RODO: Transfer danych osobowych czekają zmiany – Komisja Europejska przygotowuje nowe standardowe klauzule umowne
Czym są standardowe klauzule umowne?
Standardowe klauzule umowne (SCC – Standard Contractual Clauses) to jeden z instrumentów umożliwiających legalny transfer danych osobowych do państw trzecich (spoza UE/EOG), które nie zapewniają adekwatnego stopnia ochrony danych osobowych. Mają one postać szablonowych postanowień umownych, które podmioty przekazujące dane wcielają do umów transferowych, żeby wprowadzić akceptowalny poziomu zabezpieczeń transferu danych.
Mimo, że RODO stosowane jest w Unii Europejskiej od ponad 2 lat, do tej pory stosowano 3 zestawy standardowych klauzul umownych wprowadzone jeszcze na podstawie dyrektywy 95/46/WE (zastąpionej RODO). Najstarsza decyzja Komisji Europejskiej w sprawie standardowych klauzul umownych pochodzi jeszcze z 2001 roku.
Decyzje Komisji Europejskiej zatwierdzające standardowe klauzule umowne na podstawie dyrektywy 95/46/WE będą pozostawać w mocy do czasu ich zmiany, zastąpienia lub uchylenia – co powinno nastąpić już niebawem.
Zmiany te są oczekiwane od dawna, ponieważ dotychczasowe zestawy klauzul umownych nie zawierały wszystkich elementów umowy transferowej na gruncie RODO i odwoływały się w swojej treści do poprzedniego stanu prawnego.
Kto będzie mógł stosować nowe klauzule umowne?
Standardowe klauzule umowne to jedno z rozwiązań dla podmiotów, które przesyłają dane osobowe poza UE/EOG do krajów wobec których Komisja Europejska nie wydała decyzji o adekwatności a więc np. do Stanów Zjednoczonych, Chin czy Indii. Ma to znaczenie zwłaszcza w przypadku Stanów Zjednoczonych, do których do niedawna dane osobowe można było przekazywać na podstawie programu Tarcza Prywatności unieważnionego wyrokiem Trybunału Sprawiedliwości Unii Europejskiej w sprawie „Schrems II”.
Oprócz zestawu standardowych klauzul umownych w przypadku transferu danych osobowych poza Unię Europejską, Komisja Europejska przygotowała również zupełnie nowy zestaw klauzul do stosowania w relacjach administrator – podmiot przetwarzający, również wewnątrz UE.
Jak stosować standardowe klauzule umowne?
Standardowe klauzule umowne to zestaw gotowych postanowień umownych dotyczących przetwarzania danych osobowych. Mogą stanowić odrębną umowę pomiędzy stronami lub stanowić element umowy głównej np. o świadczenie usług.
Nie należy traktować standardowych klauzul umownych jako kompleksowego uregulowania kwestii transferu danych osobowych. Dopuszczalne, a wręcz zalecane jest uzupełnianie standardowych klauzul umownych o dodatkowe zabezpieczeni danych dostosowane do konkretnych okoliczności i potrzeb stron umowy. Należy jednak pamiętać, że takie dodatkowe postanowienia nie mogą pozostawać w sprzeczności z treścią standardowych klauzul umownych ani naruszać podstawowych praw lub wolności osób, których dane dotyczą.
Stosowanie standardowych klauzul umownych to jeden z łatwiejszych instrumentów umożliwiający transfer danych ponieważ nie wymaga uzyskania zgody podmiotów danych ani notyfikowania tego faktu Prezesowi Urzędu Ochrony Danych Osobowych. Forma gotowych postanowień umownych jest chętnie stosowana przez przedsiębiorców.
Na koniec warto przypomnieć, że standardowe klauzule umowne mogą być wprowadzane również przez krajowe organy nadzorcze po zatwierdzeniu przez Komisję Europejską. W Polsce do tej pory nie przyjęto jednak w ten sposób żadnego zestawu klauzul.
Skontaktuj się z nami
65-071 Zielona Góra +48 61 853 56 48kancelaria@dudkowiak.com