Scenariusz 1. Twoja firma ma siedzibę w Polsce. Twój dostawca usługi również, jednak korzysta z usług podwykonawców posiadających siedzibę w państwie trzecim (poza Europejskim Obszarem Gospodarczym) i w celu realizacji usługi zamierza powierzyć dalej dane osobowe temu podwykonawcy. Twój dostawca zapewnia, że z takim podwykonawcą zawarł standardowe klauzule umowne na potwierdzenie, że może przekazać dane osobowe, powierzane przez Twoją firmę, poza Europejski Obszar Gospodarczy (EOG).
Scenariusz 2. Twoja firma ma siedzibę w Polsce. Twoja firma przetwarza dane osobowe w imieniu swoich klientów z Polski (jest podmiotem przetwarzającym). Ze względu na rozwiązania technologiczne lub organizacyjne Twoja firma przekazuje jednak powierzone dane osobowe do podwykonawcy zlokalizowanym poza EOG. Zapewniacie swoich klientów, że taki transfer danych opieracie o zawarte standardowe klauzule umowne.
Sprawdź, czy rozwiązanie to na pewno gwarantuje Ci zgodne z RODO przekazanie danych do tzw. państwa trzeciego w oparciu o właśnie tę podstawę.
Kto może stosować standardowe klauzule umowne?
Na podstawie przepisów RODO każdy przypadek transferu danych osobowych do państwa trzeciego (poza EOG), musi być oparty na właściwej podstawie przetwarzania danych. Jednym z mechanizmów, na których firmy przekazują dane osobowe poza EOG są tzw. Standardowe klauzule umowne (SCC). SCC to wzory umów, które Komisja Europejska zaakceptowała do stosowania i pozwoliła na ich stosowanie wydając odpowiednie decyzje w tym zakresie.
Każdy podmiot, który zamierza podpisać SCC powinien korzystać z ustalonego wzoru:
- SCC do stosowania w przypadku przekazania danych przez administratora danych, przekazującego dane innemu administratorowi w państwie trzecim (tekst pierwotny oraz wersja alternatywna)
- SCC do stosowania w przypadku przekazania danych osobowych powierzanych przez administratora danych innemu podmiotowi przetwarzającemu w państwie trzecim.
Pamiętając o tym, że w tym artykule interesuje nas kwestia przekazania danych osobowych dalszym podmiotom przetwarzającym, skupimy się na SCC, wskazanych w pkt 2 powyżej – ponieważ to ten zestaw umowy powinien być brany pod uwagę, w przypadku przekazywania danych podmiotom przetwarzającym.
Patrząc jednak na dwa scenariusze, jakie przedstawiłam na wstępie artykułu już teraz trzeba wyjaśnić, że w żadnym z tych przypadków wzorcowe klauzule umowne nie będą miały zastosowania.
Wynika to jasno z opinii Grupy Roboczej w sprawie wzorcowych klauzul umownych w zakresie przekazywania danych osobowych do krajów trzecich (WP 176) i samej decyzji Komisji Europejskiej, na podstawie której zatwierdzono do stosowania zestaw SCC dla podmiotów przetwarzających. Wynika z nich, że takie SCC mają zastosowanie do przekazywania danych osobowych:
- przez administratorów danych prowadzących działalność gospodarczą w Unii Europejskiej – do podmiotów odbierających dane prowadzących działalność w państwie trzecim (działających jako podmioty przetwarzające, a nie administratorzy); a także
- w sytuacji, w której podmiot przetwarzający dane prowadzący działalność gospodarczą w państwie trzecim podzleca wykonanie czynności przetwarzania danych podwykonawcy przetwarzania danych prowadzącemu działalność w państwie trzecim
Oznacza to w praktyce, że jeżeli dane osobowe, których administratorem jest podmiot w Polsce powierzane są procesorowi również zlokalizowanemu w Polsce, ale docelowo mają być przekazane do dalszego podmiotu przetwarzającego z państwa trzeciego – wzorcowych klauzul umownych nie możemy zastosować, bez podejmowania dodatkowych czynności, o których piszę poniżej.
Jak przekazać dane osobowe do dalszego podmiotu przetwarzającego w państwie trzecim?
Zgodnie z wyżej wspomnianą opinią Grupy Roboczej (WP176) operacje transferu danych poza EOG, jakie mamy wskazane w dwóch scenariuszach, można przeprowadzić na trzy sposoby:
- Bezpośrednia umowa pomiędzy administratorem posiadającym siedzibę na terytorium EOG a podmiotem przetwarzającym w państwie trzecim
W tym rozwiązaniu SCC zawierane są przez właściwego administratora danych (np. z Polski) z dalszym podmiotem przetwarzającym (który jest podmiotem spoza EOG). W tym modelu należy jednak mieć na uwadze przeszkody praktyczne – nie zawsze w praktyce jest łatwe lub wręcz możliwe przeprocesowanie takiej umowy bezpośredniej.
- Wyraźne upoważnienie od administratora posiadającego siedzibę na terytorium EOG, udzielone podmiotowi przetwarzającemu zlokalizowanemu w EOG, do wykorzystania SCC w imieniu oraz na rzecz tego administratora
W tym przypadku administrator danych (np. z Polski) upoważnia swojego procesora (który jest również z EOG, a więc np. z Polski) do zawarcia standardowych klauzul umownych z dalszym podmiotem przetwarzającym (który jest w państwie trzecim), w imieniu i na rzecz tego administratora. Podmiotem przekazującym dane pozostaje w takim scenariuszu administrator danych.
W praktyce taką konstrukcją byłoby np. udzielenie procesorowi pełnomocnictwa do zawarcia standardowych klauzul umownych w imieniu i na rzecz administratora. Upoważnienie takie może mieć charakter ogólny (na każdy przypadek dalszego powierzenia takich samych danych, w tym samym celu), czy szczególne (konkretne, na każdy odrębny przypadek
Należ jednak pamiętać, że według zaleceń Grupy Roboczej podanych we wspomnianej opinii, administrator powinien udzielić uprzedniej zgody odnośnie zawartości załączników do standardowych klauzul umownych, do których zawarcia upoważnia (a więc musi je mieć do wglądu).
- Umowy ad-hoc
W praktyce takie rozwiązanie polega na zawarciu umowy „niestandardowej” – ale również pomiędzy administratorem danych zlokalizowanym na terytorium EOG (na naszym przykładzie – z Polski) z dalszym podmiotem przetwarzającym spoza EOG.
Taka umowa ad-hoc musi jednak zawierać co najmniej takie zasady oraz środki ochronne danych osobowych, jakie zawarte są w standardowych klauzulach umownych zatwierdzonych przez Komisję Europejską.
Temat standardowych klauzul umownych może stać się ponownie aktualny szczególnie w kontekście wyroku Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z 16.07.2020 r. w tzw. sprawie Schrems II (sygn. C-311/18), które ma istotne konsekwencje dla transferu danych osobowych do USA (zwłaszcza w przypadku usług chmurowych). Powyższy wyrok uznał jeden z mechanizmów transferu danych do USA (tzw. Tarczę Prywatności), zatwierdzony przez Komisję Europejską jeszcze w 2016 r., za nieważny. Po wydaniu tego wyroku nie można zatem przekazywać danych osobowych do USA na podstawie Tarczy Prywatności. W praktyce prawdopodobnie spowoduje to poszukiwanie przez wiele firm alternatywnej podstawy przekazywania danych, np. standardowych klauzul umownych.
