Transfer danych do państw trzecich po zmianach, czyli o nowych standardowych klauzulach umownych

pexels-pixabay-416322
Arkadiusz Szczudło

Arkadiusz Szczudło

Jestem adwokatem, Partnerem Zarządzającym w kancelarii Creativa Legal, wiceprezesem fundacji Creativa Education, mentorem i twórcą internetowym. Specjalizuję się w prawie nowych technologii oraz prawnym wsparciu biznesu – w tym w szczególności e-commerce i biznesu online. Jestem ekspertem w zakresie prawnych aspektów technologii blockchain.

Spis treści

Odpowiadając na powszechne zapotrzebowanie wprowadzenia zgodnej z RODO podstawy przekazywania danych osobowych do państw trzecich, Komisja Europejska wydała decyzję w sprawie nowych standardowych klauzul umownych dotyczących transferu danych do takich państw. Tym samym, dotychczas stosowane rozwiązanie przejściowe w postaci klauzul pochodzących z „ery przedRODO-wej” powoli odchodzi w przeszłość. Co zmiany te oznaczają dla administratorów danych osobowych i jak powinni się do nich przygotować?

Podsumowanie na start

Nie chcesz czytać całego artykułu? Zapoznaj się z naszym podsumowaniem poniżej:

  1. „Najwygodniejszą” podstawą przekazania danych osobowych do państwa trzeciego jest decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony danych osobowych w danym państwie trzecim. Niewielka liczba takich decyzji sprawia jednak, że administratorzy często zmuszeni są korzystać z innych podstaw, którymi są m.in. standardowe klauzule umowne.
  2. Standardowe klauzule umowne dotyczące przekazywania danych osobowych do państw trzecich to po prostu „gotowe” zapisy umowne, które powinny znaleźć się w umowie w przedmiocie przekazania danych osobowych z państwa EOG do państwa trzeciego.
  3. Zgodnie z ustalonym harmonogramem, umowy oparte na „starych” klauzulach mogą być zawierane do dnia 27 września 2021 r., natomiast ostateczny termin utraty mocy prawnej przez takie umowy to 27 grudnia 2022 r.
  4. Zakres działań, które powinien podjąć administrator danych osobowych w związku z pojawieniem się nowych klauzul umownych w praktyce jest uzależniony od tego, czy mógł on negocjować postanowienia umowy z kontrahentem, czy musiał zaakceptować stosowane przez niego ogólne warunki przetwarzania. 

Prawne podstawy przekazywania danych osobowych do państw trzecich

Zgodnie z przepisami RODO, administrator, który chce przekazać przetwarzane przez siebie dane osobowe do państwa trzeciego (czyli nienależącego do Europejskiego Obszaru Gospodarczego, obejmującego państwa UE oraz Norwegię, Islandię i Liechtenstein), może uczynić to jedynie wówczas, gdy ma ku temu odpowiednią podstawę prawną. „Najwygodniejszą” z nich jest bez wątpienia decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony danych osobowych w danym państwie trzecim, co de facto zwalnia administratora z podejmowania „nadzwyczajnych” działań w związku z przekazaniem danych osobowych do tego państwa.

Niestety, grono państw i terytoriów, wobec których została wydana powyższa decyzja, jest relatywnie niewielkie, a co jeszcze bardziej istotne, aktualnie nie ma w nim USA. Wprawdzie to ostatnie państwo było przez pewien czas objęte odpowiednią decyzją (tzw. „Tarczą Prywatności”), która jednak została uchylona przez Trybunał Sprawiedliwości UE w 2020 r. Rozstrzygnięcie to wywołało spore zamieszania zarówno wśród administratorów z EOG, jak i ich kontrahentów zza oceanu (włączając to takich „gigantów” jak Google czy Facebook), którzy nieoczekiwanie zostali zmuszeni do znalezienia innej podstawy przekazywania danych do USA. 

W powyższych okolicznościach, doszło do gremialnego „przerzucenia się” z nieobowiązującej już „Tarczy Prywatności” na standardowe klauzule umowne zatwierdzone przez Komisję Europejską, które stanowią jedną z kilku dopuszczanych przez RODO alternatyw dla decyzji stwierdzającej odpowiedni stopień ochrony w danym państwie trzecim. Rozwiązanie to było jednak o tyle problematyczne, że ówczesne klauzule pochodziły z 2010 r. i choć na mocy przepisów RODO nadal obowiązywały jako rozwiązanie przejściowe, w praktyce nie były adekwatne do współczesnych wyzwań związanych z bezpieczeństwem przetwarzania danych osobowych. Sytuacja ta zmusiła Komisję Europejską do przyspieszenia prac nad nowymi klauzulami, które ostatecznie zostały zatwierdzone w czerwcu 2021 r.

Czym są standardowe klauzule umowne?

Standardowe klauzule umowne dotyczące przekazywania danych osobowych do państw trzecich to po prostu „gotowe” zapisy umowne, które powinny znaleźć się w umowie w przedmiocie przekazania danych osobowych z państwa EOG do państwa trzeciego (z reguły jest to umowa powierzenia przetwarzania danych osobowych). Innymi słowy, partnerzy biznesowi, którzy chcieliby zawrzeć taką umowę, powinni zredagować ją w taki sposób, aby jej treść odpowiadała standardowym klauzulom. 

Uzupełniając powyższe należy podkreślić, że aby omawiane klauzule mogły stanowić podstawę przekazania danych, należy wprowadzić je do umowy bez żadnych modyfikacji. Ponadto, ich ewentualne uzupełnienie o dodatkowe postanowienia (np. w zakresie kar umownych) jest dopuszczalne pod warunkiem niesprzeczności tych postanowień z klauzulami. 

Pełna treść aktualnych standardowych klauzul umownych dostępna jest na stronie internetowej unijnego systemu informacji prawnej „EUR-Lex”.

Kiedy „stare” klauzule przestaną obowiązywać?

Zgodnie z ustalonym harmonogramem, umowy oparte na „starych” klauzulach mogą być zawierane do dnia 27 września 2021 r. (w przypadku umów zawartych w dniu 28 września 2021 r. i później, „stare” klauzule nie będą już stanowiły wystarczającej podstawy przekazania danych osobowych do państwa trzeciego).

Z uwagi na konieczność umożliwienia administratorom i ich kontrahentom bezpiecznego dostosowania się do wprowadzonych zmian, umowy oparte na „starych” klauzulach zawarte do dnia 27 września 2021 r. zachowają swoją moc prawną do dnia 27 grudnia 2022 r. 

Co należy zrobić w związku ze zmianami?

Zakres działań, które powinien podjąć administrator danych osobowych w związku z pojawieniem się nowych klauzul umownych w praktyce jest uzależniony od natury jego relacji z kontrahentem. Biorąc pod uwagę to kryterium, można wyróżnić dwie sytuacje:

  1. umowa łącząca administratora z kontrahentem podlegała negocjacjom (jest to sytuacja relatywnie rzadko spotykana)
  2. umowa łącząca administratora z kontrahentem nie podlegała negocjacjom (jest to sytuacja najczęstsza, obejmująca przede wszystkim relacje administratorów z EOG z „gigantami” z USA, takimi jak Google czy Facebook)

W przypadku, gdy umowa dotycząca przekazywania danych była negocjowana indywidualnie przez równorzędnych partnerów, administrator powinien zawiadomić o zmianach swojego kontrahenta i albo podpisać z nim odpowiedni aneks do dotychczas obowiązującej umowy, albo zawrzeć z nim całkowicie nową umowę. Niezależnie od wybranego rozwiązania, termin na jego wdrożenie upłynie 27 grudnia 2022 r.

