Poradnik Przedsiębiorcy

Transfer danych osobowych do państwa trzeciego – standardowe klauzule umowne

Transfer danych osobowych do państwa trzeciego (poza obszar EOG) wiąże się ze szczególnymi zasadami RODO, które służyć mają zapewnieniu, by w razie takiego transferu danych nie został naruszony stopień ochrony osób fizycznych zagwarantowany w RODO. Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej zgodnie z RODO co do zasady może nastąpić tylko, gdy administrator i podmiot przetwarzający spełnią określone warunki, w tym m.in. dotyczące dalszego przekazania danych do innego państwa trzeciego. Odpowiedni poziom ochrony stwierdza Komisja Europejska w formie decyzji. Co jednak w przypadku, gdy brak jest decyzji właściwej dla planowanego transferu? Rozwiązaniem może być skorzystanie z tzw. standardowych klauzul umownych. Więcej o tym sposobie na legalizację transferu danych dowiesz się z niniejszego artykułu!

Legalizacja transferu danych – ogólne zasady

Zgodnie z motywem 108 RODO w razie braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony danych administrator lub procesor powinni zastosować środki rekompensujące brak ochrony danych w państwie trzecim, zapewniając osobie, której dane dotyczą, odpowiednie zabezpieczenia.

RODO wskazuje na szereg sposobów na zapewnienie ochrony transferowanych danych. Część z nich wymaga, a część nie, dodatkowego zatwierdzenia przez organ nadzoru. Spośród tych wymagających zezwolenia można wymienić m.in. tzw. umowy ad hoc mające na celu ochronę danych osobowych transferowanych do państwa trzeciego, których treść została indywidualnie ustalona przez strony. Tego rodzaju umowa, by stanowić legalną podstawę do transferu, musi zostać uprzednio zweryfikowana przez organ nadzorczy.

Podmiot planujący transfer danych może jednak wybrać jedną z metod legalizacji niewymagających zezwolenia organu nadzorczego, do których należą między innymi:

  • wiążące reguły korporacyjne – oznaczają polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi lub podmiotowi przetwarzającemu w co najmniej jednym państwie trzecim w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą;

  • zatwierdzone branżowe kodeksy postępowań sporządzone przez podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające;

  • zatwierdzone mechanizmy certyfikacji; 

  • standardowe klauzule ochrony danych przyjęte przez organ nadzorczy i zatwierdzone przez Komisję Europejską;

  • standardowe klauzule ochrony danych przyjęte przez Komisję Europejską.

Transfer danych osobowych do państwa trzeciego - czym są standardowe klauzule umowne?

Zgodnie z RODO w przypadku, gdy transfer odbywa się w oparciu na standardowych klauzulach umownych, uznaje się, że zostały zapewnione odpowiednie zabezpieczenia ochrony danych. Co istotne, aby taki mechanizm skutecznie zalegalizował transfer, strony muszą zawrzeć umowę na podstawie niezmienionej treści standardowych klauzul.

Standardowe klauzule umowne wprowadzone do umowy w niezmienionej formie, legalizują transfer danych osobowych do państwa trzeciego (poza obszar EOG).

Standardowe klauzule umowne to wzory umów dotyczące ochrony danych osobowych, które zostały zatwierdzone decyzją Komisji Europejskiej. Dotąd Komisja Europejska wydała trzy decyzje:

  1. Decyzja nr 2001/497/WE z 15 czerwca 2001 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na mocy dyrektywy 95/46/WE (Dz. Urz. UE L Nr 181, s. 19);

  2. Decyzja nr 2004/915/WE z 27 grudnia 2004 r. zmieniająca decyzję 2001/497/WE w zakresie wprowadzenia alternatywnego zestawu standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich (Dz. Urz. UE L Nr 385, s. 19);

  3. Decyzja nr 2010/87/UE z 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych przetwarzającym dane mającym siedzibę w państwach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (Dz. Urz. UE L Nr 39, s. 5).

Decyzja, o której mowa w pkt 3 powyżej, dotyczy transferu danych osobowych poza EOG realizowanego między administratorem a procesorem, a zatem klauzule te realizują obowiązek zawarcia umowy powierzenia danych do przetwarzania. Pozostałe decyzje obejmują natomiast klauzule znajdujące zastosowanie do transferu pomiędzy dwoma administratorami (będzie to sytuacja, gdy każdy z podmiotów ma własne cele przetwarzania danych osobowych), a różnią się zastosowanymi mechanizmami ochrony danych osobowych.

Aktualnie mamy możliwość skorzystania z trzech wzorcowych zestawów klauzul. Ich treść jest dostępna między innymi na stronach internetowych Komisji Europejskiej.

Klauzule z 2001 roku właściwe dla relacji pomiędzy dwoma administratorami

W przypadku, gdy transfer danych osobowych do państwa trzeciego (poza obszar EOG) dotyczy operacji na danych osobowych pomiędzy dwoma administratorami możliwe jest zalegalizowanie transferu z wykorzystaniem klauzul z 2001 lub 2004 roku. Z relacją administrator – administrator mamy do czynienia w przypadku, gdy każda ze stron w danej relacji posiada własne cele przetwarzania danych osobowych będących przedmiotem transferu.

