Firmy przekazujące wrażliwe informacje do krajów spoza Europejskiego Obszaru Gospodarczego powinny uwzględnić wzory porozumień opracowane przez Komisję Europejską. Mają na przygotowania prawie półtora roku - piszą radcowie prawni w Kancelarii Prawnej D. Dobkowski sp.k. stowarzyszonej z KPMG w Polsce.

Komisja Europejska decyzją wykonawczą z 4 czerwca 2021 r. nr 2021/914 (dalej: decyzja 2021/914) przyjęła nowe standardowe klauzule umowne (ang. standard contractual clauses, SCC), które powinny być stosowane przy przekazywaniu danych osobowych do państw trzecich nienależących do Europejskiego Obszaru Gospodarczego (np. do USA, Chin, Rosji, Ukrainy). SCC stanowią wzór porozumienia pomiędzy eksporterem danych do państwa trzeciego oraz importerem tych danych. Decyzja 2021/914 weszła w życie 27 czerwca, ale dzięki temu, że wprowadzono półtoraroczny okres przejściowy, umowy transferu danych zawarte na podstawie dotychczasowych SCC będą uznawane za zapewniające odpowiednie zabezpieczenia jeszcze do 27 grudnia 2022 r.
Jednak ze względu na złożony charakter materii odpowiednie działania warto podjąć już teraz. Podmioty, które będą przekazywały dane osobowe poza EOG na podstawie niezaktualizowanych umów, narażą się na wysokie kary finansowe wynikające z rozporządzenia Parlamentu Europejskiego i Rady nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (DzUrz. UE z 2016 r. L 119, s. 1; dalej: RODO) w związku z naruszeniem przepisów dotyczących przekazywania danych osobowych odbiorcy w państwie trzecim (art. 83 ust. 5 lit. c RODO).
Dla kogo i po co
SCC w świetle RODO stanowią – obok decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony (ang. adequacy decision) – jedno z podstawowych zabezpieczeń umożliwiających przekazywanie danych osobowych podmiotom z państw spoza EOG. Chodzi np. o przekazywanie danych w związku ze wzajemnym udostępnianiem danych osobowych pracowników w ramach grup kapitałowych, w których występują spółki spoza EOG, czy też o korzystanie z usług opartych na nowoczesnych technologiach (np. przechowywanie danych w chmurze obliczeniowej), gdzie dostęp do zgromadzonych informacji mogą uzyskiwać podmioty spoza EOG. Właśnie w takich sytuacjach w umowach między eksporterami i importerami danych powinny być uwzględnione zabezpieczenia w postaci klauzul umownych. Mają one wykazać, że transfer danych jest zgodny z RODO oraz że zapewniono wymagany poziom ochrony prywatności osób, których dane są przekazywane poza obszar EOG.
W związku z wydaniem decyzji 2021/914 podmioty przekazujące dane osobowe do państw trzecich (spoza EOG), co do których Komisja Europejska nie wydała decyzji stwierdzającej odpowiedniego stopnia ochrony, będą musiały zweryfikować podstawę dokonywanych transferów i w razie potrzeby zawrzeć nowe umowy lub je zmienić. Zatem już teraz warto prześledzić zmiany wprowadzone w treści nowych klauzul i porównać je z dotychczasowymi, gdyż to z pewnością ułatwi pracę nad niezbędną ich aktualizacją.
Spełnienie wymogów z wyroku Schrems II
Przede wszystkim należy podkreślić, że podstawowym celem opracowania nowych SCC było ich dostosowanie do postanowień RODO. Dotychczasowe klauzule były bowiem wydane jeszcze na podstawie starej, nieobowiązującej już dyrektywy 95/46/WE. W konsekwencji sporządzanie umów transferu danych wymagało porównywania i w razie potrzeby łączenia wymogów dotychczasowych SCC z wymogami wynikającymi z RODO. Ponadto konieczne było uzgodnienie treści nowych klauzul po wyroku Trybunału Sprawiedliwości UE w sprawie Schrems II (sygn. C-311/18), który w praktyce doprowadził do ograniczeń transferów danych osobowych do państw trzecich. Przypomnijmy, że TSUE w sprawie Schrems II stwierdził nieważność decyzji wykonawczej KE nr 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE‒USA ze względu na to, że organy publiczne USA (w szczególności wywiadowcze) są uprawnione do dostępu do danych osobowych obywateli spoza USA. Przy okazji TSUE uznał, że standardowe klauzule umowne również nie są wystarczającym środkiem zapewniającym bezpieczeństwo danych osobowych osób z obszaru EOG w przypadku przekazania ich do USA. W ocenie trybunału SCC co prawda mogły zabezpieczać prawa osób fizycznych przed ingerencją podmiotów prywatnych, ale na ich podstawie nie można było wykluczyć dostępu do danych organów publicznych USA ani mu zapobiec.
