iSecure logo
Blog

Przekazanie danych poza EOG na standardowych klauzulach umownych dalszym podmiotom przetwarzającym

O przechowywaniu danych w chmurze…
Kategorie

Scenariusz 1. Twoja firma ma siedzibę w Polsce. Twój dostawca usługi również, jednak korzysta z usług podwykonawców posiadających siedzibę w państwie trzecim (poza Europejskim Obszarem Gospodarczym) i w celu realizacji usługi zamierza powierzyć dalej dane osobowe temu podwykonawcy. Twój dostawca zapewnia, że z takim podwykonawcą zawarł standardowe klauzule umowne na potwierdzenie, że może przekazać dane osobowe, powierzane przez Twoją firmę, poza Europejski Obszar Gospodarczy (EOG).

Scenariusz 2. Twoja firma ma siedzibę w Polsce. Twoja firma przetwarza dane osobowe w imieniu swoich klientów z Polski (jest podmiotem przetwarzającym). Ze względu na rozwiązania technologiczne lub organizacyjne Twoja firma przekazuje jednak powierzone dane osobowe do podwykonawcy zlokalizowanym poza EOG. Zapewniacie swoich klientów, że taki transfer danych opieracie o zawarte standardowe klauzule umowne.

Sprawdź, czy rozwiązanie to na pewno gwarantuje Ci zgodne z RODO przekazanie danych do tzw. państwa trzeciego w oparciu o właśnie tę podstawę.

 

Kto może stosować standardowe klauzule umowne?

Na podstawie przepisów RODO każdy przypadek transferu danych osobowych do państwa trzeciego (poza EOG), musi być oparty na właściwej podstawie przetwarzania danych. Jednym z mechanizmów, na których firmy przekazują dane osobowe poza EOG są tzw. Standardowe klauzule umowne (SCC). SCC to wzory umów, które Komisja Europejska zaakceptowała do stosowania i pozwoliła na ich stosowanie wydając odpowiednie decyzje w tym zakresie.

Każdy podmiot, który zamierza podpisać SCC powinien korzystać z ustalonego wzoru:

  1. SCC do stosowania w przypadku przekazania danych przez administratora danych, przekazującego dane innemu administratorowi w państwie trzecim (tekst pierwotny oraz wersja alternatywna)
  2. SCC do stosowania w przypadku przekazania danych osobowych powierzanych przez administratora danych innemu podmiotowi przetwarzającemu w państwie trzecim.

Pamiętając o tym, że w tym artykule interesuje nas kwestia przekazania danych osobowych dalszym podmiotom przetwarzającym, skupimy się na SCC, wskazanych w pkt 2 powyżej – ponieważ to ten zestaw umowy powinien być brany pod uwagę, w przypadku przekazywania danych podmiotom przetwarzającym.

Patrząc jednak na dwa scenariusze, jakie przedstawiłam na wstępie artykułu już teraz trzeba wyjaśnić, że w żadnym z tych przypadków wzorcowe klauzule umowne nie będą miały zastosowania.

 

Wynika to jasno z opinii Grupy Roboczej w sprawie wzorcowych klauzul umownych w zakresie przekazywania danych osobowych do krajów trzecich (WP 176)  i samej decyzji Komisji Europejskiej, na podstawie której zatwierdzono do stosowania zestaw SCC dla podmiotów przetwarzających. Wynika z nich, że takie SCC mają zastosowanie do przekazywania danych osobowych:

  1. przez administratorów danych prowadzących działalność gospodarczą w Unii Europejskiej – do podmiotów odbierających dane prowadzących działalność w państwie trzecim (działających jako podmioty przetwarzające, a nie administratorzy); a także
  2. w sytuacji, w której podmiot przetwarzający dane prowadzący działalność gospodarczą w państwie trzecim podzleca wykonanie czynności przetwarzania danych podwykonawcy przetwarzania danych prowadzącemu działalność w państwie trzecim

 

Oznacza to w praktyce, że jeżeli dane osobowe, których administratorem jest podmiot w Polsce powierzane są procesorowi również zlokalizowanemu w Polsce, ale docelowo mają być przekazane do dalszego podmiotu przetwarzającego z państwa trzeciego – wzorcowych klauzul umownych nie możemy zastosować, bez podejmowania dodatkowych czynności, o których piszę poniżej.

 

Jak przekazać dane osobowe do dalszego podmiotu przetwarzającego w państwie trzecim?

