RODO – ostatni moment na dostosowanie klauzul umownych w przypadku przekazywania danych do państw trzecich

Hogan Lovells
Contact

Hogan Lovells

Przekazywanie danych do państw trzecich dotyczy sytuacji, w których administrator lub podmiot przetwarzający dane osobowe dokonuje transferu danych osobowych do państwa trzeciego, czyli do państwa spoza Europejskiego Obszaru Gospodarczego („EOG”).W skład EOG wchodzą Państwa Członkowskie UE, Islandia, Norwegia oraz Liechtenstein. Przykładem takiego przekazania może być np. transfer danych osobowych w ramach grupy spółek kapitałowych, w sytuacji, w której niektóre spółki znajdują się poza EOG. 

Przekazywanie danych osobowych do państw trzecich – najważniejsze informacje

Aby transfer danych osobowych odbywał się zgodnie z unijnymi standardami należy pamiętać, że zarówno administrator, jak i podmiot przetwarzający powinni w pierwszej kolejności zweryfikować czy przekazywanie danych do danego państwa wymaga wprowadzania dodatkowych zabezpieczeń. W sytuacji, gdy państwo trzecie w którym znajduje się spółka, do której przekazywane są dane (importer danych) zapewnia odpowiedni stopień ochrony danych, co jest stwierdzone decyzją Komisji Europejskiej (np. Wielka Brytania) lub gdy zachodzą wyjątki określone w RODO, które uzasadniają przekazanie danych, wprowadzenie dodatkowych zabezpieczeń nie jest konieczne. We wszystkich innych przypadkach, konieczne będzie zastosowanie odpowiedniej formy zabezpieczenia. 

Najczęściej stosowaną formą zabezpieczenia jest zawarcie odpowiednich standardowych klauzul umownych, ustanowionych decyzją Komisji Europejskiej w umowach dotyczących przekazania danych do państw trzecich.

Jakie nowe wymogi nakłada Decyzja Komisji Europejskiej 2021/914?

Decyzją 2021/914 z dnia 27 czerwca 2021 („Decyzja”) Komisja Europejska ustanowiła nowy zestaw standardowych klauzul umownych, zastępujących, zgodnie z jej postanowieniami klauzule umowne wydawane na mocy decyzji 2001/497/WE oraz 2010/87/UE, które wygasły z dniem 27 czerwca 2021 r. Klauzule umowne zawarte w załączniku do Decyzji stanowią zestaw wzorcowych (modelowych) postanowień, których umieszczanie w umowach ma na celu zapewnienie równoważnych standardów ochrony danych osobowych na obszarze poza EOG, w sytuacji przekazywania danych do państw trzecich i tym samym zgodność przekazania z RODO.

Nowe klauzule uwzględniają dodatkowe sytuacje, których nie przewidywały wcześniejsze klauzule, takie jak np. odnoszące się do większej ilości stron, które mogą przystąpić do umowy lub do dalszego przetwarzania przez dalsze podmioty przetwarzające. Klauzule te dotyczą 4 sytuacji:

  • przekazywania danych między dwoma niezależnymi administratorami danych;
  • przekazywania danych przez administratora podmiotowi przetwarzającemu w państwie trzecim;
  • przekazywania między podmiotami przetwarzającymi (novum, które umożliwia dalsze przetwarzanie danych przez podwykonawców czy dostawców usług)
  • przekazywania danych przez podmiot przetwarzający administratorowi w państwie trzecim (novum, które umożliwia przekazywanie danych do państw trzecich, w sytuacji, w której to administrator znajduje się poza obszarem EOG)

Zgodnie z Decyzją poprzednie decyzje Komisji Europejskiej ustanawiające standardowe klauzule umowne, które dotychczas obowiązywały w umowach w zakresie przekazywania danych do państw trzecich, tracą moc z dniem 27 września 2021 r. Jednocześnie w odniesieniu do umów, które zostały zawarte przed tą datą, administratorzy oraz podmioty przetwarzające dane mają czas do dnia 27 grudnia 2022 r. na uaktualnienie dotychczasowych klauzul lub zawarcie nowych umów zawierających nowe klauzule umowne.

Co Decyzja oznacza w praktyce dla administratorów oraz podmiotów przetwarzających dane?

Zarówno administrator, jak i podmiot przetwarzający powinien zweryfikować, pod który moduł z wyżej wymienionych relacji podlega i odpowiednio zmienić dotychczasowe klauzule  umowne do dnia 27 grudnia 2022 r. a nowe umowy dotyczące przekazywania danych do państw trzecich zawierać już z uwzględnieniem nowych klauzul. Należy również pamiętać, że konieczne może się okazać wdrożenie środków uzupełniających, zgodnych zarówno z Decyzją, jak i zaleceniami Europejskiej Rady Ochrony Danych Osobowych. Brak stosowania odpowiednich zabezpieczeń, w tym brak odpowiednich klauzul umownych, jeżeli w danej sytuacji ich stosowanie było niezbędne dla zgodnego z wymogami unijnymi transferu danych, może spowodować, że przekazanie takie zostanie uznane za niezgodne z przepisami RODO. Tym samym na podmiot naruszający przepisy w zakresie przekazywania danych do państw trzecich mogą m.in. zostać nałożone administracyjne kary pieniężne do wysokości 20 milionów euro, a w przypadku przedsiębiorstwa do wysokości 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. W zakresie zgodności przekazania danych do państw trzecich zespół Hogan Lovells służy pomocą zarówno przy analizie aktualnych i planowanych transferów danych do państw trzecich, jak i aktualizacji dotychczasowych klauzul umownych oraz opracowaniu nowych umów z uwzględnieniem nowych klauzul umownych.

[View source.]

DISCLAIMER: Because of the generality of this update, the information provided herein may not be applicable in all situations and should not be acted upon without specific legal advice based on particular situations.

© Hogan Lovells | Attorney Advertising

Written by:

Hogan Lovells
Contact
more
less

Hogan Lovells on:

Reporters on Deadline

"My best business intelligence, in one easy email…"

Your first step to building a free, personalized, morning email brief covering pertinent authors and topics on JD Supra:
*By using the service, you signify your acceptance of JD Supra's Privacy Policy.
Custom Email Digest
- hide
- hide

This website uses cookies to improve user experience, track anonymous site usage, store authorization tokens and permit sharing on social media networks. By continuing to browse this website you accept the use of cookies. Click here to read more about how we use cookies.