Standardowe klauzule ochrony danych

Standardowe klauzule ochrony danych (ang. Standard Contractual Clauses, dalej: SKU), podobnie jak wiążące reguły korporacyjne, należą do instrumentów prawnych mogących zapewnić odpowiednie zabezpieczenie danych osobowych podczas transferów poza EOG bez konieczności specjalnych zezwoleń. Stanowią one jeden z najczęściej używanych instrumentów do transferu danych w sytuacji braku decyzji Komisji Europejskiej o odpowiednim poziomie ochrony. Klauzule umowne obejmują różne scenariusze przekazywania danych, tj.:

• przekazywanie danych między administratorami,
• przekazywanie danych przez administratora podmiotowi przetwarzającemu w państwie trzecim,
• przekazywanie danych między podmiotami przetwarzającymi,
• przekazywanie danych przez podmiot przetwarzający administratorowi w państwie trzecim.

Osoba, której dane dotyczą jest w tym wypadku beneficjentem zewnętrznym. Oznacza to, że jako osoba trzecia ma prawo korzystać z klauzul, co wiąże się m.in. z możliwością wnioskowania o odszkodowanie za szkody wynikające z naruszenia klauzul przez jedną ze stron.

Od 27 czerwca 2021 r. obowiązuje najnowsza Decyzja Wykonawcza Komisji (UE) 2021/914 na temat standardowych klauzul umownych (https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32021D0914), będąca w zgodności z wyrokiem TSUE w sprawie Schrems II (C-311/18). Nowe standardowe klauzule umowne są bardziej elastyczne niż starsza wersja i zawierają, między innymi, jeden punkt wejścia obejmujący szeroki zakres scenariuszy transferu zamiast oddzielnych zestawów klauzul, a także prawa osób, których dane dotyczą, w tym dochodzenie roszczeń, odpowiedzialność administratorów i nadzór nad transferami.

Obowiązujące klauzule muszą być przyjęte oraz stosowane w całości. Nie ma możliwości wyboru pojedynczych postanowień lub mieszania postanowień z różnych zestawów klauzul. W razie konieczności, wdrożone mogą zostać dodatkowe środki uzupełniające w celu zapewnienia odpowiedniego stopnia ochrony danych podczas transferów do państw trzecich.

Nie ma potrzeby stosowania klauzul umownych podczas transferów na terenie EOG, gdyż zarówno administratorzy jak i podmioty przetwarzające dane na terenie EOG są objęci przepisami rozporządzenia 2016/679, które gwarantują odpowiedni poziom ochrony danych osobowych.

Do zadań właściwych organów nadzorczych należy m.in. zapewnianie, aby podmiot przekazujący dane przestrzegał przepisów rozporządzenia 2016/679 w odniesieniu do przekazywania danych oraz rozpatrywanie skarg w tym temacie.