Z oczywistych względów, administratorzy, którzy nie negocjowali swoich umów, a jedynie zaakceptowali ogólne warunki przetwarzania narzucone przez silniejszego kontrahenta, posiadają o wiele mniejszy wpływ na dostosowanie ich treści do nowych klauzul. Na szczęście jednak usługodawcy z siedzibą poza EOG zazwyczaj śledzą aktualne regulacje w zakresie ochrony danych i odpowiednio dostosowują do nich swoje warunki przetwarzania. W tej sytuacji, administratorom nie pozostaje nic innego, jak czekać na taką zmianę i ewentualne „dopingować” kontrahenta poprzez kontaktowanie się w tej sprawie z jego działem obsługi klienta.

Gdy tylko powyższa zmiana warunków zostanie dokonana, administrator powinien niezwłocznie uwzględnić to w swoich dokumentach RODO (polityce prywatności, klauzulach dołączanych do umów) poprzez wskazanie, że przekazanie danych do państwa trzeciego odbywa się na podstawie standardowych klauzul umownych zatwierdzonych decyzją Komisji Europejskiej (istotne jest wskazanie dokładnej daty wydania decyzji, aby nie było wątpliwości, że chodzi o „nowe” klauzule).

I na koniec

Zatwierdzenie przez Komisję Europejską nowych standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich kończy okres niepewności, jaki zapanował po uchyleniu „Tarczy Prywatności”. Nie ulega bowiem wątpliwości, że chociaż klauzule te formalnie dotyczą wszystkich państw trzecich, są one kluczowe przede wszystkim dla administratorów korzystających z usług świadczonych przez podmioty z USA. Miejmy jednak nadzieję, że po wprowadzeniu „nowych” klauzul, Komisja Europejska nie spocznie na laurach i w niedalekiej przyszłości wypracuje rozwiązanie, które umożliwi transfer danych osobowych za ocean bez potrzeby ich stosowania. 

Kup teraz: Regulamin i polityka prywatności - produkty fizyczne, elektroniczne i mieszane

Jeżeli szukasz gotowych wzorów dokumentów dla sklepu internetowego sporządzonych przez prawnika z wieloletnim doświadczeniem, znalazłeś się w dobrym miejscu.

W czym mogę Ci pomóc?

Arkadiusz Szczudło

Jestem adwokatem, wspólnikiem w kancelarii Creativa Legal, wiceprezesem fundacji Creativa Education, mentorem i twórcą internetowym.

Specjalizuję się w prawie nowych technologii oraz prawnym wsparciu biznesu – w tym w szczególności e-commerce i biznesu online. Jestem ekspertem w zakresie prawnych aspektów technologii blockchain.

Pomagam przedsiębiorcom m.in. w sporządzaniu umów i regulaminów ochronie danych osobowych i własności intelektualnej oraz prawie reklamy i mediów. Wspieram w zwalczaniu nieuczciwej konkurencji – w tym na rynku chińskim.

Chcesz porozmawiać o swoich bolączkach?
Napisz do mnie na a.szczudlo@creativa.legal lub skorzystaj z przycisku poniżej i wypełnij formularz. Sprawdź, czy możemy pomóc w rozwoju Twojego biznesu.

Subskrybuj newsletter
i bądź na bieżąco!

Otrzymuj informacje o nowościach w prawie, nowych artykułach, produktach, usługach, czy szkoleniach od kancelarii Creativa Legal.

Dołącz do ponad 6000 innych osób, które już nam zaufało!

Przeczytaj, w jaki sposób przetwarzamy Twoje dane osobowe w naszej Polityce prywatności.

Nowe zmiany prawa dla e-commerce
od stycznia 2023!

Jeżeli prowadzisz lub zarządzasz sklepem internetowym, musisz być z nami. Weź udział w bezpłatnym szkoleniu, już 13 grudnia o 19:00!

Dowiedz się, jakie zmiany czekają na Ciebie – oraz jak się prosto, szybko i tanio do nich dostosować! Otrzymasz od nas gotowe rozwiązania!