Temat transferu danych osobowych z państw Unii
Europejskiej (UE) do Stanów Zjednoczonych od lat
budzi wiele wątpliwości, a jego uwarunkowania
prawne dynamicznie się zmieniają. Podstawę stanowi
rozporządzenie Parlamentu Europejskiego i Rady (UE)
2016/679 z dnia 27 kwietnia 2016 r. w sprawie
ochrony osób fizycznych w związku z przetwarzaniem
danych osobowych i w sprawie swobodnego
przepływu takich danych oraz uchylenia dyrektywy
95/46/WE (ogólne rozporządzenie o ochronie
danych osobowych) (dalej: RODO). Zmianom ulegają
jednak dalej dookreślone sposoby przeprowadzania
tego typu transferu. Pośród nich wymienić możemy
m.in.:
umowne
zastrzeżenie
odpowiednich
zabezpieczeń, wiążące reguły korporacyjne, a także
wydanie przez Komisję Europejską (dalej: KE) decyzji
stwierdzającej odpowiedni poziom ochrony. W
ostatnich latach ostatni sposób okazał się być
nieskuteczny, jako że w wyniku orzeczeń Trybunału
Sprawiedliwości UE unieważnione zostały dwa
zaakceptowane wcześniej przez KE programy mające
na celu uporządkowanie tej materii: Safe Harbour i
Privacy Shield. Jednym z podstawowych sposobów na
bezpieczny i legalny transfer danych osobowych do
państw trzecich pozostają więc standardowe klauzule
umowne.
Wychodząc naprzeciw zapotrzebowaniu na nowy
mechanizm umożliwiający przekazywanie danych
osobowych do państw spoza UE, 4 czerwca 2021 roku
Komisja Europejska przyjęła nowy zestaw klauzul
umownych. Klauzulami umownymi nazywa się
postanowienia w umowie między kontrahentami, w tym
przypadku takie, które zapewniają odpowiedni
poziom bezpieczeństwa i poufności transferowanych
danych. Nowe wzory klauzul są zgodne z RODO i w
założeniu dostosowane do wymagań rynkowych.
Przykładem na to może być ich konstrukcja, nazywana
modułową. Powinna umożliwić ona kontrahentom konstruowanie rozbudowanych zapisów w łatwy i
przejrzysty sposób, w zależności od tego, jaki rodzaj
transferu jest przedmiotem umowy.
W nowym zbiorze standardowych klauzul umownych
znajdziemy trzy działy: klauzule ogólne, klauzule
szczególne i załączniki. Klauzule ogólne znajdują
zastosowanie przy każdym rodzaju i scenariuszu
transferu (np. klauzule wstępne czy dotyczące
rozwiązania umowy). Bardziej zawężony zakres
zastosowania mają klauzule szczególne. To właśnie
tutaj występuje wcześniej wspomniana konstrukcja
modułowa. Wyróżnić można cztery moduły:
Transfer między administratorem a administratorem w państwie trzecim;
Transfer między administratorem a podmiotem przetwarzającym w państwie trzecim;
Transfer między podmiotem przetwarzającym a podmiotem przetwarzającym w państwie trzecim;
Transfer między podmiotem przetwarzającym a administratorem w państwie trzecim.
Każdy z wyżej wymienionych modułów powinien
zostać dopasowany do sytuacji faktycznej i charakteru
umowy. Trzecią sekcją, jaką znajdziemy w nowych
standardowych klauzulach umownych, są załączniki,
które zawierają m.in. listę stron i opis transferów,
środki techniczne i organizacyjne i listę podmiotów
przetwarzających.
Nowe klauzule weszły w życie 27 czerwca 2021 roku.
Co jednak z umowami skonstruowanymi na bazie
dotychczasowych standardowych klauzul umownych?
Mogą one obowiązywać w niezmienionej formie przez
18 miesięcy od dnia publikacji nowych klauzul (do 27
grudnia 2022 roku). Po upływie tego czasu należy
dostosować umowy i formę transferu danych do
nowych przepisów. Wyjątek stanowi sytuacja, gdy
zmianie ulegają operacje przetwarzania, o których
mówi umowa. W takiej sytuacji przy konstruowaniu
zmian umownych należy zastosować standardowe
klauzule umowne z 27 czerwca 2021 roku.
Wprowadzenie nowych standardowych klauzul
umownych było bardzo potrzebnym zabiegiem. Nowe
klauzule, nie dość że są zgodne z RODO i wyrokami
Trybunału Sprawiedliwości Unii Europejskiej, to
znacznie ułatwiają konstruowanie umów dotyczących
transferu danych do państw trzecich zapewniając
jednocześnie bezpieczeństwo tego procederu. Są one
również znacznie prostsze w użyciu, bardziej
zróżnicowane i lepiej dostosowane do aktualnych
realiów. Wydaje się więc, że powinny choć w pewnym
stopniu uporządkować jakże niestabilny prawnie
temat przesyłu danych osobowych do państw spoza
UE.
Zastrzeżenie: Niniejsza publikacja została przygotowana dla klientów i współpracowników kancelarii Miller Canfield. Ma ona na celu jedynie przedstawienie streszczenia
niektórych wydarzeń prawnych z wybranych dziedzin prawa. Z tego powodu informacje zawarte w niniejszej publikacji nie powinny stanowić podstawy do podjęcia
jakiejkolwiek decyzji dotyczącej określonego kierunku działania. Informacje te nie mogą też być traktowane jako porada prawna ani nie zastępują szczegółowej opinii prawnej
w konkretnej sprawie. W każdym przypadku należy skorzystać z usług doradców prawnych w celu weryfikacji, czy odpowiednie przepisy prawa mają zastosowanie do
określonej sytuacji.