Przedsiębiorcy, którzy przekazują dane osobowe z terytorium EOG do państw trzecich, w tym do USA czy Ukrainy, powinni pilnie zawrzeć nowe umowy w tej sprawie, które będą bazować na nowych standardowych klauzulach umownych. Inaczej dane będą przesyłane z naruszeniem RODO
- Konieczne odpowiednie zabezpieczenie
- Co się zmienia
- Dodatkowe wymagania
- Środki bezpieczeństwa
- Wywiad nie skorzysta
rozwiń ›
dr Bartosz Marcinkowski, radca prawny, partner i szef zespołu ochrony prywatności DZP
Mateusz Jankowski, adwokat, associate z zespołu ochrony prywatności DZP
Mateusz Jankowski, adwokat, associate z zespołu ochrony prywatności DZP
Od 28 grudnia 2022 r. przekazywanie danych osobowych na podstawie „starych” standardowych klauzul umownych (dalej: SCC) będzie traktowane jako przetwarzanie danych bez należytej podstawy. [ramka] A to z kolei może skutkować nałożeniem administracyjnej kary pieniężnej o podwyższonym górnym pułapie.
Konieczne odpowiednie zabezpieczenie
• Unifikacja przepisów oraz wzrost ich egzekwowalności w państwach wchodzących w skład Europejskiego Obszaru Gospodarczego, grupującego kraje członkowskie Unii Europejskiej oraz Islandię, Norwegię i Liechtenstein, spowodowała, że transfer danych wewnątrz EOG nie musi budzić większych obaw, jednocześnie nie pociągając za sobą większych ryzyk prawnych. Tego samego nie można powiedzieć o przekazywaniu danych poza EOG, tj. do państw trzecich, które w ostatnim czasie budzi liczne wątpliwości. Jednym z najbardziej powszechnych narzędzi służących legalizacji transferów poza EOG są standardowe klauzule umowne (Standard Contractual Clauses, czyli SCC). SCC to 18 klauzul (paragrafów), z których część została podzielona na moduły wybierane przez przedsiębiorców – w zależności od rodzaju transferu danych. Dodatkowo klauzule zostały rozszerzone o załączniki, w których strony wskazują m.in. środki, jakie wdrożyły lub są zobowiązane wdrożyć w celu zapewnienia dostatecznego bezpieczeństwa danych.
• Inną podstawą przekazywania danych do odbiorców w państwie trzecim może być decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony danych w państwie trzecim. W dużym uproszczeniu decyzja KE oznacza, że takie państwo zapewnia danym osobowym równoznaczną ochronę, jak ma to miejsce w państwach wchodzących w skład EOG.
• Polski biznes powinien zwrócić szczególną uwagę na decyzje KE dotyczące współpracy z europejskimi podmiotami, ale nienależącymi do EOG (m.in. z Wielkiej Brytanii czy Szwajcarii). Na baczności muszą się mieć także przedsiębiorcy przekazujący dane do Stanów Zjednoczonych, Chin, Indii, Brazylii, Ukrainy czy Australii. Przekazywanie danych poza EOG wymaga spełnienia odrębnych przesłanek, spośród których rozwiązaniem szczególnie cenionym i chętnie stosowanym są właśnie SCC. W uproszczeniu mówiąc, to wzorce umowne (czyli zbiór praw i obowiązków stron), które w przypadku zastosowania zapewnią kontraktowe bezpieczeństwo danych przesyłanych poza EOG. ©℗
Przypomnijmy, że w czerwcu 2021 r. Komisja Europejska z uwagi na konieczność dostosowania uprzednio obowiązujących SCC do reformy wprowadzonej przez RODO przyjęła zestaw nowych standardowych klauzul umownych. Jednocześnie wyznaczony został okres przejściowy, który obowiązuje do 27 grudnia 2022 r., kiedy to wszystkie podpisane stare SCC tracą moc. W trakcie okresu przejściowego administratorzy i podmioty przetwarzające dane osobowe mogą opierać transfery danych osobowych do państw trzecich na podstawie wcześniejszych standardowych klauzul umownych, na podstawie których zawarli umowy przed 27 września 2021 r. Warunkiem było, by operacje przetwarzania, stanowiące przedmiot umowy, pozostały niezmienione, a przy tranferze danych stosowane były odpowiednie zabezpieczenia. Wspomniana decyzja KE oznacza, że aby od 28 grudnia 2022 r. móc legalnie przekazywać dane poza obszar EOG, należy posługiwać się jedynie nowym wzorem SCC.