Zgodnie z wyżej wspomnianą opinią Grupy Roboczej (WP176) operacje transferu danych poza EOG, jakie mamy wskazane w dwóch scenariuszach, można przeprowadzić na trzy sposoby:

  1. Bezpośrednia umowa pomiędzy administratorem posiadającym siedzibę na terytorium EOG a podmiotem przetwarzającym w państwie trzecim

W tym rozwiązaniu SCC zawierane są przez właściwego administratora danych (np. z Polski) z dalszym podmiotem przetwarzającym (który jest podmiotem spoza EOG). W tym modelu należy jednak mieć na uwadze przeszkody praktyczne – nie zawsze w praktyce jest łatwe lub wręcz możliwe przeprocesowanie takiej umowy bezpośredniej.

 

  1. Wyraźne upoważnienie od administratora posiadającego siedzibę na terytorium EOG, udzielone podmiotowi przetwarzającemu zlokalizowanemu w EOG, do wykorzystania SCC w imieniu oraz na rzecz tego administratora

W tym przypadku administrator danych (np. z Polski) upoważnia swojego procesora (który jest również z EOG, a więc np. z Polski) do zawarcia standardowych klauzul umownych z dalszym podmiotem przetwarzającym (który jest w państwie trzecim), w imieniu i na rzecz tego administratora. Podmiotem przekazującym dane pozostaje w takim scenariuszu administrator danych.

W praktyce taką konstrukcją byłoby np. udzielenie procesorowi pełnomocnictwa do zawarcia standardowych klauzul umownych w imieniu i na rzecz administratora. Upoważnienie takie może mieć charakter ogólny (na każdy przypadek dalszego powierzenia takich samych danych, w tym samym celu), czy szczególne (konkretne, na każdy odrębny przypadek

Należ jednak pamiętać, że według zaleceń Grupy Roboczej podanych we wspomnianej opinii, administrator powinien udzielić uprzedniej zgody odnośnie zawartości załączników do standardowych klauzul umownych, do których zawarcia upoważnia (a więc musi je mieć do wglądu).

 

  1. Umowy ad-hoc

W praktyce takie rozwiązanie polega na zawarciu umowy „niestandardowej” – ale również pomiędzy administratorem danych zlokalizowanym na terytorium EOG (na naszym przykładzie – z Polski) z dalszym podmiotem przetwarzającym spoza EOG.

Taka umowa ad-hoc musi jednak zawierać co najmniej takie zasady oraz środki ochronne danych osobowych, jakie zawarte są w standardowych klauzulach umownych zatwierdzonych przez Komisję Europejską.

 

Temat standardowych klauzul umownych może stać się ponownie aktualny szczególnie w kontekście wyroku Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z 16.07.2020 r. w tzw. sprawie Schrems II (sygn. C-311/18), które ma istotne konsekwencje dla transferu danych osobowych do USA (zwłaszcza w przypadku usług chmurowych). Powyższy wyrok uznał jeden z mechanizmów transferu danych do USA (tzw. Tarczę Prywatności), zatwierdzony przez Komisję Europejską jeszcze w 2016 r., za nieważny. Po wydaniu tego wyroku nie można zatem przekazywać danych osobowych do USA na podstawie Tarczy Prywatności. W praktyce prawdopodobnie spowoduje to poszukiwanie przez wiele firm alternatywnej podstawy przekazywania danych, np. standardowych klauzul umownych.

Pobierz wpis w wersji pdf

Podobne wpisy:

Czy przesłanie zapytania o zgodę na marketing stanowi już działanie o charakterze marketingowym?

Pozyskiwanie zgód na działanie o charakterze marketingowym jest jednym z większych wyzwań każdego Działu Marketingu. W celu rozwoju i promocji swoich usług, każda firma (administrator danych) chciałaby, aby jej klient/użytkownik otrzymywał regularne powiadomienia o świadczonych przez organizacje usługach. Dlatego też z perspektywy doradców prawnych trudno jest wytłumaczyć marketingowcom szereg obostrzeń prawnych, związanych ze zbieraniem ważnej […]

Praca zdalna a ochrona danych osobowych – co zmienia nowelizacja Kodeksu pracy

27 stycznia 2023 r. Prezydent RP podpisał ustawę nowelizującą Kodeksu pracy (KP) o przepisy obejmujące m.in. regulacje z zakresu pracy zdalnej i choć praca zdalna jest z nami już od lat, a od 2020 r. jeszcze bardziej zaznaczyła swoją pozycję na rynku pracy (z przymusu), to dotychczas nie była ona tak obszernie uregulowana w żadnych […]

iSecure partnerem w biznesie

Bardzo miło nam poinformować o naszych kolejnych nowych projektach i współpracach partnerskich, jakie nawiązaliśmy w ostatnim czasie. iSecure partnerem Grupy Twoja Kariera i autorem publikacji Pomocnik HR Grupa Twoja Kariera to twórca specjalistycznych portali, których celem jest przyspieszenie procesów rekrutacyjnych w poszczególnych sektorach rynku. W ramach nawiązanej współpracy specjaliści z naszego Zespołu będą przygotowywać infografiki z […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki