Przekazywanie danych osobowych do państw trzecich – najważniejsze informacje
Aby transfer danych osobowych odbywał się zgodnie z unijnymi standardami należy pamiętać, że zarówno administrator, jak i podmiot przetwarzający powinni w pierwszej kolejności zweryfikować czy przekazywanie danych do danego państwa wymaga wprowadzania dodatkowych zabezpieczeń. W sytuacji, gdy państwo trzecie w którym znajduje się spółka, do której przekazywane są dane (importer danych) zapewnia odpowiedni stopień ochrony danych, co jest stwierdzone decyzją Komisji Europejskiej (np. Wielka Brytania) lub gdy zachodzą wyjątki określone w RODO, które uzasadniają przekazanie danych, wprowadzenie dodatkowych zabezpieczeń nie jest konieczne. We wszystkich innych przypadkach, konieczne będzie zastosowanie odpowiedniej formy zabezpieczenia.
Najczęściej stosowaną formą zabezpieczenia jest zawarcie odpowiednich standardowych klauzul umownych, ustanowionych decyzją Komisji Europejskiej w umowach dotyczących przekazania danych do państw trzecich.
Jakie nowe wymogi nakłada Decyzja Komisji Europejskiej 2021/914?
Decyzją 2021/914 z dnia 27 czerwca 2021 („Decyzja”) Komisja Europejska ustanowiła nowy zestaw standardowych klauzul umownych, zastępujących, zgodnie z jej postanowieniami klauzule umowne wydawane na mocy decyzji 2001/497/WE oraz 2010/87/UE, które wygasły z dniem 27 czerwca 2021 r. Klauzule umowne zawarte w załączniku do Decyzji stanowią zestaw wzorcowych (modelowych) postanowień, których umieszczanie w umowach ma na celu zapewnienie równoważnych standardów ochrony danych osobowych na obszarze poza EOG, w sytuacji przekazywania danych do państw trzecich i tym samym zgodność przekazania z RODO.
Nowe klauzule uwzględniają dodatkowe sytuacje, których nie przewidywały wcześniejsze klauzule, takie jak np. odnoszące się do większej ilości stron, które mogą przystąpić do umowy lub do dalszego przetwarzania przez dalsze podmioty przetwarzające. Klauzule te dotyczą 4 sytuacji:
-
-
- przekazywania danych między dwoma niezależnymi administratorami danych;
- przekazywania danych przez administratora podmiotowi przetwarzającemu w państwie trzecim;
- przekazywania między podmiotami przetwarzającymi (novum, które umożliwia dalsze przetwarzanie danych przez podwykonawców czy dostawców usług)
- przekazywania danych przez podmiot przetwarzający administratorowi w państwie trzecim (novum, które umożliwia przekazywanie danych do państw trzecich, w sytuacji, w której to administrator znajduje się poza obszarem EOG)
Zgodnie z Decyzją poprzednie decyzje Komisji Europejskiej ustanawiające standardowe klauzule umowne, które dotychczas obowiązywały w umowach w zakresie przekazywania danych do państw trzecich, tracą moc z dniem 27 września 2021 r. Jednocześnie w odniesieniu do umów, które zostały zawarte przed tą datą, administratorzy oraz podmioty przetwarzające dane mają czas do dnia 27 grudnia 2022 r. na uaktualnienie dotychczasowych klauzul lub zawarcie nowych umów zawierających nowe klauzule umowne.
Co Decyzja oznacza w praktyce dla administratorów oraz podmiotów przetwarzających dane?
Zarówno administrator, jak i podmiot przetwarzający powinien zweryfikować, pod który moduł z wyżej wymienionych relacji podlega i odpowiednio zmienić dotychczasowe klauzule umowne do dnia 27 grudnia 2022 r. a nowe umowy dotyczące przekazywania danych do państw trzecich zawierać już z uwzględnieniem nowych klauzul. Należy również pamiętać, że konieczne może się okazać wdrożenie środków uzupełniających, zgodnych zarówno z Decyzją, jak i zaleceniami Europejskiej Rady Ochrony Danych Osobowych. Brak stosowania odpowiednich zabezpieczeń, w tym brak odpowiednich klauzul umownych, jeżeli w danej sytuacji ich stosowanie było niezbędne dla zgodnego z wymogami unijnymi transferu danych, może spowodować, że przekazanie takie zostanie uznane za niezgodne z przepisami RODO. Tym samym na podmiot naruszający przepisy w zakresie przekazywania danych do państw trzecich mogą m.in. zostać nałożone administracyjne kary pieniężne do wysokości 20 milionów euro, a w przypadku przedsiębiorstwa do wysokości 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. W zakresie zgodności przekazania danych do państw trzecich zespół Hogan Lovells służy pomocą zarówno przy analizie aktualnych i planowanych transferów danych do państw trzecich, jak i aktualizacji dotychczasowych klauzul umownych oraz opracowaniu nowych umów z uwzględnieniem nowych klauzul umownych.
Autorzy Andrzej Dębiec, Ewa Kacperek, Weronika Olszewska.