Co się zmienia
Nowe SCC zostały podzielone na cztery moduły, z których każdy odpowiada innej relacji przetwarzania:
▶ Moduł I – reguluje przekazywanie danych pomiędzy administratorami (relacja pozioma administrator – administrator).
▶ Moduł II – reguluje przekazywanie danych przez administratora podmiotowi przetwarzającemu (procesorowi) zlokalizowanemu poza EOG (relacja pionowa administrator – podmiot przetwarzający).
▶ Moduł III – reguluje przekazywanie danych pomiędzy procesorami (relacja pionowa podmiot przetwarzający – dalszy podmiot przetwarzający zlokalizowany poza EOG). Należy zauważyć, że to rozwiązanie stanowi nowość względem „starych” SCC i ma wychodzić naprzeciw aktualnym potrzebom biznesowym. Obecnie dostawcy coraz częściej korzystają z usług podwykonawców mających swoją siedzibę poza EOG.
▶ Moduł IV – reguluje przekazywanie danych przez procesora do administratora mającego siedzibę poza EOG (relacja pionowa podmiot przetwarzający – administrator). Odwrócenie relacji z Modułu II, z którą mamy do czynienia w tym przypadku, to również nowość względem „starych” SCC. Jego głównym zastosowaniem mogą być transgraniczne aspekty prawa HR, w szczególności w aspekcie przetwarzania danych amerykańskich czy azjatyckich pracowników przez europejskie centra usług wspólnych.
W wyniku zastosowania aż czterech różnych modułów przedsiębiorcy wdrażający nowe SCC mają możliwość wyboru odpowiednich postanowień, dostosowując tym samym treść umowy do własnych potrzeb.
W nowej propozycji Komisji Europejskiej znalazły się również znane z transakcji M&A oświadczenia Reps & Warranties oraz tzw. docking clause, tj. klauzule umożliwiające elastyczne przystępowanie nowych podmiotów do umowy zawartej przy zastosowaniu „nowych” SCC.
Dodatkowe wymagania
Kolejną nowością, na którą warto zwrócić uwagę, jest wprowadzenie dodatkowych postanowień zabezpieczających osoby, których dane dotyczą. W nowych SCC przyjęto nieograniczoną odpowiedzialność eksportera danych za wszelkie uchybienia importera danych. Jest to szczególnie istotne, ponieważ uregulowanie odpowiedzialności właśnie w ten sposób jest surowsze niż odpowiedzialność znana z RODO. Nie powinno to jednak dziwić chociażby ze względu na to, że transfer danych do państw trzecich posiadających różne regulacje z perspektywy ochrony danych rodzi szczególne ryzyka po stronie osób, których dane dotyczą.
Na szczególną uwagę zasługuje także obowiązek uwzględnienia przy zawieraniu nowych SCC całokształtu stosunków towarzyszących przetwarzaniu i ochronie danych osobowych w państwie docelowym, do którego przekazywane są dane. Wymóg ten – wyłączający bezrefleksyjne podpisywanie nowych SCC – jest pokłosiem wyroku Trybunału Sprawiedliwości Unii Europejskiej z 2020 r. w sprawie Schrems II (C 311/18). W praktyce oznacza to, że inne środki będzie musiał podjąć podmiot, który chce przekazać dane np. do podmiotu zlokalizowanego w Białorusi, a inne do podmiotu z siedzibą w Korei Południowej.
Środki bezpieczeństwa
Kolejnym obowiązkiem wynikającym z nowych SCC jest ustalenie, jakie dodatkowe środki bezpieczeństwa powinny zostać zastosowane przez strony danego transferu. W tym celu przedsiębiorcy przed przystąpieniem do przekazania danych powinni przeprowadzić ocenę skutków transferu danych – Transfer Impact Assessment (TIA). Chodzi o to, aby dokonać wielopłaszczyznowej oceny:
- okoliczności przekazywania danych, ich rodzaju i ilości;
- prawa i praktyki obowiązujących w dziedzinie ochrony danych osobowych w państwie trzecim oraz
- egzekucji praw i obowiązków podmiotów obowiązanych.
Odpowiedzialność za przeprowadzanie TIA i dokonane oceny spoczywa całkowicie na stronach umowy zawartej na podstawie nowych SCC. Jak tego dokonać? To proces wielowątkowy i skomplikowany, prowadzony na podstawie nie tylko lokalnych przepisów i RODO, lecz także regulacjach obowiązujących w państwie trzecim. Samodzielne przeprowadzenie tego procesu w wielu przypadkach może okazać się problematyczne, dlatego warto w tym zakresie nie ograniczać się do samodzielnej oceny, ale posiłkować się wsparciem prawników, w szczególności posiadających możliwości organizacyjne w zakresie weryfikacji przepisów państw spoza EOG.
Wywiad nie skorzysta
W tym kontekście zwraca się uwagę na aspekt nowych środków przewidzianych w SCC na wypadek żądania lub uzyskania dostępu do danych przez służby wywiadowcze państwa zlokalizowanego poza EOG. SCC z założenia mają charakter kontraktowy, zatem wiążą strony umowy, a nie np. organy władzy publicznej państwa trzeciego. Z tej przyczyny do SCC wprowadzono klauzulę 15, która reguluje tryb postępowania w przypadku odnotowania próby podjęcia przez władze publiczne dostępu do danych. Przywołana regulacja jest bezpośrednim skutkiem i próbą unormowania kwestii wskazanych jako krytyczne w sprawie Schrems II.
Umowa powierzenia
Warto wiedzieć, że Moduły II i III w „nowych” SCC zostały uzupełnione o wymogi powierzenia danych. Oznacza to, że – w kontekście przekazywania danych pomiędzy administratorem a procesorem i procesorem a dalszym podmiotem przetwarzającym – nie jest wymagana odrębna umowa powierzenia przetwarzania danych osobowych.
Zgodnie z treścią „nowych” SCC strony mogą co do zasady dowolnie wybrać jurysdykcję umowy, wybierając prawo jednego z państw członkowskich UE. Wyjątkowo w przypadku wspomnianych Modułów II i III prawem właściwym jest obligatoryjnie prawo państwa członkowskiego, w którym ma siedzibę eksporter danych. „Nowe” SCC – odmiennie niż ich brytyjski odpowiednik (IDTA) – nie przewidują poddania sporu powstałego na gruncie ich stosowania sądowi arbitrażowemu. Przedsiębiorcy muszą się więc liczyć w tym zakresie z dłuższym postępowaniem, które może wygenerować wyższe koszty niż w przypadku zastosowania arbitrażu.
Co ważne, wyłączając wybór odpowiednich modułów oraz aktualizację informacji zawartych w załącznikach, „nowe” SCC nie powinny być modyfikowane. Bezpieczną rekomendacją w tym zakresie jest ocena ewentualnych zmian z perspektywy zwiększenia interesów podmiotów danych – modyfikacje utrudniające dochodzenie przez te osoby praw należy uznać za niedopuszczalne.
Konsekwencje niewdrożenia
Brak wdrożenia „nowych” SCC do 27 grudnia 2022 r. może wygenerować po stronie przedsiębiorców następujące ryzyka:
▶ Ryzyko regulacyjne/prawne – wynikające z niewłaściwego przygotowania umów będących podstawą do przekazywania danych poza EOG w szczególności z powodu braku umieszczania w nich „nowych” klauzul umownych.
▶ Ryzyko PR-owe – wynikające z nałożenia przez organ nadzorczy ewentualnej kary lub publicznej informacji o niedostatecznym poziomie ochrony danych osobowych przekazywanych poza EOG. Decyzje o nałożeniu kary są jawne i łatwo dostępne zarówno dla potencjalnych partnerów, jak i konkurentów biznesowych.
▶ Ryzyko biznesowe – będące implikacją powyższych ryzyk i polegające na ochłodzeniu relacji biznesowych z uwagi na brak zapewnienia dostatecznego stopnia ochrony danych osobowych.
A zatem należy jak najszybciej wprowadzić stosowne uaktualnienia zabezpieczeń danych osobowych, gdyż wyzwania organizacyjne związane z przeprowadzeniem znacznej liczby TIA i wdrożeniem (w tym wynegocjowaniem) nowych klauzul umownych może być w niektórych przypadkach zadaniem porównywalnym z wdrożeniem RODO w 2018 r.
Rozwiązaniem zapewniającym stosunkowo szybkie i sprawne przeprowadzenie procesu implementacji „nowych” SCC, poza wsparciem doradcy prawnego, jest zastosowanie rozwiązań Legal Tech oraz matryc automatyzujących, służących organizacji tego złożonego procesu. ©℗
Podstawa prawna
• Decyzja wykonawcza Komisji (UE) 2021/914 z 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) (Dz.U.UE.L.2021.199.31)
• Decyzja Komisji z 27 grudnia 2004 r. 2004/915/WE zmieniająca decyzję 2001/497/WE w zakresie wprowadzenia alternatywnego zestawu standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich (Dz.U.UE.L.2004.385.74)
• Decyzja Komisji z 5 lutego 2010 r. 2010/87/UE w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (Dz.U.UE.L.2010.39.5)