Konieczna analiza ryzyka
W związku z wyrokiem w sprawie Schrems II w umowach uwzględniających nowe klauzule strony będą musiały obligatoryjnie zamieścić oświadczenia gwarantujące istnienie odpowiednich standardów ochrony danych w ramach prawa i praktyki państwa trzeciego, które umożliwią importerowi danych wykonanie jego obowiązków wynikających z SCC. Przy czym analiza treści nowych klauzul prowadzi do wniosku, że samo złożenie powyższych oświadczeń nie będzie wystarczające. Strony będą bowiem musiały także zapewnić, że uwzględniły m.in. konkretne regulacje w państwie importera odnośnie wymienionych w SCC kwestii, a dotyczące przepisów i praktyki państwa importera, które wymagają ujawnienia danych organom publicznym lub upoważniają takie organy do uzyskania dostępu do danych. W praktyce powyższy wymóg oznacza konieczność dokonania przez strony umowy analizy oraz udokumentowanej oceny okoliczności zamierzonego przekazania danych do danego państwa uwzględniającej ustawodawstwo danego państwa odnoszące się do ochrony danych, stosowane zabezpieczenia oraz inne szczególne okoliczności.
Rada: Jeśli z oceny wynika np., że w sytuacji gdy władze państwa trzeciego mogą uzyskać niekontrolowany dostęp do danych osobowych, eksporter danych powinien odstąpić od planowanego transferu lub co najmniej rozważyć zastosowanie dodatkowych instrumentów prawnych, np. zgody osoby, której dane dotyczą (poinformowanej o ewentualnym ryzyku, z którym może się wiązać dla niej proponowane przekazanie danych), na ich dostarczenie importerowi.
Niezbędne powiadomienie
Dodatkowo wprowadzono nowe obowiązki dla importera danych – w sytuacji gdy ten otrzyma od organu publicznego swojego państwa żądanie ujawnienia przekazywanych danych osobowych. Otóż w takim przypadku powinien powiadomić eksportera, jakich danych dotyczy żądanie (np. imię, nazwisko, adres zamieszkania), a także o organie występującym z żądaniem, udzielonej mu odpowiedzi oraz o podstawie prawnej żądania.
Warto wskazać, że importer został zobowiązany do podjęcia takich działań zawsze, gdy się dowie o jakimkolwiek przypadku bezpośredniego dostępu organów publicznych do danych osobowych objętych transferem, a wówczas stosowne powiadomienie powinno zawierać wszelkie informacje, do których importer ma dostęp. Jeśli nałożony byłby przez organy publiczne zakaz powiadamiania eksportera danych lub osoby fizycznej, to zgodnie z treścią wzorcowych SCC importer powinien dołożyć wszelkich starań, aby uzyskać zwolnienie z zakazu i przekazać eksporterowi jak największą ilość informacji w jak najkrótszym czasie. Ponadto klauzule zobowiązują importera do dostarczenia eksporterowi, w regularnych odstępach czasu, jak najwięcej informacji o otrzymanych żądaniach (w tym na temat ich liczby, rodzaju wymaganych danych, organu/organów występujących z żądaniem, a także o tym, czy żądania były przedmiotem środków zaradczych). Co więcej, w SCC zobowiązano importera do działań dalej idących, tj. do kontroli samej legalności żądania ujawnienia danych – w szczególności czy mieści się ono w zakresie uprawnień przyznanych organowi publicznemu. W razie ustalenia, że są uzasadnione podstawy do uznania, że żądanie to jest niezgodne z prawem, importer powinien zakwestionować takie żądanie.
Rada: Mając na uwadze, że wzorcowe SCC zobowiązują importera danych do dokonywania różnych powiadomień w krótkim czasie, warto rozważyć dodanie do zawieranych umów wzorów wymaganych powiadomień, aby w razie potrzeby możliwe było niezwłoczne poinformowanie eksportera. Tego rodzaju wzory (np. zawiadomienie o naruszeniu ochrony danych) są standardowo dodawane np. do umów powierzenia przetwarzania danych.
