Aktualnie najbardziej palącą kwestią związaną z przetwarzaniem danych osobowych jest ich przekazywanie do państw trzecich. Chociaż od wydania wyroku w sprawie Schrems II minęły już 4 miesiące, nadal tak naprawdę nie mamy jasności, jakie kroki należy podjąć w przypadku przekazywania danych osobowych poza EOG, zwłaszcza do USA. Listopad przyniósł nam dwie niespodzianki jeśli chodzi o temat transferów danych osobowych.
Po pierwsze, Komisja Europejska (KE) opublikowała projekt decyzji wykonawczej w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO). Do tej pory stosowaliśmy standardowe klauzule umowne wydane w czasie obowiązywania dyrektywy 95/46, która została uchylona przez RODO. Do 10 grudnia br. można zgłaszać opinie do projektu decyzji Komisji Europejskiej.
Po drugie, Europejska Rada Ochrony Danych (EROD) opublikowała dokument o nazwie „Zalecenia 01/2020 w sprawie środków uzupełniających narzędzia przekazywania danych w celu zapewnienia zgodności z unijnym poziomem ochrony danych osobowych”. Dokument ten również podlega konsultacji – opinie można przesyłać do 21 grudnia br.
Do ww. projektu wytycznych EROD odniesiemy się w kolejnym artykule, natomiast dzisiaj skupimy się na projekcie nowych standardowych klauzul umownych.
Dlaczego powstał projekt nowych standardowych klauzul umownych?
Jak wskazano w preambule omawianego projektu decyzji, dotychczasowe standardowe klauzule umowne wymagały modernizacji i dostosowania do RODO. Od ich wydania zaszło bowiem wiele zmian gospodarczych, m. in. w procesy przetwarzania danych osobowych bywa zaangażowanych jednocześnie wiele podmiotów pozostających ze sobą w relacjach biznesowych. Konieczne było więc uelastycznienie podejścia i umożliwienie przystępowania do zawartych standardowych klauzul umownych wielu różnym podmiotom.
Dotychczas funkcjonowały dwa odrębne zestawy klauzul: dla relacji administrator – administrator oraz dla relacji administrator – procesor. Brakowało wzoru, który mógłby być stosowany do dalszego powierzania przetwarzania danych osobowych. W praktyce radzono sobie w ten sposób, że podmiot przetwarzający był upoważniany do zawarcia w imieniu administratora standardowych klauzul umownych z wykorzystaniem wzoru dla relacji administrator – procesor. Nie odpowiadało to jednak potrzebom obrotu gospodarczego.
Nowy projekt standardowych klauzul umownych eliminuje powyższy problem. Może on być bowiem stosowany zarówno przez administratora, jak i przez podmiot przetwarzający, który zawiera umowę z tzw. sub-procesorem. Jak wskazano w preambule projektu decyzji, nowe standardowe klauzule umowne łączą klauzule ogólne z „modułowym” podejściem w celu uwzględnienia różnych scenariuszy przekazywania danych osobowych i złożoności nowoczesnych łańcuchów przetwarzania.
Oprócz klauzul ogólnych administratorzy i podmioty przetwarzające dane powinni wybrać „moduł” mający zastosowanie do ich sytuacji, co umożliwi dostosowanie obowiązków wynikających ze standardowych klauzul umownych do ich roli i obowiązków związanych z przetwarzaniem danych w konkretnym przypadku.
Co z dotychczasowymi umowami?
To pytanie, które zapewne nasuwa się przedsiębiorcom w związku z opublikowanym projektem decyzji KE. Czy zawarte dotychczas umowy dotyczące transferów danych osobowych do państw trzecich będą nadal ważne po wejściu w życie decyzji Komisji?
Po pierwsze, w projekcie decyzji wskazano, że dotychczasowe decyzje KE dotyczące standardowych klauzul umownych, zostają uchylone. Przez okres jednego roku od daty wejścia w życie nowej decyzji KE podmioty przekazujące i odbierające dane mogą w dalszym ciągu opierać się na standardowych klauzulach umownych określonych w decyzjach 2001/497/WE i 2010/87/UE w celu wykonania umowy zawartej między nimi przed tą datą, pod warunkiem że umowa ta pozostaje niezmieniona, z wyjątkiem niezbędnych środków uzupełniających w celu zagwarantowania, że przekazanie danych osobowych podlega odpowiednim zabezpieczeniom w rozumieniu art. 46 ust. 1 rozporządzenia (UE) nr 2016/679.
