Alert – Obowiązek zmian w dokumentacji dotyczącej ochrony danych osobowych

Podmioty przekazujące dane osobowe poza Europejski Obszar Gospodarczy („EOG”) powinny do 27 grudnia 2022 r. wprowadzić zmiany w swoich wewnętrznych regulacjach. To w związku z nowymi standardowymi klauzulami umownymi („SKU”) przyjętymi przez Komisję Europejska.  

Nowe SKU Komisja Europejska przyjęła już 4 czerwca ubiegłego roku na mocy decyzji wykonawczej 2021/914 w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679. Podmioty przekazujące dane do państw trzecich, jeżeli robią to na podstawie poprzednich SKU, do 27 grudnia br. mają czas na implementację nowych SKU. 

Podmioty korzystające z dotychczasowych standardowych klauzul umownych w celu przetwarzania danych poza EOG powinny: 

1. zweryfikować treść wzorów umów powierzenia danych osobowych oraz stosowanych SKU; 
2. renegocjować zawarte umowy dotyczące przetwarzania danych poza EOG; 
3. zapewnić odpowiednie wykonywanie warunków umów z podwykonawcami w zw. z pkt 1-2. 

SKU to wzorcowe postanowienia umów powierzenia danych, które zapewniają zgodność przetwarzania danych z art. 28 RODO. SKU dzielą się na: 

1. stałe/ogólne – mające zastosowanie do każdego transferu danych poza EOG; 
2. modularne – zależne od konkretnego scenariusza przekazywania danych do państwa trzeciego: 

a) moduł I – między administratorem a administratorem w państwie trzecim; 

b) moduł II – między administratorem a podmiotem przetwarzającym w państwie trzecim; 

c) moduł III – między podmiotem przetwarzającym a podmiotem przetwarzającym w państwie trzecim; 

d) moduł IV – między podmiotem przetwarzającym a administratorem w państwie trzecim. 

Nowe SKU odzwierciedlają ewolucję przepisów dotyczących ochrony danych oraz uwzględniają wnioski zawarte w wyroku Schrems II (C-311/18). Podkreślają one znaczenie obowiązku przeprowadzenia analizy ryzyka związanego z transferem danych poza EOG, a naruszenie tego obowiązku zagrożone jest karami administracyjnymi. 

Przypominamy także, że od 22 września 2022 r. w przypadku nowych umów, które zawierają postanowienia dotyczące przetwarzania danych osobowych poza Wielką Brytanię (co może mieć znaczenie dla przedsiębiorców posiadających oddziały w Wielkiej Brytanii lub współpracujących z podmiotami brytyjskimi), należy używać brytyjskich alternatyw dla SKU: 

1. The International Data Transfer Agreement („IDTA”), IDTA zapewnia spełnienie wymogów brytyjskiego RODO w zakresie transgranicznego przekazywania danych i może być stosowane niezależnie od ról stron (np. czy dane osobowe są przekazywane poza Wielką Brytanię przez administratora lub podmiot przetwarzający); 
2. The UK Addendum – jest to uzupełnienie unijnych SKU, które pozwala je dostosować do wymogów brytyjskich przepisów o ochronie danych osobowych. UK Addendum posiada różne moduły, które mogą być stosowane w zależności od roli stron. Zawiera również postanowienia uzupełniające do umów powierzenia, które są wymagane przez brytyjskie RODO. 

Umowy dotyczące przetwarzania danych osobowych poza Wielką Brytanię, zawarte przed 21 września 2022 r. będą ważne do 21 marca 2024 r. Po tym czasie konieczne będzie zawarcie ich ponownie, według wyżej wskazanych wytycznych. 

Zapraszamy do kontaktu z autorkami artykułu: Katarzyna Szczudlik oraz Aleksandra Czubek.