W ostatnim wpisie poruszyłem kwestię przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych w oparciu o decyzję Komisji Europejskiej (Komisja, KE) stwierdzającej odpowiedni stopień ochrony. W niniejszym artykule chciałbym poruszyć równie interesujący przykład, a mianowicie kwestię przekazywania danych osobowych, jednak w oparciu o standardowe klauzule umowne (SCC). Niespełna kilka miesięcy temu, a dokładnie 27 czerwca 2021 weszła w życie decyzja Komisji Europejskiej 2021/914 w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32021D0914&from=EN. Zastąpiła ona wcześniejsze decyzje, przyjęte jeszcze na podstawie dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych i wymagały dostosowania do RODO. Prace nad nowym zestawem klauzul trwały od listopada 2020 r., kiedy to Komisja opublikowała projekt decyzji.
Standardowe klauzule umowne stanowią odpowiednie zabezpieczenia w rozumieniu art. 46 RODO, które umożliwiają przekazywanie danych poza Europejski Obszar Gospodarczy.
W praktyce SCC regulują kwestie przekazywania danych osobowych pomiędzy eksporterem a importerem tych danych. Odbiorca zobowiązuje się w nich do przestrzegania określonych zasad przetwarzania danych osobowych. Konieczność zmian treści standardowych klauzul umownych wynikała bezpośrednio z kilku czynników, m.in. na przestrzeni lat doszło do wielu zmian w obszarze ochrony danych osobowych. Pojawiło się RODO, a w 2018 roku zapadł wyrok dotyczący transferów danych w sprawie Schrems II, nie wspominając o zmianach, które nastąpiły na polu technologicznym.
Jeżeli chodzi o zmiany wprowadzone w nowych SCC to:
- dostosowują SCC do RODO;
- uwzględniają wyrok Trybunału Sprawiedliwości w sprawie Schrems II;
- przyjmują „podejście modułowe”, które ma zapewnić większą przejrzystość w złożonych procesach przetwarzania oraz umożliwić stosowanie klauzul przez więcej niż dwie strony.
Nowe standardowe klauzule umowne składają się z:
- klauzul ogólnych, które znajdują zastosowanie do wszystkich scenariuszy transferów danych osobowych;
- klauzul szczegółowych, które dzielą się na różne moduły w zależności od konkretnego scenariusza przekazywania danych do państwa trzeciego;
- trzech załączników (tj. załącznik nr 1 zawierający wykaz stron, opis przekazywania danych, właściwy organ nadzorczy, załącznik nr 2 – środki techniczne i organizacyjne, w tym środki techniczne i organizacyjne mające na celu zapewnienie bezpieczeństwo danych, załącznik nr 3 – wykaz podwykonawców przetwarzania (podprocesorów)).
Wspomniane powyżej oparcie standardowych klauzul umownych na podejściu modułowym można przedstawić uwzględniając cztery moduły, które odzwierciedlają następujące scenariusze transferów danych osobowych do państwa trzeciego:
- Moduł I – przekazywanie danych pomiędzy administratorem a administratorem w państwie trzecim (poza EOG) (C2C);
- Moduł II – przekazywanie danych pomiędzy administratorem a podmiotem przetwarzającym w państwie trzecim (poza EOG) (C2P);
- Moduł III – przekazywanie danych pomiędzy podmiotem przetwarzającym a podmiotem przetwarzającym w państwie trzecim (poza EOG) (P2P);
- Moduł IV – przekazywanie danych pomiędzy podmiotem przetwarzającym a administratorem w państwie trzecim (Poza EOG) (P2C).
Warte podkreślenia jest to, że z modułów można korzystać łącznie, gdy dana relacja biznesowa zakłada dzielenie się danymi na różnych płaszczyznach, przy wykorzystaniu różnych modułów. Oczywiście w takiej sytuacji nie należy zapominać o potrzebie uzupełnienia osobno odrębnie dla każdej płaszczyzny transferu danych załączników do SCC. Załączniki doprecyzowują istotę powierzonych do przetwarzania danych osobowych i wymagają poświęcenia należytej uwagi przez każdą ze stron.
Zaglądając do SCC warto zwrócić uwagę treść klauzuli 14, która mówi o prawach i praktykach lokalnych wpływających na przestrzeganie klauzul. Mianowicie strony gwarantują, że nie mają podstaw, by uważać, iż prawa i praktyki w państwie trzecim przeznaczenia, mające zastosowanie do przetwarzania danych osobowych przez podmiot odbierający dane, w tym wszelkie wymogi dotyczące ujawniania danych osobowych lub środki upoważniające organy publiczne do uzyskania dostępu, uniemożliwiają podmiotowi odbierającemu dane wypełnienie jego obowiązków wynikających z niniejszych klauzul. Opiera się to na założeniu, że przepisy i praktyki, które nie naruszają̨ istoty podstawowych praw i wolności oraz nie wykraczają poza to, co jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym służącym zabezpieczeniu jednego z celów wymienionych w art. 23 ust. 1 RODO, nie są sprzeczne z przyjętymi przez Komisję klauzulami.
Oczywiście nowe SCC nie zwalniają nas, abyśmy każdorazowo przed transferem danych osobowych do państwa trzeciego (poza EOG) upewnili się, czy zastosowane przez nas środki bezpieczeństwa zapewnią odpowiedni poziom prywatności przekazywanych danych osobowych w państwie trzecim. Weźmy np. transfer danych osobowych do państw typu Korea Północna. W tym przypadku raczej nie będziemy mieli wątpliwości, czy przekazywane dane będą bezpieczne, ale sytuacja może dotyczyć mniej wyrazistych państwowości i wówczas należy to ocenić.
Równie ważny zapis znajduje się w klauzuli nr 16, gdzie wskazano, że podmiot odbierający dane niezwłocznie informuje podmiot przekazujący dane, jeżeli z jakiegokolwiek powodu nie może zapewnić przestrzegania SCC. Taka informacja wpływa bezpośrednio na proces przetwarzania danych osobowych, gdyż podmiot przekazujący dane jest zobligowany do trwałego lub czasowego wstrzymania przekazywania danych podmiotowi odbierającemu dane, co może wiązać nawet z zakończeniem współpracy.
Nowe standardowe klauzule umowne z całą pewnością wprowadzają większą pewność w zakresie transferu danych osobowych do państw trzecich i stanowią narzędzie, dzięki któremu taki transfer może zachodzić np. w przypadku transferu do tak istotnych z punktu widzenia UE państw, jak USA. Z pewnością ułatwiają one współpracę z partnerami biznesowymi z państw trzecich.
Autor: Radosław Aniszczyk