Jeśli jesteś zobowiązany do przekazywania danych osobowych poza EOG, z pewnością znasz standardowe klauzule umowne Komisji Europejskiej dotyczące przekazywania danych pomiędzy administratorami oraz pomiędzy administratorami a podmiotami przetwarzającymi. W dniu 4 czerwca 2021 roku Komisja Europejska opublikowała swoje bardzo oczekiwane nowe standardowe klauzule umowne (SCC) dotyczące przekazywania danych osobowych do państw trzecich, które weszły w życie 27 czerwca 2021 roku. Nowe standardy uwzględniają scenariusze międzynarodowego przetwarzania danych i odnoszą się do różnych scenariuszy przetwarzania, które mogą obejmować wielu importerów i eksporterów danych.
Nowe klauzule SCC
Na nowe SCC czekano od dawna, zwłaszcza po wejściu w życie RODO (ponieważ stare SCC zostały opracowane dla regulacji ochrony danych sprzed RODO), a jeszcze bardziej po przełomowej decyzji z lipca 2020 r., która zakwestionowała wiarygodność starych SCC jako mechanizmu przekazywania danych. Nowe SCC są również zgodne z Zaleceniami EDPB 1/2020 w sprawie środków uzupełniających narzędzia transferu danych w celu zapewnienia zgodności z unijnym poziomem ochrony danych osobowych.
Podejście modułowe
Nowe SCC przyjmują podejście modułowe w oparciu o następujące cztery scenariusze:
- moduł 1: od administratora danych do innego administratora danych;
- moduł 2: z kontrolera do procesora;
- moduł 3: z procesora do procesora;
- moduł 4: od jednostki przetwarzającej do wyznaczającego ją kontrolera.
Wszystkie cztery zestawy klauzul są w rzeczywistości skonsolidowane w jednym dokumencie, umożliwiając kontrolerom i podmiotom przetwarzającym wybór odpowiedniego modułu, który ma zastosowanie do ich konkretnego scenariusza transferu. Należy zauważyć, że stare SCC nie obejmowały przekazywania danych P2P lub P2C - jest to pożądane uzupełnienie, ponieważ wcześniej strony przekazujące dane miały ograniczone możliwości osiągnięcia zgodności w tych okolicznościach za pomocą starych SCC.
Dane osobowe poza EOG
Stare SCC wymagały, aby podmiot przekazujący dane miał siedzibę w EOG, aby był dostępny jako ważny mechanizm przekazywania danych. Kwestia ta została rozwiązana wraz z ostatnimi zmianami, ponieważ nowe SCC mogą być wykorzystywane do przekazywania danych osobowych od podmiotu przekazującego dane niemającego siedziby w EOG do podmiotu odbierającego dane również niemającego siedziby w EOG, np. od podmiotu przetwarzającego dane do podwykonawcy przetwarzania, pod warunkiem że działalność podmiotu przekazującego dane jest regulowana przez RODO.
Oto kilka ważnych dat, o których należy pamiętać:
Podmioty przekazujące i odbierające dane mogą nadal korzystać z dotychczasowych SCC do 27 września 2021 roku. Po tej dacie nie można zawierać nowych umów na podstawie "starych" standardowych klauzul umownych.
Okres przejściowy na przekształcenie każdej istniejącej umowy ze starych SCC na nowe SCC wynosi 18 miesięcy, co oznacza, że eksporterzy i importerzy danych mają czas do 27 grudnia 2022 r. na wykonanie tego zadania. Po tej dacie umowy nadal oparte na starych SCC nie będą już uznawane za zapewniające odpowiednie zabezpieczenia zgodnie z RODO.
Jak należy postępować w przypadku tych zmian?
Nowe SCC będą wymagały od organizacji poświęcenia znacznego wysiłku na ocenę transgranicznych łańcuchów transferu danych. Organizacje powinny rozważyć następujące oceny w odniesieniu do wszelkich obecnych relacji podlegających starym SCC:
- które transfery danych wchodzą w zakres SCC i które jurysdykcje są właściwe;
- w jaki sposób należy wdrożyć nowe SCC i które z modułów powinny mieć zastosowanie;
- oceny nowych SCC i wszelkich konfliktów z innymi przepisami umów, których częścią były stare SCC.