iSecure logo
Blog

Przekazanie danych poza EOG na standardowych klauzulach umownych dalszym podmiotom przetwarzającym

O przechowywaniu danych w chmurze…
Kategorie

Scenariusz 1. Twoja firma ma siedzibę w Polsce. Twój dostawca usługi również, jednak korzysta z usług podwykonawców posiadających siedzibę w państwie trzecim (poza Europejskim Obszarem Gospodarczym) i w celu realizacji usługi zamierza powierzyć dalej dane osobowe temu podwykonawcy. Twój dostawca zapewnia, że z takim podwykonawcą zawarł standardowe klauzule umowne na potwierdzenie, że może przekazać dane osobowe, powierzane przez Twoją firmę, poza Europejski Obszar Gospodarczy (EOG).

Scenariusz 2. Twoja firma ma siedzibę w Polsce. Twoja firma przetwarza dane osobowe w imieniu swoich klientów z Polski (jest podmiotem przetwarzającym). Ze względu na rozwiązania technologiczne lub organizacyjne Twoja firma przekazuje jednak powierzone dane osobowe do podwykonawcy zlokalizowanym poza EOG. Zapewniacie swoich klientów, że taki transfer danych opieracie o zawarte standardowe klauzule umowne.

Sprawdź, czy rozwiązanie to na pewno gwarantuje Ci zgodne z RODO przekazanie danych do tzw. państwa trzeciego w oparciu o właśnie tę podstawę.

 

Kto może stosować standardowe klauzule umowne?

Na podstawie przepisów RODO każdy przypadek transferu danych osobowych do państwa trzeciego (poza EOG), musi być oparty na właściwej podstawie przetwarzania danych. Jednym z mechanizmów, na których firmy przekazują dane osobowe poza EOG są tzw. Standardowe klauzule umowne (SCC). SCC to wzory umów, które Komisja Europejska zaakceptowała do stosowania i pozwoliła na ich stosowanie wydając odpowiednie decyzje w tym zakresie.

Każdy podmiot, który zamierza podpisać SCC powinien korzystać z ustalonego wzoru:

  1. SCC do stosowania w przypadku przekazania danych przez administratora danych, przekazującego dane innemu administratorowi w państwie trzecim (tekst pierwotny oraz wersja alternatywna)
  2. SCC do stosowania w przypadku przekazania danych osobowych powierzanych przez administratora danych innemu podmiotowi przetwarzającemu w państwie trzecim.

Pamiętając o tym, że w tym artykule interesuje nas kwestia przekazania danych osobowych dalszym podmiotom przetwarzającym, skupimy się na SCC, wskazanych w pkt 2 powyżej – ponieważ to ten zestaw umowy powinien być brany pod uwagę, w przypadku przekazywania danych podmiotom przetwarzającym.

Patrząc jednak na dwa scenariusze, jakie przedstawiłam na wstępie artykułu już teraz trzeba wyjaśnić, że w żadnym z tych przypadków wzorcowe klauzule umowne nie będą miały zastosowania.

 

Wynika to jasno z opinii Grupy Roboczej w sprawie wzorcowych klauzul umownych w zakresie przekazywania danych osobowych do krajów trzecich (WP 176)  i samej decyzji Komisji Europejskiej, na podstawie której zatwierdzono do stosowania zestaw SCC dla podmiotów przetwarzających. Wynika z nich, że takie SCC mają zastosowanie do przekazywania danych osobowych:

  1. przez administratorów danych prowadzących działalność gospodarczą w Unii Europejskiej – do podmiotów odbierających dane prowadzących działalność w państwie trzecim (działających jako podmioty przetwarzające, a nie administratorzy); a także
  2. w sytuacji, w której podmiot przetwarzający dane prowadzący działalność gospodarczą w państwie trzecim podzleca wykonanie czynności przetwarzania danych podwykonawcy przetwarzania danych prowadzącemu działalność w państwie trzecim

 

Oznacza to w praktyce, że jeżeli dane osobowe, których administratorem jest podmiot w Polsce powierzane są procesorowi również zlokalizowanemu w Polsce, ale docelowo mają być przekazane do dalszego podmiotu przetwarzającego z państwa trzeciego – wzorcowych klauzul umownych nie możemy zastosować, bez podejmowania dodatkowych czynności, o których piszę poniżej.

 

Jak przekazać dane osobowe do dalszego podmiotu przetwarzającego w państwie trzecim?

