Aktualności
2 listopada 2022

Alert – Obowiązek zmian w dokumentacji dotyczącej ochrony danych osobowych


Podmioty przekazujące dane osobowe poza Europejski Obszar Gospodarczy („EOG”) powinny do 27 grudnia 2022 r. wprowadzić zmiany w swoich wewnętrznych regulacjach. To w związku z nowymi standardowymi klauzulami umownymi („SKU”) przyjętymi przez Komisję Europejska.  

Nowe SKU Komisja Europejska przyjęła już 4 czerwca ubiegłego roku na mocy decyzji wykonawczej 2021/914 w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679. Podmioty przekazujące dane do państw trzecich, jeżeli robią to na podstawie poprzednich SKU, do 27 grudnia br. mają czas na implementację nowych SKU. 

Podmioty korzystające z dotychczasowych standardowych klauzul umownych w celu przetwarzania danych poza EOG powinny: 

  1. zweryfikować treść wzorów umów powierzenia danych osobowych oraz stosowanych SKU; 
  2. renegocjować zawarte umowy dotyczące przetwarzania danych poza EOG; 
  3. zapewnić odpowiednie wykonywanie warunków umów z podwykonawcami w zw. z pkt 1-2. 

SKU to wzorcowe postanowienia umów powierzenia danych, które zapewniają zgodność przetwarzania danych z art. 28 RODO. SKU dzielą się na: 

  1. stałe/ogólne – mające zastosowanie do każdego transferu danych poza EOG; 
  2. modularne – zależne od konkretnego scenariusza przekazywania danych do państwa trzeciego: 

a) moduł I – między administratorem a administratorem w państwie trzecim; 

b) moduł II – między administratorem a podmiotem przetwarzającym w państwie trzecim; 

c) moduł III – między podmiotem przetwarzającym a podmiotem przetwarzającym w państwie trzecim; 

d) moduł IV – między podmiotem przetwarzającym a administratorem w państwie trzecim. 

Nowe SKU odzwierciedlają ewolucję przepisów dotyczących ochrony danych oraz uwzględniają wnioski zawarte w wyroku Schrems II (C-311/18). Podkreślają one znaczenie obowiązku przeprowadzenia analizy ryzyka związanego z transferem danych poza EOG, a naruszenie tego obowiązku zagrożone jest karami administracyjnymi. 

Przypominamy także, że od 22 września 2022 r. w przypadku nowych umów, które zawierają postanowienia dotyczące przetwarzania danych osobowych poza Wielką Brytanię (co może mieć znaczenie dla przedsiębiorców posiadających oddziały w Wielkiej Brytanii lub współpracujących z podmiotami brytyjskimi), należy używać brytyjskich alternatyw dla SKU: 

  1. The International Data Transfer Agreement („IDTA”), IDTA zapewnia spełnienie wymogów brytyjskiego RODO w zakresie transgranicznego przekazywania danych i może być stosowane niezależnie od ról stron (np. czy dane osobowe są przekazywane poza Wielką Brytanię przez administratora lub podmiot przetwarzający); 
  2. The UK Addendum – jest to uzupełnienie unijnych SKU, które pozwala je dostosować do wymogów brytyjskich przepisów o ochronie danych osobowych. UK Addendum posiada różne moduły, które mogą być stosowane w zależności od roli stron. Zawiera również postanowienia uzupełniające do umów powierzenia, które są wymagane przez brytyjskie RODO. 

Umowy dotyczące przetwarzania danych osobowych poza Wielką Brytanię, zawarte przed 21 września 2022 r. będą ważne do 21 marca 2024 r. Po tym czasie konieczne będzie zawarcie ich ponownie, według wyżej wskazanych wytycznych. 

Zapraszamy do kontaktu z autorkami artykułu: Katarzyna Szczudlik oraz Aleksandra Czubek.

    Administratorem Twoich danych osobowych jest SSW Pragmatic Solutions Spaczyński, Szczepaniak, Okoń sp.k. z siedzibą przy ulicy Rondo ONZ 1, P. 12, 00-124 Warszawa. Twoje dane osobowe są przetwarzane w celu realizacji procesu rekrutacyjnego z Twoim udziałem. Szczegółowe informacje na temat tego, w jaki sposób przetwarzamy Twoje dane osobowe, w tym na temat przysługujących Ci praw wobec Twoich danych osobowych, znajdziesz w polityce prywatności znajdującej się pod tym linkiem Polityka prywatności.

    Jeżeli jesteś zainteresowany uzyskiwaniem ofert oraz materiałów o produktach i usługach SSW Pragmatic Solutions Spaczyński, Szczepaniak, Okoń sp.k. prosimy, wyraź zgodę na przesyłanie Ci takich materiałów:

    Katarzyna Szczudlik, FIP, LLM, CIPP/E, CIPM

    Katarzyna Szczudlik, FIP, LLM, CIPP/E, CIPM

    Partner

    Kontakt

    więcej
    Aleksandra Czubek, LLM, CIPP/E

    Aleksandra Czubek, LLM, CIPP/E

    Associate

    Kontakt

    więcej