Legal Alert: Nowe standardowe klauzule umowne dotyczące przekazywania danych osobowych poza EOG

Kluczowe zmiany wprowadzone w treści nowych SCC.

Kluczowe zmiany wprowadzone w treści nowych SCC.

Zgodnie z decyzją wykonawczą Komisji Europejskiej z dnia 4 czerwca 2021 roku nr 2021/914 (dalej „Decyzja”), dnia 27 grudnia 2022 roku upływa termin wdrożenia nowych standardowych klauzul umownych – standard contractual clauses (dalej „SCC”) dotyczących przekazywania danych osobowych do państw trzecich, przyjętych na podstawie ww. Decyzji.

SCC stanowią wzór porozumienia pomiędzy eksporterem danych do państwa trzeciego oraz importerem tych danych. W świetle Rozporządzenia ogólnego o ochronie danych nr 2016/679 (dalej „RODO”) SCC stanowią, obok decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony (tzw. adequacy decision), jedno z podstawowych zabezpieczeń, umożliwiających przekazywanie danych osobowych podmiotom z państw spoza EOG. Takie przekazywanie może odbywać się np. w związku z wzajemnym udostępnianiem danych osobowych pracowników w ramach grup kapitałowych, w których występują spółki spoza EOG, czy też korzystaniem z usług opartych o nowoczesne technologie, gdzie dostęp do danych mogą uzyskiwać podmioty spoza EOG.

Co się zmienia?

Kluczowe zmiany wprowadzone w treści nowych SCC w porównaniu z dotychczasowymi to:

  • wprowadzenie, obok zestawu klauzul umownych w relacjach administrator-administrator i administrator-podmiot przetwarzający, również dwóch nowych zestawów SCC, mających zastosowanie do przekazania danych pomiędzy podmiotami przetwarzającymi oraz przez podmiot przetwarzający na rzecz administratora danych;
  • dodanie zapewnień importera danych, związanych z ochroną danych w kontekście potencjalnego dostępu do nich władz kraju importera, poprzedzonych odpowiednią oceną ryzyka, w szczególności oświadczenia, że prawa i praktyki w państwie przeznaczenia nie uniemożliwiają importerowi danych wykonania jego obowiązków wynikających z SCC (co jest pokłosiem wyroku TSUE w sprawie Schrems II, ograniczającego, w uproszczeniu, możliwości transferu danych osobowych do państw trzecich);
  • wprowadzenie obowiązku importera danych co do niezwłocznego powiadomienia eksportera danych (i) o ewentualnym otrzymaniu od organu publicznego państwa importera żądania udostępnienia danych osobowych przekazywanych na podstawie danej umowy / SCC oraz (ii) w razie otrzymania informacji o przypadku uzyskania przez organ publiczny takiego dostępu do danych osobowych (obowiązek ten został również przewidziany w związku z wspomnianym wyżej wyrokiem w sprawie Schrems II);
  • uściślenie, że osobie, której dane dotyczą, w razie naruszenia ochrony jej danych osobowych przysługuje odszkodowanie zarówno za szkodę majątkową, jak i niemajątkową (tzw. krzywdę);
  • co do zasady umożliwienie poddania umowy dotyczącej transferu danych prawu jakiegokolwiek państwa członkowskiego UE, pod warunkiem, że prawo to uwzględnia prawa osób, których dane dotyczą (podczas, gdy zgodnie z dotychczasowymi decyzjami Komisji, możliwe było poddanie umowy prawu państwa siedziby eksportera danych).

Jakie działania należy podjąć?

Podmioty przekazujące dane osobowe do państw trzecich (spoza EOG), co do których Komisja Europejska nie wydała decyzji stwierdzającej odpowiedni stopień ochrony (adequacy decision), które dotychczas przekazywały ww. dane bez żadnego zabezpieczenia lub na podstawie dotychczasowych SCC, powinny zweryfikować podstawę dokonywanych transferów i w razie potrzeby zawrzeć nowe umowy lub zaktualizować treść SCC.

Mając na uwadze, że umowy transferu danych zawarte na podstawie dotychczasowych SCC są uznawane za zapewniające odpowiednie zabezpieczenia jedynie do dnia 27 grudnia 2022 roku (okres przejściowy), przedsiębiorcy przekazujący dane poza EOG powinni jak najszybciej wdrożyć nowe SCC. Przekazywanie danych do państw trzecich na podstawie niezaktualizowanych klauzul wiąże się z ryzykiem wysokich kar finansowych ze strony Prezesa Urzędu Ochrony Danych Osobowych sięgających nawet 20 mln EUR lub 4% rocznego światowego obrotu przedsiębiorcy.

Jak możemy pomóc ?

Kancelaria KPMG Law świadczy pomoc prawną w zakresie ochrony danych osobowych.

Wspieramy naszych Klientów w zakresie między innymi:

  • analiz dotyczących aktualnych i planowanych transferów danych osobowych do państw spoza EOG pod kątem wymogów związanych z ochroną danych osobowych (tzw. Transfer Risk Assessments);
  • opracowywania umów w zakresie transferu danych, w tym w oparciu o SCC oraz aktualizacji dotychczasowych umów,
  • wypracowania innych niż SCC rozwiązań ograniczających ryzyka zakwestionowania stosowanych transferów danych, w tym poprzez skorzystanie z innych mechanizmów przewidzianych w RODO;
  • pomocy w ewentualnej korespondencji i postępowaniach wszczętych przez organy nadzorcze (w tym UODO).