Zgodnie z wyżej wspomnianą opinią Grupy Roboczej (WP176) operacje transferu danych poza EOG, jakie mamy wskazane w dwóch scenariuszach, można przeprowadzić na trzy sposoby:

  1. Bezpośrednia umowa pomiędzy administratorem posiadającym siedzibę na terytorium EOG a podmiotem przetwarzającym w państwie trzecim

W tym rozwiązaniu SCC zawierane są przez właściwego administratora danych (np. z Polski) z dalszym podmiotem przetwarzającym (który jest podmiotem spoza EOG). W tym modelu należy jednak mieć na uwadze przeszkody praktyczne – nie zawsze w praktyce jest łatwe lub wręcz możliwe przeprocesowanie takiej umowy bezpośredniej.

 

  1. Wyraźne upoważnienie od administratora posiadającego siedzibę na terytorium EOG, udzielone podmiotowi przetwarzającemu zlokalizowanemu w EOG, do wykorzystania SCC w imieniu oraz na rzecz tego administratora

W tym przypadku administrator danych (np. z Polski) upoważnia swojego procesora (który jest również z EOG, a więc np. z Polski) do zawarcia standardowych klauzul umownych z dalszym podmiotem przetwarzającym (który jest w państwie trzecim), w imieniu i na rzecz tego administratora. Podmiotem przekazującym dane pozostaje w takim scenariuszu administrator danych.

W praktyce taką konstrukcją byłoby np. udzielenie procesorowi pełnomocnictwa do zawarcia standardowych klauzul umownych w imieniu i na rzecz administratora. Upoważnienie takie może mieć charakter ogólny (na każdy przypadek dalszego powierzenia takich samych danych, w tym samym celu), czy szczególne (konkretne, na każdy odrębny przypadek

Należ jednak pamiętać, że według zaleceń Grupy Roboczej podanych we wspomnianej opinii, administrator powinien udzielić uprzedniej zgody odnośnie zawartości załączników do standardowych klauzul umownych, do których zawarcia upoważnia (a więc musi je mieć do wglądu).

 

  1. Umowy ad-hoc

W praktyce takie rozwiązanie polega na zawarciu umowy „niestandardowej” – ale również pomiędzy administratorem danych zlokalizowanym na terytorium EOG (na naszym przykładzie – z Polski) z dalszym podmiotem przetwarzającym spoza EOG.

Taka umowa ad-hoc musi jednak zawierać co najmniej takie zasady oraz środki ochronne danych osobowych, jakie zawarte są w standardowych klauzulach umownych zatwierdzonych przez Komisję Europejską.

 

Temat standardowych klauzul umownych może stać się ponownie aktualny szczególnie w kontekście wyroku Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z 16.07.2020 r. w tzw. sprawie Schrems II (sygn. C-311/18), które ma istotne konsekwencje dla transferu danych osobowych do USA (zwłaszcza w przypadku usług chmurowych). Powyższy wyrok uznał jeden z mechanizmów transferu danych do USA (tzw. Tarczę Prywatności), zatwierdzony przez Komisję Europejską jeszcze w 2016 r., za nieważny. Po wydaniu tego wyroku nie można zatem przekazywać danych osobowych do USA na podstawie Tarczy Prywatności. W praktyce prawdopodobnie spowoduje to poszukiwanie przez wiele firm alternatywnej podstawy przekazywania danych, np. standardowych klauzul umownych.

Pobierz wpis w wersji pdf

Podobne wpisy:

Adres IP daną osobową

CZYM JEST MALWARE?

Każdy z nas słyszał o zagrożeniach związanych z wykorzystywaniem sprzętów elektronicznych, a w szczególności o zagrożeniach wynikających z korzystania z Internetu i pobierania niebezpiecznych plików pochodzących z nieznanych źródeł. Powszechnie stosowanym określeniem na niebezpieczne aplikacje stosowane w urządzeniach teleinformatycznych jest “malware”. Dlaczego malware jest tak niebezpieczny? Czy zagrożony jest każdy komputer? Czy malware i wirus […]

Współpraca z procesorem w praktyce – kilka ważnych kwestii

W dzisiejszym artykule nie będziemy skupiać się na samym pojęciu procesora oraz kwestiach związanych z trudnościami w ustaleniu, czy dany podmiot jest procesorem, czy też nie. Skupimy się natomiast na opisaniu etapów, jakie wiążą się ze współpracą z procesorami oraz przydatnej w tej współpracy dokumentacji. Wybieramy procesora (podmiot przetwarzający) Zgodnie z RODO powierzając dane osobowe […]

O ochronie danych osobowych w Nowoczesnej Firmie

Nieoczywiste korzyści z audytu RODO

Niedługo minie dwa lata od wejścia w życie rozporządzenia RODO, które postawiło przedsiębiorstwa przed koniecznością rozliczenia się ze sposobu przetwarzania danych osobowych, tak klientów jak i biznesowych partnerów. Wydawać by się mogło, że po takim czasie wdrożenie regulacji będzie już powszechne, jednakże wiele firm jest jeszcze w trakcie dostosowywania się do przepisów lub właśnie rewiduje […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki