Nowe Standardowe Klauzule Umowne – jak wdrożyć i zautomatyzować procesy transferu danych osobowych
Od 27 czerwca 2021 r. obowiązują w Unii Europejskiej nowe Standardowe Klauzule Umowne, które zostały dostosowane do wymogów RODO i umożliwiają legalne przekazywanie danych osobowych poza teren EOG, zarówno w grupach kapitałowych jak również pomiędzy dostawcami i klientami.
Nowe klauzule zastąpią dotychczasowe, które były powszechnie stosowane na długo przed wejściem RODO i w stosunku do których podnoszono wiele uwag krytycznych. Nowe Klauzule uwzględniają wyrok TSUE w sprawie Schrems II[1], w którym Trybunał wskazał, że eksporterzy danych, oprócz zawarcia standardowych klauzul umownych, muszą również ocenić czy państwo, do którego dane są eksportowane, zapewnia adekwatny poziom ochrony oraz zastosować dodatkowe zabezpieczenia w przypadku krajów, które takiej ochrony nie gwarantują.
Firmy zobowiązane są do stosowania nowych Standardowych Klauzul Umownych od 27 września 2021., a do 27 grudnia 2022. muszą zaktualizować dotychczas stosowane Klauzule.
Zastosowanie nowych Standardowych Klauzul Umownych
Nowe Standardowe Klauzule Umowne zostały podzielone na klauzule ogólne oraz cztery moduły, które będą mieć zastosowanie zależnie od rodzaju przepływu danych:
- Moduł pierwszy: przekazywanie danych przez administratora z EOG do administratora z kraju trzeciego;
- Moduł drugi: przekazywanie danych przez administratora z EOG do procesora z kraju trzeciego;
- Moduł trzeci: przekazywanie danych przez procesora z EOG do procesora z kraju trzeciego;
- Moduł czwarty: przekazywanie danych przez procesora z EOG do administratora z kraju trzeciego.
Moduły zapewniają znacznie większą elastyczność niż poprzednie rozwiązania, które nie przewidywały wielu przypadków transferów danych w nowoczesnym obrocie gospodarczym. Przykładowo, nowe Klauzule przewidują, że podmiot przekazujący dane może mieć siedzibę poza UE. Ułatwiają też transfery pomiędzy procesorami z UE a subprocesorami spoza Europy.
Dodatkowo, zastosowanie nowych Standardowych Klauzuli Umownych w relacjach z procesorami wyeliminuje konieczność zawierania odrębnych umów powierzenia danych, które muszą spełniać wymagania art. 28 RODO. Dzięki zastosowaniu nowych Klauzul, ułatwione będzie także przystępowanie do wielostronnych (często wewnątrzgrupowych) umów transferów danych.
Nowe obowiązki stron
Zarówno przekazujący, jak i odbierający dane, będą musieli zagwarantować, że przeprowadzili ocenę przepisów prawa lokalnego w kraju, do którego dane osobowe zostaną przekazane. Wynik takiej analizy powinien wskazywać, że nie ma powodów, by sądzić, że przepisy i praktyki stosowane w badanej jurysdykcji uniemożliwią odbierającemu dane wywiązanie się z obowiązków wynikających z Klauzuli (również przy uwzględnieniu odpowiednich zabezpieczeń wprowadzonych w celu uzupełnienia zabezpieczeń zawartych w nowych Klauzulach). Strony będą zobowiązane do udokumentowania oceny ryzyka i udostępnienia jej na żądanie organu nadzorczego.
Przy dokonywaniu oceny ryzyka, strony powinny wziąć pod uwagę odpowiednie i udokumentowane praktyczne doświadczenia z wcześniejszymi przypadkami żądania ujawnienia danych przez organy publiczne lub braku takich żądań. Dodatkowo, odbiorca danych będzie zobowiązany powiadomić podmiot przekazujący o każdym (co do zasady) żądaniu organu publicznego o przyznaniu dostępu do danych. Będzie on musiał również sprawdzić zgodność z prawem każdego takiego żądania, zakwestionować żądania niezgodne z prawem oraz dostarczyć tylko minimum informacji koniecznych do zastosowania się do jakiegokolwiek obowiązku prawnego, któremu podlega. Ponadto będzie zobowiązany do składania regularnych sprawozdań dotyczących otrzymanych wniosków oraz poinformowania eksportera danych, jeśli nie będzie w stanie przestrzegać nowych Standardowych Klauzul Umownych. W takim przypadku eksporter danych będzie mógł Klauzule zawiesić lub wypowiedzieć.
Środki techniczne i organizacyjne przyjęte w celu zabezpieczenia przekazywania danych osobowych będą musiały być opisane w sposób szczegółowy (a nie, jak to było dotychczas, w sposób ogólny) w załączniku II do umowy. Ponadto w załączniku II trzeba będzie wyraźnie wskazać, które środki mają zastosowanie do każdego rodzaju transferu danych.
Dalsze kroki
Wszystkim, którzy są zobowiązani do aktualizacji umów, na podstawie których przekazują dane osobowe poza UE, proponujemy podjęcie następujących kroków:
- identyfikacja umów/instrumentów, na podstawie których dane obecnie są przekazywane poza EOG;
- identyfikacja umów z zawartymi Standardowymi Klauzulami Umownymi;
- ustalenie czy transfery dokonywane na podstawie dotychczasowych Standardowych Klauzul Umownych będą nadal dokonywane po 27 grudnia 2022;
- jeśli tak – weryfikacja ról stron umowy (administrator, procesor, podprocesor) i zmapowanie przepływu danych oraz krajów, które otrzymują dane;
- przygotowanie wzorca analizy ryzyka oceniającego poziom ochrony danych osobowych w kraju importera oraz konieczność wdrożenia zabezpieczeń dodatkowych;
- przygotowanie listy zabezpieczeń dodatkowych oraz środków organizacyjnych i technicznych, których wdrożenie wymagane jest dla danego rodzaju transferu;
- ustalenie formatu i kanału raportowania żądania udostępnienia danych osobowych przez organy publiczne kraju importera danych oraz uzgodnienie dalszych kroków w przypadku żądania udostępnienia danych przez organy publiczne;
- rozesłanie ankiety do odbiorców danych mającej na celu weryfikację ich zgodności z ww. wymogami – dotyczy również weryfikacji nowych podmiotów;
- przesłanie propozycji zawarcia nowych, odpowiednich Standardowych Klauzul Umownych wraz z odpowiednim zestawem środków organizacyjno-technicznych;
- zawarcie nowych Standardowych Klauzul Umownych i zachowanie w repozytorium;
- zapewnienie mechanizmu okresowego przeglądu umów.
Jak możemy pomóc?
JT Weston oferuje autorską platformę NEULA (oprogramowanie klasy BPMS służące do mapowania, optymalizacji i automatyzacji procesów biznesowych), która znacząco usprawnia i upraszcza proces wdrażania i zarządzania transferami danych na podstawie Nowych Standardowych Klauzul Umownych. Poniżej przedstawiamy przykładową mapę procesu, w notacji stosowanej w Neuli, który pozwoli Państwu na wdrożenie nowych umów w wymaganych prawem terminie.
Materiał przygotowany przez kancelarię JT Weston Legal. Nie jest to porada prawna. W razie pytań zapraszamy do kontaktu z Magdaleną Bartosik (magdalena.bartosik@jtweston.legal).
[1] C-311/18 Data Protection Commissioner vs. Facebook Ireland Ltd., Maximilian Schrems.