2 minute read
BEZPIECZEŃSTWO DANYCH
from OSOZ Polska
by OSOZ Polska
Bezpieczne przekazywanie danych osobowych do państw trzecich przy wykorzystaniu nowych wzorów standardowych klauzul umownych
Przetwarzanie danych osobowych poza Europejskim Obszarem gospodarczym (EOg) wymaga zalegalizowania transferu danych, a brak prawidłowego uregulowania zasad transferu danych poza EOg stanowi naruszenie przepisów RODO.
Advertisement
KAROLINA SZuŚCIK, CISA Inspektor Ochrony Danych, KAMSOFT S.A.
Część krajów spoza EOG takich jak UK, Japonia, Kanada, Argentyna, Nowa Zelandia, Korea Południowa uzyskała decyzję o adekwatności stwierdzającą, że te państwa trzecie zapewniają odpowiedni stopień ochrony. Dla pozostałych krajów trzeba wprowadzić dodatkowe zabezpieczenia.
Standardowe klauzule umowne jako dodatkowe zabezpieczenie podczas transferu Pokłosiem wyroku Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w sprawie Schrems II, było unieważnienie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE – USA, czyli popularnej Privacy Shield, która dawała gwarancję odpowiedniego stopnia ochrony danych osobowych transferowanych do USA. Wyrok TSUE ws. Schrems II nie zmienił jednak roli standardowych klauzul umownych, wskazując, iż mogą one zapewniać odpowiedni poziom ochrony danych osobowych transferowanych do państw trzecich. Jednak regulując transfer danych do państw trzecich m.in. USA należy wziąć pod uwagę nowe standardowe klauzule umowne.
nowe standardowe klauzule umowne Na decyzję Komisji Europejskiej w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich, na mocy której przyjęto nową treść standardowych klauzul umownych (dalej SKU), czekaliśmy aż do 4 czerwca 2021 roku. SKU zostały zaktualizowane m.in. w konsekwencji wyroku TSUE w sprawie Schrems II, a także w związku z wejściem w życie RODO, gdyż dotychczasowe treści SKU funkcjonowały jeszcze przed rozpoczęciem obowiązywania RODO. Nowe SKU weszły w życie w dniu 27 czerwca 2021 roku, lecz w związku z trzymiesięcznym okresem przejściowym, stare SKU zostały uchylone 27 września 2021 r. Zgodnie z komunikatem Prezesa UODO, umowy, które zostały zawarte do 27 września 2021 r., mogą dalej obowiązywać w niezmienionej postaci do 27 grudnia 2022 r. Eksperci rekomendują, żeby nowe umowy w toku, w których dojdzie do transferu poza EOG, a zawierane po 27 września 2021 r., uwzględniały nowe SKU.
Modułowa konstrukcja nowych standardowych klauzul umownych Decyzja Komisji Europejskiej w sprawie SKU jest warta uwagi, gdyż stanowi dokument zawierający cztery wzory umów określone modułami, które powinny być podstawowym narzędziem regulującym transfer danych osobowych poza EOG. Poszczególne moduły odpowiadają relacji pomiędzy podmiotami, które biorą udział w transferze danych osobowych poza EOG tj.: – Moduł I: umowa pomiędzy między dwoma administratorami, w tym jednym administratorem spoza
EOG; – Moduł II: umowa pomiędzy administratorem a procesorem poza EOG; – Moduł III: umowa pomiędzy dwoma procesorami, w tym jednym procesorem poza EOG; – Moduł IV: umowa pomiędzy procesorem a administratorem w państwie trzecim.
Wnioski Pamiętajmy, że zastosowanie nowych SKU może nie być wystarczającą podstawą transferu danych osobowych poza obszar EOG. Trybunał Sprawiedliwości w ramach orzeczenia Schrems II podkreślił, że w pewnych okolicznościach oprócz SKU konieczne będzie podjęcie dalszych środków w celu zapewnienia odpowiedniego poziomu ochrony danych m.in. ocena skutków transferu danych. Należy mieć świadomość, że pomimo zastosowania SKU, podmioty transferujące dane nie zostają zwolnione z obowiązku samodzielnej oceny prawa i praktyki w zakresie danych osobowych w państwie trzecim, do którego zamierzają transferować dane.