Klauzule z 2001 roku nakładają na podmiot przekazujący dane do państwa trzeciego szereg obowiązków. Administrator przekazujący dane w ramach umowy zobowiązuje się m.in. do przetwarzania danych osobowych zgodnie z przepisami prawa, które go obowiązują. Ponadto administrator ma obowiązek poinformować osoby, których dane dotyczą, o tym, że są one transferowane oraz na żądanie tych osób udostępnić do wglądu umowę zawartą z podmiotem z państwa trzeciego. W umowie administrator zobowiązuje się ponadto do udzielania odpowiedzi na pytania dotyczące operacji przetwarzania transferowanych danych.

Z kolei administrator odbierający dane zobowiązuje się do przetwarzania danych osobowych w sposób uwzględniający kluczowe zasady ochrony danych osobowych w rozumieniu prawa unijnego. Dodatki do klauzul zawierają dwa proponowane zbiory takich zasad do wyboru przez strony umowy. Ponadto na podstawie klauzul administrator otrzymujący dane zgadza się na poddanie się procedurze audytu.

Klauzule wprowadzają szczególną zasadę, zgodnie z którą strony zgadzają się, by osoby, których dane są transferowane, mogły powoływać się na zapisy umowy między administratorami. Wobec tych osób strony umowy ponoszą solidarną odpowiedzialność, co oznacza, że podmiot danych może żądać odszkodowania za naruszenie jego praw od dowolnego z administratorów w całości bez względu na stopień zawinienia w przypadku danego naruszenia ochrony danych. Dany administrator nie będzie odpowiadał wobec podmiotu danych jedynie, gdy wykaże, że żaden z administratorów nie ponosi odpowiedzialności za dane naruszenie.

Klauzule z 2001 roku przewidują szczególne zasady odpowiedzialności wobec podmiotów danych. Administratorzy odpowiadają solidarnie za każde naruszenie danych. Dany administrator nie ponosi odpowiedzialności tylko wtedy, gdy wykaże, że żaden z administratorów nie jest odpowiedzialny za naruszenie.

Klauzule z 2004 roku właściwe dla relacji pomiędzy dwoma administratorami

Standardowe klauzule umowne z 2004 roku to podobnie jak w przypadku klauzul z roku 2001 wzór umowy właściwy dla relacji pomiędzy dwoma administratorami danych osobowych.

Podstawową różnicą jest odmienna regulacja w zakresie odpowiedzialności stron. W tym przypadku każdy z administratorów ponosi odpowiedzialność samodzielnie za własne naruszenia. Odpowiedzialność została oparta na obowiązku dochowania należytej staranności. Administrator transferujący dane do państwa trzeciego odpowiada dodatkowo za tzw. błąd w wyborze, tj. za niedołożenie należytej staranności w sprawdzeniu administratora będącego odbiorcą danych osobowych.

Zasadniczą różnicą między klauzulami z 2001 roku a klauzulami z 2004 roku są zasady odpowiedzialności za naruszenie ochrony danych. W przypadku klauzul z 2004 roku każdy z administratorów odpowiada za własne naruszenia.

Ponadto na administratora przekazującego dane nałożono dodatkowe obowiązki dotyczące rozpatrywania zażaleń podmiotów danych. Nieco bardziej elastycznie zostały uregulowane zasady przeprowadzania audytu u administratora otrzymującego dane osobowe. Ten zestaw klauzul dopuszcza także, pod określonymi warunkami, dalszy transfer danych osobowych.

Klauzule z 2004 r. stanowią alternatywę dla administratora mogącego wybrać, które zasady bardziej mu odpowiadają. Należy jednak pamiętać, że nie jest możliwe łączenie obu reżimów lub modyfikowanie poszczególnych postanowień w ustanowionych przez Komisję Europejską wzorach.

Klauzule z 2010 roku w relacji administrator – procesor

Standardowe klauzule umowne z 2010 roku znajdują zastosowanie do operacji przetwarzania polegającej na powierzeniu przez administratora danych osobowych do przetwarzania podmiotowi spoza EOG. Procesor to zgodnie z RODO podmiot, który działa na zlecenie i na podstawie instrukcji administratora. Administrator sprawuje nadzór nad przetwarzaniem danych przez procesora.

Klauzule regulują między innymi kwestię zapewnienia zgodności przetwarzania danych przez procesora z instrukcjami administratora, właściwymi zasadami ochrony danych i przepisami prawa. Jeżeli procesor nie jest w stanie zapewnić takiej zgodności, jego obowiązkiem jest poinformowanie administratora o tym fakcie. Administrator w takim przypadku może zawiesić przekazywanie danych, a nawet rozwiązać umowę.

Ponadto umowa dopuszcza podpowierzenie danych osobowych przez procesora wyłącznie po uzyskaniu uprzedniej zgody administratora oraz pod warunkiem zawarcia analogicznej do klauzul umowy przez procesora z dalszym procesorem. Co istotne, podprocesor musi wyrazić zgodę na audyt swojej organizacji przez organ kontroli właściwy dla administratora.