Termin na implementację do umów nowych standardowych klauzul umownych upływa 27 grudnia 2022 roku. Po tym terminie przetwarzanie danych na podstawie nieobowiązujących klauzul umownych będzie stanowiło naruszenie RODO.
Wiele firm korzysta w codziennej pracy z rozmaitych programów komputerowych, aplikacji internetowych, usług chmurowych, których dostawcy znajdują się poza Europejskim Obszarem Gospodarczym. Internet przybył do nas zza oceanu i trudno się dziwić, że do dziś wielu dostawców najpopularniejszych narzędzi IT pochodzi z USA. W tym miejscu będąc administratorem danych osobowych warto jednak zadać sobie pytanie:
- Czy jako administrator danych osobowych przekazujemy naszym dostawcom narzędzi IT dane osobowe?
Jeśli odpowiedź na to pytanie jest twierdząca należy zadać sobie kolejne pytanie:
- Czy zawarliśmy z tymi dostawcami odpowiednie umowy i czy zawierają one właściwy zestaw standardowych klauzul umownych?
W Europejskim Obszarze Gospodarczym Obowiązuje RODO, a więc pewien standard ochrony danych osobowych. Transferowanie danych do państwa, w którym nie obowiązuje RODO może odbywać się wyłącznie jeżeli to państwo zapewnia nie mniejszy stopień ochrony danych osobowych zagwarantowany w RODO.
O tym, że dane państwo zapewnia nie mniejszy stopień ochrony danych osobowych może zadecydować Komisja Europejska stwierdzając, że zagwarantowany stopień ochrony w tym państwie jest adekwatny do stopnia ochrony zagwarantowanego przez RODO.
Państw wobec których KE wydała tzw. decyzję o adekwatności jest niewiele, m.in. jest to Wielka Brytania, Japonia, Korea Południowa.
Co ważne, w stosunku do USA taka decyzja nie obowiązuje. W przypadku transferu danych do krajów, wobec których KE nie wydała decyzji o adekwatności konieczne jest skorzystanie z innych instrumentów legalizujących taki transfer na gruncie RODO. Takim instrumentem są m.in. standardowe klauzule umowne (“SKU”), których zestaw KE przyjęła decyzją z 4 czerwca 2021 roku. SKU to zestaw klauzul służących do wykorzystania w umowie pomiędzy stronami transferu, który ma zagwarantować odpowiedni stopień zabezpieczenia dla międzynarodowego przekazywania danych. Ponadto konieczne jest przeprowadzenie oceny wpływu transferu na prywatność (TIA – Transfer Impact Assessment).
Opublikowane przez KE w czerwcu 2021 r. SKU zawierają cztery moduły:
- Administrator – Administrator
- Administrator – Podmiot przetwarzający (Procesor)
- Podmiot przetwarzający (Procesor) – Podmiot przetwarzający (Procesor)
- Podmiot przetwarzający (Procesor) – Administrator
Odpowiadając zatem na drugie pytanie należy wziąć pod uwagę relację jaka łączy nas z dostawcą – czy jest to podmiot przetwarzający dane w naszym imieniu jako administratora, czy jest to odrębny administrator, który samodzielnie ustala cele i sposoby przetwarzania danych. Następnie należy upewnić się, że zawarta z tym podmiotem umowa zawiera odpowiedni zestaw SKU. Oczywiście jeżeli przetwarzamy dane jako podmiot przetwarzający (procesor), to także warto zweryfikować, czy zawarte z administratorami umowy zawierają odpowiednie SKU. Zarówno administrator, jak i podmiot przetwarzający może wyjść z inicjatywą aktualizacji umowy o nowe standardowe klauzule umowne. Może stanowić to również okazję do aktualizacji wykazu stosowanych środków zabezpieczających, skorzystania z prawa audytu procesora, a nawet weryfikacji oceny skutków transferu danych.
Czasu na implementację nowych SKU zostało niewiele, dlatego zachęcamy do rewizji zawartych umów. Zapraszamy do kontaktu jeśli jakieś kwestie okazałyby się dla Państwa problematyczne.
