Podstawowa przyczyna przyjmowania rozwiązań prawnych koncentrujących się na problematyce ponadgranicznych transferów danych związana jest z dążeniem do wyłączenia lub istotnego ograniczenia niekorzystnego zjawiska związanego z osłabieniem skutków wynikających z regulacji dotyczących ochrony danych obowiązujących w określonym państwie. Ochrona danych obowiązująca w określonym państwie mogłaby okazać się słaba, gdyby po przekazaniu danych poza to państwo dane nie podlegały żadnej ochronie lub też podlegały ochronie słabszej niż w miejscu źródłowym, co mogłoby skutkować tym, że dane narażone byłyby na większe ryzyko ich niezgodnego z prawem ich wykorzystania.
Podstawą prawną transferu danych do państw trzecich poza EOG – Europejski Obszar Gospodarczy grupujący państwa członkowskie UE oraz Islandię, Norwegię i Liechtenstein są tzw. standardowe klauzule umowne (SCC). Nowe klauzule zostały przyjęte Decyzją z dnia 04.06.2021 Komisji Europejskiej nr 2021/914/UE i z dniem 27 września 2021 r. zastąpiły dotychczasowe funkcjonujące od 2001 roku klauzule umowne. Komisja Europejska wprowadziła w stosunku do umów transferowych zawartych przed 27 września 2021 r. okres przejściowy obowiązujący do 27.12.2022 r.
Z uwagi na cel przetwarzania i zakres stosowania RODO, transfery danych osobowych na Ukrainę związane z udzielaniem pomocy Uchodźcom nie są objęte ograniczeniami transferowymi danych wynikającymi z RODO.
Standardowe klauzule umowne stanowią odpowiednie zabezpieczenia w rozumieniu art. 46 RODO. Nowe klauzule składają się z:
Standardowe klauzule umowne odnoszą się do różnych scenariuszy przekazywania danych i zostały podzielone na 4 moduły odnoszące się do:
Co istotne z modułów można korzystać łącznie, gdy dana relacja biznesowa zakłada dzielenie się danymi na różnych płaszczyznach – przy wykorzystaniu różnych modułów.
W praktyce spotyka się dwa warianty implementacji nowych standardowych klauzul umownych do umów handlowych:
W analizach dotyczących nowych standardowych klauzulach umownych podkreśla się, iż jest możliwość ich zawarcia również w postaci elektronicznej (np. systemy podpisów typu „DocuSign” or „Adobe Sign„).
Nadal jednak tam, gdzie można, warto ograniczać przetwarzanie danych osobowych do obszaru EOG, a ich transfer do państw trzecich rozważać tylko w rozsądnie uzasadnionych przypadkach.