Wstęp

Dnia 4 czerwca 2021 r. Komisja Europejska przyjęła dwa zestawy standardowych klauzul umownych (SKU) – jeden do stosowania między administratorami a podmiotami przetwarzającymi, a drugi do przekazywania danych osobowych do państw trzecich. Nowe SKU zostały dostosowane do przepisów RODO oraz uwzględniają treść wyroku Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z dnia 18 lipca 2020 r. w sprawie Schrems II. Prace nad nowym zestawem klauzul trwały od listopada 2020 r., kiedy to Komisja opublikowała projekt obu decyzji.

SKU zostały ujęte w dwóch decyzjach wykonawczych Komisji, przyjętych zgodnie z procedurą określoną w RODO:

  • decyzji wykonawczej Komisji z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi na podstawie art. 28 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 oraz art. 29 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725[1];
  • decyzji wykonawczej Komisji z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679[2].

Nowe SKU zastąpią dotychczas obowiązujące zestawy SKU, które zostały przyjęte na mocy poprzedniej dyrektywy 95/46/WE. Nowe standardowe klauzule umowne uwzględniają wspólną opinię Europejskiej Rady Ochrony Danych i Europejskiego Inspektora Ochrony Danych[3], informacje zebrane od zainteresowanych stron podczas konsultacji społecznych oraz opinię przedstawicieli państw członkowskich.

W dalszej części artykułu skupimy się na nowych SKU dotyczących transferu danych do państwa trzeciego.

Podejście modułowe w nowych SKU dotyczących transferu danych

Nowe SKU składają się z:

  • klauzul ogólnych, które znajdują zastosowanie do wszystkich scenariuszy transferów (m.in. przepisy wstępne, przepisy dotyczące niezgodności i rozwiązania umowy);
  • klauzul szczegółowych, które dzielą się na różne moduły w zależności od konkretnego scenariusza przekazywania danych do państwa trzeciego;
  • trzech załączników (tj. załącznik nr 1 zawierający listę stron, opis transferów, właściwy organ nadzorczy, załącznik nr 2 – środki techniczne i organizacyjne, w tym środki techniczne i organizacyjne zapewniające bezpieczeństwo danych, załącznik nr 3 – lista podprocesorów).

Standardowe klauzule umowne opierają się na podejściu modułowym i uwzględniają cztery moduły, które odzwierciedlają następujące scenariusze transferów do państwa trzeciego:

  • między administratorem a administratorem w państwie trzecim (C2C);
  • między administratorem a podmiotem przetwarzającym w państwie trzecim (C2P);
  • między podmiotem przetwarzającym a podmiotem przetwarzającym w państwie trzecim (P2P);
  • między podmiotem przetwarzającym a administratorem w państwie trzecim (P2C).

Oprócz klauzul ogólnych administratorzy i podmioty przetwarzające powinni wybrać moduł mający zastosowanie do ich sytuacji, aby dostosować obowiązki spoczywające na nich na mocy standardowych klauzul umownych do roli i obowiązków, jakie pełnią w związku z przedmiotowym przetwarzaniem danych. Stosownie do decyzji wykonawczej, powinno zapewnić się możliwość przestrzegania standardowych klauzul umownych przez więcej niż dwie strony, jak również możliwość, by do SKU przystępowali dodatkowi administratorzy i dodatkowe podmioty przetwarzające w roli podmiotów przekazujących dane lub podmiotów odbierających dane w całym okresie obowiązywania umowy, której te klauzule są częścią.

W założeniu SKU mają lepiej odzwierciedlać złożoność współczesnych łańcuchów przetwarzania danych. Podejście modułowe odróżnia nowe SKU od dotychczas obowiązujących standardowych klauzul umownych, które przewidują odrębne SKU dla konkretnej sytuacji transferowej.

Okres przejściowy i wejście w życie

Oba zestawy SKU wejdą w życie 20 dni po opublikowaniu w Dzienniku Urzędowym Unii Europejskiej (tj. 27 czerwca 2021 r.)[4]. Istniejące SKU dotyczące transferów danych do państwa trzeciego zostaną uchylone trzy miesiące po opublikowaniu nowych SKU w Dzienniku Urzędowym UE (tj. 27 września 2021 r.), a po tej dacie organizacje nie będą mogły polegać na obecnych SKU w przypadku nowych transferów danych. Umowy, które zawierają dotychczas obowiązujące SKU, nadal będą stanowić ważny mechanizm przekazywania danych do 18 miesięcy po opublikowaniu nowych SKU w Dzienniku Urzędowym UE (tj. do dnia 27 grudnia 2022 r.), pod warunkiem że operacje przetwarzania stanowiące przedmiot umowy pozostaną niezmienione oraz że stosowanie tych klauzul zapewnia, aby przekazywanie danych osobowych odbywało się z zastrzeżeniem odpowiednich zabezpieczeń. Oznacza to, że eksporterzy i importerzy danych będą mieli 18 miesięcy od daty opublikowania decyzji wykonawczej w Dzienniku Urzędowym UE na zastąpienie umów wykorzystujących obecne standardowe klauzule umowne nowymi SKU, chyba że zmianie ulegną operacje przetwarzania – w takim przypadku od tego momentu będzie należało stosować nowe SKU.

Dokładną analizę treści SKU opublikujemy w następnym numerze newslettera RODO.

Źródło: https://ec.europa.eu/commission/presscorner/detail/pl/ip_21_2847.

[1] Zob. https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32021D0915&from=EN (dostęp: 8.06.2021).

[2] Zob. https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32021D0914 (dostęp: 8.06.2021).

[3] EDPB-EDPS Joint Opinion 2/2021 on standard contractual clauses for the transfer of personal data to third countries, dostępna pod adresem: https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-22021-standard_en oraz

EDPB-EDPS Joint Opinion 1/2021 on standard contractual clauses between controllers and processors, dostępna pod adresem: https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-12021-standard_en (dostęp: 8.06.2021).

[4] SKU zostały opublikowane w Dzienniku Urzędowym Unii Europejskiej dnia 7 czerwca 2021 r.