W dotychczas zgłoszonych uwagach do projektu omawianej decyzji krytykowany jest m.in. wyłącznie roczny okres, przez który można dalej bazować na dotychczasowych umowach. Po wejściu w życie RODO przedsiębiorcy dostosowali swoje transfery np. do wymagań art. 28 RODO. Ponowne aktualizowanie zawartych umów będzie czasochłonne i będzie generować dodatkowe koszty dla przedsiębiorców. Administratorzy i podmioty przetwarzające mają i tak wystarczająco dużo wyzwań związanych ze stosowaniem uzupełniających środków w zakresie transferów danych (w wyniku wyroku w sprawie Schrems II).
Diabeł tkwi w szczegółach…
Niestety nie jest tak, że samo zawarcie umowy z wykorzystaniem wzoru załączonego do nowej decyzji KE będzie wystarczające. Transfer danych osobowych na ich podstawie powinien mieć miejsce jedynie wtedy, gdy prawo państwa trzeciego, do którego trafią dane, „nie uniemożliwia odbierającemu dane zastosowania się do tych klauzul”. Podkreślono w szczególności, że standardowe klauzule umowne powinny przewidywać szczególne zabezpieczenia, zwłaszcza w świetle orzecznictwa Trybunału Sprawiedliwości w sprawie Schrems II, aby zaradzić ewentualnym skutkom przepisów prawa w państwie trzecim, w tym przewidywać sposób postępowania z wiążącymi wnioskami organów publicznych w państwie trzecim, zmierzających do ujawnienia przekazanych danych osobowych.
Co to w praktyce oznacza? Jeśli w państwie, do którego mają zostać przekazane dane osobowe, obowiązują przepisy, zgodnie z którymi podmiot odbierający dane będzie zobowiązany do ujawnienia przekazanych danych, nie powinniśmy przekazywać tam danych, chyba że ww. przepisy respektują istotę podstawowych praw i wolności i nie wykraczają poza to, co jest konieczne i proporcjonalne w demokratycznym społeczeństwie w celu ochrony jednego z celów wymienionych w art. 23 ust. 1 rozporządzenia (UE) 2016/679.
Hmm, łatwo napisać, trudniej jednak zastosować i ocenić, czy faktycznie można przekazać dane, czy nie… W mojej ocenie projekt decyzji nadal nie rozwiązuje żadnego problemu, biorąc pod uwagę, że wyrok w sprawie Schrems II praktycznie polegał na uznaniu, że Stany Zjednoczone, w związku z obowiązującymi tam przepisami zezwalającymi służbom na dostęp do danych, nie zapewniają odpowiednich gwarancji dla praw i wolności osób, których dane są przekazywane.
Powyższe podejście KE jest również krytykowane w dotychczas zgłoszonych uwagach do projektu. Zapewne do 10 grudnia br. pojawią się jeszcze nowe uwagi, a być może okres konsultacji zostanie przedłużony, zwłaszcza, że termin zgłaszania uwag do wytycznych EROD w przedmiocie transferów danych wydłużono do 21 grudnia. Moim zdaniem nie ma szans na to, abyśmy otrzymali prawnie wiążące i skuteczne narzędzia dla dokonywania transferów przed końcem roku. Jest to o tyle niepokojące, że za chwilę dojdzie do Brexitu, a Wielka Brytania stanie się państwem trzecim. Należy zdecydowanie pochwalić, że zarówno KE, jak i EROD zainicjowały działania mające na celu wyjaśnienie kwestii transferów danych osobowych, szkoda jednak, że dopiero teraz. Przedsiębiorcom nie pozostaje nic innego, jak oczekiwanie na przyjęcie przez KE ostatecznej treści decyzji w sprawie standardowych klauzul umownych i ostateczną wersję zaleceń EROD.
