. odpowiednie zabezpieczenia, w tym w postaci zawarcia umowy opartej o standardowe klauzule umowne pomiędzy podmiotami zaangażowanymi w transfer,
- jeśli nie ma decyzji o adekwatności ani wdrożenia odpowiednich zabezpieczeń – gdy zachodzi jedna ze szczególnych okoliczności określonych w RODO.
Nowe standardowe klauzule umowne i okres przejściowy
W czerwcu 2021 r. Komisja Europejska przyjęła nowe zestawy standardowych klauzul umownych dotyczących transferu danych osobowych do państw trzecich. Dostępne są następujące moduły klauzul:
- administrator – administrator dotycząca transferu danych pomiędzy administratorem danych z terytorium EOG do administratora danych z kraju trzeciego,
- administrator – podmiot przetwarzający (procesor) dotycząca transferu danych od administratora danych z terytorium EOG do podmiotu przetwarzającego z kraju trzeciego,
- podmiot przetwarzający (procesor) – podmiot przetwarzający (procesor) dotycząca transferu danych od podmiotu przetwarzającego z terytorium EOG do podmiotu przetwarzającego z kraju trzeciego,
- podmiot przetwarzający (procesor) – administrator dotycząca transferu danych od podmiotu przetwarzającego z terytorium EOG do administratora danych z kraju trzeciego.
27 września 2021 r. utraciły moc wcześniejsze decyzje Komisji Europejskiej ustanawiające wzory standardowych klauzul umownych, tj. decyzja 2001/497/WE i decyzja 2010/87/UE.
Przyjmując nowy zestaw standardowych klauzul umownych, Komisja Europejska podjęła decyzję, że do 27 grudnia 2022 r. obowiązuje okres przejściowy, podczas którego administratorzy i podmioty przetwarzające mogą zasadniczo opierać transfery danych osobowych do państw trzecich na poprzednich wersjach standardowych klauzul umownych, na podstawie których zawarli umowy przed 27 września 2021 r. (pod warunkiem, że operacje przetwarzania stanowiące przedmiot umowy pozostaną niezmienione oraz że stosowanie poprzedniej wersji klauzul zapewnia, że przekazywanie danych osobowych odbywa się z zastrzeżeniem odpowiednich zabezpieczeń).
Od 27 września 2021 r. nowe umowy związane z transferami danych poza EOG powinny być już zawierane z wykorzystaniem nowych standardowych klauzul umownych przyjętych przez Komisję Europejską w czerwcu 2021 r.
W praktyce oznacza to, że podmioty, które transferują dane osobowe poza Europejski Obszar Gospodarczy na bazie nieobowiązujących już standardowych klauzul umownych (a transfer ten rozpoczął się przed 27 września 2021 r.), powinny do 27 grudnia 2022 r. zawrzeć umowy bazujące na nowych klauzulach (po uprzedniej analizie, który z czterech modułów jest tym odpowiednim).
Pora sprawdzić zgodność z RODO
Brak zawarcia umów w oparciu o nowe standardowe klauzule umowne może doprowadzić do sytuacji, w której transfery dokonywane będą bez zastosowania odpowiednich zabezpieczeń, a więc z naruszeniem RODO. To z kolei może narazić podmioty dokonujące takich transferów na ryzyko ponoszenia odpowiedzialności prawnej, w tym w postaci nałożenia administracyjnej kary pieniężnej przez organ nadzorczy.
Zawarcie umów w oparciu o nowe standardowe klauzule umowne będzie dobrą okazją do przeglądu dokonywanych transferów i zweryfikowania, czy są one w ogóle dopuszczalne, czy odbywają się one na właściwej podstawie, czy są opisane w sposób aktualny i czy są zapewnione odpowiednie zabezpieczenia. Co istotne, fakt, że dany podmiot dokonał takiej weryfikacji na etapie wdrażania RODO w 2018 r., niekoniecznie oznacza, że również obecnie transfery są uregulowane w sposób prawidłowy i adekwatny.
Wprowadzenie odpowiednich uaktualnień i ich udokumentowanie może być potrzebne szczególnie w kontekście stosunkowo świeżych wymogów, które pojawiły się w odniesieniu do transferu danych poza EOG po wyroku TSUE w sprawie Schrems II dotyczącym weryfikowania konieczności wdrożenia ewentualnych środków uzupełniających, obok zawarcia samych standardowych klauzul umownych.
Warto dodać, że nowe standardowe klauzule umowne zawierają bardziej szczegółowe uregulowania niż poprzednie wersje klauzul oraz pewne opcjonalne postanowienia. Treść tych postanowień zależy od ustaleń stron, które mogą wymagać w pewnym zakresie decyzji o charakterze biznesowym.
Nie warto odkładać podjęcia ww. działań w celu zawarcia umów w oparciu o nowe standardowe klauzule umowne na ostatni moment, ponieważ może okazać się, że działania te, w szczególności, analiza i opis transferów, czy samo ustalenie ostatecznej treści umowy pomiędzy stronami, będą w praktyce dość czasochłonne.
Karolina Romanowska, Łukasz Rutkowski