Standardowe klauzule umowne

Wszystkie pozostałe kraje, spoza EOG uznawane są za państwa trzecie. Za takie państwo uznawana jest również Wielka Brytania od momentu wystąpienia z Unii Europejskiej. Mając na uwadze, że przepływ danych osobowych do państwa spoza EOG jest obecnie powszechnym zjawiskiem, wręcz warunkiem rozwoju handlu międzynarodowego, RODO określa podstawy przepływu danych z EOG do państw trzecich.

RODO wskazuje, że przesłanie danych może nastąpić w przypadku gdy administrator lub podmiot przetwarzający przestrzegają warunków określonych w postanowieniach rozporządzenia. Aby przekazać dane osobowe do państwa trzeciego  tzw. eksporter danych musi zapewnić, że przekazanie to jest zgodne z rozporządzeniem.

Komisja Europejska przyjęła standardowe klauzule umowne

Stwierdzenie zgodności z RODO może nastąpić na podstawie:

• decyzji Komisji Europejskiej;
• wiążących reguł korporacyjnych lub
• standardowych klauzul umownych.

Oparcie przesłania danych do państwa trzeciego na decyzji Komisji dotyczy państw wobec, których Komisja wydała decyzję, że poziom ochrony w tym państwie jest równorzędny do poziomu zapewnionego przez RODO. Do takich państw należy m.in. Japonia czy wspomniana Wielka Brytania. Listę państw wobec których została wydana pozytywna decyzja znajduje się na stronie Komisji Europejskiej. Ważne jest by zapoznać się z treścią takiej decyzji zanim organizacja przystąpi do przesyłania danych ponieważ decyzje mogą wprowadzać wyjątki i stwierdzać, że tylko niektóre przypadki transferu danych są nimi objęte. Ponadto, decyzje mogą zostać odwołane lub uchylone wyrokiem Trybunału Sprawiedliwości Unii Europejskiej (TSUE). Przykładowo miało to miejsce w odniesieniu do Stanów Zjednoczonych i decyzji tzw. Safe Harbour oraz Privacy Shield.

Innym sposobem dzięki, któremu można przekazywać dane do państw trzecich jest zastosowanie wiążących reguł korporacyjnych( ang. BCR). Jednak jest to rozwiązanie, które może zostać przyjęte wyłącznie w grupach kapitałowych i dotyczy ono wyłącznie transferu pomiędzy spółkami wewnątrz grupy kapitałowej. Przyjęcie BCR w grupie kapitałowej powoduje, że spółki, które nie posiadają siedziby w EOG zapewniają poprzez swoje możliwości techniczne i organizacyjne taką samą ochronę danych osobowych jak spółki z grupy, które mają siedzibę w EOG.

Czy istnieją szanse na spójne globalne przepisy dotyczące ochrony danych?

Gdy transfer danych do państwa trzeciego nie może się oprzeć na żadnych z wymienionych podstawach możliwe jest zawarcie pomiędzy eksporterem danych osobowych a importerem danych, standardowych klauzul umownych (ang. SCC). Standardowe klauzule umowne są przyjmowane przez Komisję Europejską, która określa ich treść. Od 27 czerwca 2021 r. obowiązują nowe SCC, które zastąpiły wcześniej obowiązujące.

Nieco o  ePrivacy – czyli o słynnym RODO II  

W związku z przyjęciem nowych SCC przed ich zawarciem jest konieczne przeprowadzenie analizy, która oceni czy poziom ochrony w państwie importera danych jest adekwatny do poziomu zapewnianego przez RODO. Konieczność przeprowadzenia analizy nie było obecne we wcześniejszych SCC.

Wspomniana analiza powinna opierać się na analizie importera a także ocenie stosowanych zabezpieczeń. W razie stwierdzenia, że państwo importera (organy publiczne) może uzyskać dostęp do danych, eksporter powinien odstąpić od transferu danych lub wykazać zastosowanie dodatkowych zabezpieczeń lub instrumentów prawnych w związku z przekazaniem danych do tego kraju.

Nowe SCC przewidują różne klauzule umowne zależnie od roli jaką pełnią strony umowy. Występują cztery moduły:

Moduł 1 – przekazywanie między administratorami

Moduł 2 – przekazywanie przez administratora podmiotowi przetwarzającemu

Moduł 3 – przekazywanie między podmiotami przetwarzającymi

Moduł 4  – przekazywanie przez podmiot przetwarzający administratorowi

Dlatego ważne jest określenie roli jaką pełni eksporter danych, tak by wybrać właściwy moduł SCC. Ponadto, warto pamiętać, że SCC nie powinny być zmieniane o ile nie wskazują tego wprost.