Wybrać odpowiedni moduł
W dotychczasowym stanie prawnym istniały dwa zestawy klauzul: jeden mający zastosowanie do transferów danych osobowych pomiędzy administratorami danych (objęty decyzją KE z 15 czerwca 2001 r. nr 2001/497/WE) oraz drugi dotyczący przekazywania danych przez administratora danych na rzecz podmiotu przetwarzającego (objęty decyzją KE z 5 lutego 2010 r., nr 2010/87/UE). Nowe klauzule zawarte w decyzji nr 2021/914 dają możliwość uwzględnienia różnych scenariuszy przekazywania danych. Dlatego przewidziano odpowiednie moduły, w tym (nowy) moduł z klauzulami mającymi zastosowanie do transferów danych pomiędzy podmiotami przetwarzającymi (np. w ramach tzw. podpowierzenia przetwarzania danych osobowych) przez pierwotny podmiot przetwarzający na rzecz dalszego podmiotu przetwarzającego. Wprowadzono również moduł z zestawem klauzul dotyczących mniej typowej sytuacji przekazania danych przez podmiot przetwarzający do administratora danych. Może mieć to miejsce w przypadku, gdy podmiot przetwarzający z UE łączy dane osobowe otrzymane od administratora z państwa trzeciego z danymi osobowymi zgromadzonymi przez administratora w UE.
Rada: Podmioty biorące udział w międzynarodowym transferze danych powinny zweryfikować swoje role w przetwarzaniu pod kątem doboru właściwego zestawu klauzul. Umowy transferu danych do państw trzecich pomiędzy podmiotami przetwarzającymi lub pomiędzy podmiotem przetwarzającym na rzecz administratora (dla których dotychczas nie były przewidziane odrębne zestawy klauzul) powinny zatem zostać zaktualizowane również pod kątem wymogów wynikających z nowych zestawów SCC.
Prawa osoby, której dane dotyczą
Już dotychczasowe SCC przewidywały, że osoba, której dotyczą dane osobowe (podmiot danych), która poniosła szkodę w wyniku zaniedbań stron umowy transferu danych, jest uprawniona do dochodzenia odszkodowania. Pewne wątpliwości mogło budzić ograniczenie odszkodowania do tzw. szkody rzeczywistej (z wyłączeniem prawa do zadośćuczynienia za straty moralne). W świetle nowych SCC zakres ewentualnego odszkodowania przysługującego podmiotowi danych będzie obejmował nie tylko szkodę majątkową, lecz także niemajątkową, np. naruszenie dobrego imienia na skutek ujawnienia danych osobowych (a zatem może dotyczyć również szkód moralnych). W tym zakresie prawa osoby poszkodowanej zostały zatem rozszerzone. Zauważyć jednak należy, że szczegółowy tryb dochodzenia naprawienia szkody będzie regulowało prawo właściwe dla danej umowy.
Rada: Warto doprecyzować umowy transferu danych poprzez przesądzenie w nich, że osobie poszkodowanej będzie przysługiwało odszkodowanie (zadośćuczynienie) również za szkodę niemajątkową.
Czy można wprowadzać zmiany
Pytanie jest o tyle istotne, że najczęściej SCC stanowią jedynie dodatek do głównej umowy pomiędzy stronami (np. umowy o współpracy handlowej, o korzystanie z chmury obliczeniowej itp.). W decyzji 2021/914 przesądzono, że dopuszczalne będzie ich włączenie do szerszej umowy pomiędzy stronami (np. jako załącznik), natomiast postulowane jest ograniczenie modyfikacji do zmian o charakterze technicznym (np. wybór odpowiedniego modułu SCC). Rekomenduje się zatem niewprowadzanie zmian merytorycznych, zmieniających sens tych postanowień czy uszczuplających przewidziane w nich gwarancje, o ile dopuszczalność takich zmian nie jest wprost przewidziana w treści SCC.

przykład

Kontakty z organizatorem targów z ZEA
Przedsiębiorca planuje w 2023 r. udział w targach w Zjednoczonych Emiratach Arabskich. W tym celu kilka tygodni wcześniej będzie musiał przekazać organizatorowi z ZEA dane osobowe swoich pracowników, którzy będą go reprezentowali na imprezie (imię, nazwisko, e-mail służbowy, numer telefonu służbowego, funkcja/stanowisko w firmie). Nie ulega wątpliwości, że w takim przypadku dojdzie do transferu danych osobowych pracowników poza UE. Przedsiębiorca po 27 grudnia 2022 r. będzie więc zobligowany spełnić wymogi związane z przekazywaniem danych poza UE wynikające z RODO, w tym zadbać o odpowiednie ich zabezpieczenia (np. poprzez zawarcie umowy opartej na standardowych klauzulach umownych w nowym kształcie) oraz – jeśli wcześniej tego nie uczynił – poinformować pracowników, że ich dane będą przekazywane poza UE, i podać im inne, szczegółowe informacje wymagane przez RODO (np. o tym, jakie zabezpieczenia ich danych będą zastosowane).