arrow-rightemailfacebook-circlefacebookinstagramlinkedin-circlelinkedinsearchtelephonetwitter
07.03.2022

Ponadgraniczny transfer danych

Dariusz Chmielewski

Podstawowa przyczyna przyjmowania rozwiązań prawnych koncentrujących się na problematyce ponadgranicznych transferów danych związana jest z dążeniem do wyłączenia lub istotnego ograniczenia niekorzystnego zjawiska związanego z osłabieniem skutków wynikających z regulacji dotyczących ochrony danych obowiązujących w określonym państwie. Ochrona danych obowiązująca w określonym państwie mogłaby okazać się słaba, gdyby po przekazaniu danych poza to państwo dane nie podlegały żadnej ochronie lub też podlegały ochronie słabszej niż w miejscu źródłowym, co mogłoby skutkować tym, że dane narażone byłyby na większe ryzyko ich niezgodnego z prawem ich wykorzystania.   

Podstawą prawną transferu danych do państw trzecich poza EOG – Europejski Obszar Gospodarczy grupujący państwa członkowskie UE oraz Islandię, Norwegię i Liechtenstein są tzw. standardowe klauzule umowne (SCC). Nowe klauzule zostały przyjęte Decyzją z dnia 04.06.2021 Komisji Europejskiej nr 2021/914/UE i z dniem 27 września 2021 r. zastąpiły dotychczasowe funkcjonujące od 2001 roku klauzule umowne. Komisja Europejska wprowadziła w stosunku do umów transferowych zawartych przed 27 września 2021 r. okres przejściowy obowiązujący do 27.12.2022 r.

Z uwagi na cel przetwarzania i zakres stosowania RODO, transfery danych osobowych na Ukrainę związane z udzielaniem pomocy Uchodźcom nie są objęte ograniczeniami transferowymi danych wynikającymi z RODO.

Standardowe klauzule umowne stanowią odpowiednie zabezpieczenia w rozumieniu art. 46 RODO. Nowe klauzule składają się z:

  • klauzul ogólnych, które znajdują zastosowanie do wszystkich scenariuszy transferów (m.in. przepisy wstępne, przepisy dotyczące niezgodności i rozwiązania umowy);
  • klauzul szczegółowych, które dzielą się na różne moduły w zależności od konkretnego scenariusza przekazywania danych do państwa trzeciego;
  • trzech załączników (tj. załącznik nr 1 zawierający listę stron, opis transferów, właściwy organ nadzorczy, załącznik nr 2 – środki techniczne i organizacyjne, w tym środki techniczne i organizacyjne zapewniające bezpieczeństwo danych, załącznik nr 3 – lista podprocesorów).
  • Standardowe klauzule umowne odnoszą się do różnych scenariuszy przekazywania danych i zostały podzielone na 4 moduły odnoszące się do:

  • przekazywania danych między administratorami (C2C),
  • przekazywania danych przez administratora podmiotowi przetwarzającemu w państwie trzecim (C2P),
  • przekazywania między podmiotami przetwarzającymi (P2P),
  • przekazywania danych przez podmiot przetwarzający administratorowi w państwie trzecim (P2C).
  • Co istotne z modułów można korzystać łącznie, gdy dana relacja biznesowa zakłada dzielenie się danymi na różnych płaszczyznach – przy wykorzystaniu różnych modułów.

    W praktyce spotyka się dwa warianty implementacji nowych standardowych klauzul umownych do umów handlowych:

  • I wariant – wyselekcjonowanie postanowień ze standardowych klauzul umownych (klauzule ogólne, klauzule szczegółowe w poszczególnych modułach określonych w standardowych klauzulach umownych) do nowej umowy handlowej,
  • II wariant – do umowy handlowej dołączone są kompletne standardowe klauzule umowne, a w tzw. cover sheet wskazane jest które moduły stosują się do danych relacji pomiędzy stronami (np. w przypadku outsourcingu przetwarzania danych przez podmiot/eksportera danych z EOG stosuje się moduł nr 2 klauzul – przekazywanie danych przez administratora podmiotowi przetwarzającemu w państwie trzecim).
  • W analizach dotyczących nowych standardowych klauzulach umownych podkreśla się, iż jest możliwość ich zawarcia również w postaci elektronicznej (np. systemy podpisów typu „DocuSign” or „Adobe Sign„).

    Nadal jednak tam, gdzie można, warto ograniczać przetwarzanie danych osobowych do obszaru EOG, a ich transfer do państw trzecich rozważać tylko w rozsądnie uzasadnionych przypadkach.