Temat transferu danych osobowych z państw Unii Europejskiej (UE) do Stanów Zjednoczonych od lat
budzi wiele wątpliwości, a jego uwarunkowania prawne dynamicznie się zmieniają. Podstawę stanowi
rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie
ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego
przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie
danych osobowych) (dalej: RODO). Zmianom ulegają jednak dalej dookreślone sposoby przeprowadzania
tego typu transferu. Pośród nich wymienić możemy m.in.: umowne zastrzeżenie odpowiednich zabezpieczeń, wiążące reguły korporacyjne, a także wydanie przez Komisję Europejską (dalej: KE) decyzji stwierdzającej odpowiedni poziom ochrony. W ostatnich latach ostatni sposób okazał się być nieskuteczny, jako że w wyniku orzeczeń Trybunału Sprawiedliwości UE unieważnione zostały dwa zaakceptowane wcześniej przez KE programy mające na celu uporządkowanie tej materii: Safe Harbour i Privacy Shield. Jednym z podstawowych sposobów na
bezpieczny i legalny transfer danych osobowych do państw trzecich pozostają więc standardowe klauzule umowne.
Wychodząc naprzeciw zapotrzebowaniu na nowy mechanizm umożliwiający przekazywanie danych osobowych do państw spoza UE, 4 czerwca 2021 roku Komisja Europejska przyjęła nowy zestaw klauzul umownych. Klauzulami umownymi nazywa się
postanowienia w umowie między kontrahentami, w tym przypadku takie, które zapewniają odpowiedni poziom bezpieczeństwa i poufności transferowanych danych. Nowe wzory klauzul są zgodne z RODO i w założeniu dostosowane do wymagań rynkowych.
Przykładem na to może być ich konstrukcja, nazywana modułową. Powinna umożliwić ona kontrahentom konstruowanie rozbudowanych zapisów w łatwy i przejrzysty sposób, w zależności od tego, jaki rodzaj transferu jest przedmiotem umowy.
W nowym zbiorze standardowych klauzul umownych znajdziemy trzy działy: klauzule ogólne, klauzule szczególne i załączniki. Klauzule ogólne znajdują zastosowanie przy każdym rodzaju i scenariuszu transferu (np. klauzule wstępne czy dotyczące
rozwiązania umowy). Bardziej zawężony zakres zastosowania mają klauzule szczególne. To właśnie tutaj występuje wcześniej wspomniana konstrukcja modułowa. Wyróżnić można cztery moduły:
- transfer miedzy administratorem a administratorem w państwie trzecim;
- transfer między administratorem a podmiotem przetwarzającym w państwie trzecim;
- transfer między podmiotem przetwarzającym a podmiotem przetwarzającym w państwie trzecim;
- transfer między podmiotem przetwarzającym a administraotorem w państwie trzecim.
Każdy z wyżej wymienionych modułów powinien zostać dopasowany do sytuacji faktycznej i charakteru
umowy. Trzecią sekcją, jaką znajdziemy w nowych standardowych klauzulach umownych, są załączniki,
które zawierają m.in. listę stron i opis transferów, środki techniczne i organizacyjne i listę podmiotów
przetwarzających.
Nowe klauzule weszły w życie 27 czerwca 2021 roku. Co jednak z umowami skonstruowanymi na bazie dotychczasowych standardowych klauzul umownych? Mogą one obowiązywać w niezmienionej formie przez 18 miesięcy od dnia publikacji nowych klauzul (do 27 grudnia 2022 roku). Po upływie tego czasu należy dostosować umowy i formę transferu danych do
nowych przepisów. Wyjątek stanowi sytuacja, gdy zmianie ulegają operacje przetwarzania, o których mówi umowa. W takiej sytuacji przy konstruowaniu zmian umownych należy zastosować standardowe klauzule umowne z 27 czerwca 2021 roku.
Wprowadzenie nowych standardowych klauzul umownych było bardzo potrzebnym zabiegiem. Nowe klauzule, nie dość że są zgodne z RODO i wyrokami Trybunału Sprawiedliwości Unii Europejskiej, to znacznie ułatwiają konstruowanie umów dotyczących
transferu danych do państw trzecich zapewniając jednocześnie bezpieczeństwo tego procederu. Są one również znacznie prostsze w użyciu, bardziej zróżnicowane i lepiej dostosowane do aktualnych realiów. Wydaje się więc, że powinny choć w pewnym stopniu uporządkować jakże niestabilny prawnie temat przesyłu danych osobowych do państw spoza UE.
© Miller, Canfield, W. Babicki, A. Chełchowski i Wspólnicy Sp. k.