serwis prowadzioi

17.06.2021

Aktualności

Nowe standardowe klauzule umowne – wzór umowy powierzenia przetwarzania danych osobowych

autor: Grzegorz Gryciuk

W dniu 4 czerwca 2021 r. Komisja Europejska wydała decyzję wykonawczą w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi na podstawie art. 28 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 oraz art. 29 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 (Tekst mający znaczenie dla EOG).

Zgodnie z treścią ww. decyzji przyjęte nią standardowe klauzule umowne spełniają wymogi dotyczące umów zawieranych między administratorami a podmiotami przetwarzającymi określone w art. 28 ust. 3 i 4 RODO, jak i odpowiednio do dalszego powierzenia przetwarzania danych osobowych.

Stosowanie tych klauzul nie jest obowiązkowe, gdyż strony mogą podjąć decyzję o wynegocjowaniu indywidualnej umowy powierzenia przetwarzania danych osobowych zawierającej obowiązkowe elementy określone odpowiednio w art. 28 ust. 3 i 4 RODO. Jednakże warto rozważyć ich stosowanie, a praktyczną ich przydatność w działalności przedsiębiorców oceniać można w dwóch aspektach.

Po pierwsze stanowią one wzór umowy, którego celem stosowania jest zapewnienie przestrzegania ww. art. 28 ust. 3 i 4 RODO. Wzór ten zawiera postanowienia nie tylko powtarzające regulację RODO, ale i ją doprecyzowujące. Wymaga jednakże uzupełnienia w zakresie  informacji zawartych w załącznikach do tych klauzul, a w szczególności dotyczących opisu przetwarzania, szczegółowego opisu środków technicznych i organizacyjnych, w tym stosowanych w celu zapewnienia bezpieczeństwa danych osobowych, czy wykazu podmiotów podprzetwarzających. Załączniki te stanowią integralną część klauzul. Przy tym akcentowana jest niezmienność ww. standardowych klauzul umownych, gdyż - zgodnie z ich treścią - strony zobowiązują się nie zmieniać klauzul z wyjątkiem dodawania informacji do załączników lub aktualizowania zawartych w nich informacji. To zastrzeżenia nie ma uniemożliwiać stronom umieszczania tych klauzul w treści umowy o szerszym zakresie ani dodawania innych klauzul lub dodatkowych zabezpieczeń, pod warunkiem że nie będą one bezpośrednio lub pośrednio sprzeczne z klauzulami umownymi ani nie będą naruszały podstawowych praw lub wolności osób, których dane dotyczą. W razie sprzeczności między ww. klauzulami a postanowieniami umów obowiązujących strony w chwili uzgadniania tych klauzul lub zawartych po ich uzgodnieniu, pierwszeństwo mają te klauzule.

Po drugie pomocne mogą być w dopełnieniu wymogów regulacji RODO w zakresie przekazywania danych osobowych do państw trzecich, a w szczególności określonego w art. 46 ust. 1 RODO wymogu zapewnienia odpowiednich zabezpieczeń. Wymóg ten zgodnie z art. 46 ust. 2 lit. c) RODO można zapewnić za pomocą standardowych klauzul ochrony danych przyjętych zgodnie ze wskazaną procedurą.

Zgodnie z treścią ww. decyzji klauzule te spełniają również wymogi określone w art. 28 ust. 3 i 4 RODO w odniesieniu do przekazywania danych przez administratorów podlegających regulacji RODO podmiotom przetwarzającym nieobjętym zakresem terytorialnym stosowania tej regulacji lub przez podmioty przetwarzające podlegające regulacji RODO podmiotom podprzetwarzającym nieobjętym zakresem terytorialnym stosowania tej regulacji.

Postanowienia ww. klauzul odnoszące się do międzynarodowego przekazywania danych osobowych stanowią, iż wszelkie ich przekazywanie do państwa trzeciego lub organizacji międzynarodowej przez podmiot przetwarzający odbywa się wyłącznie na udokumentowane polecenie administratora lub w celu spełnienia szczególnego wymogu na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega podmiot przetwarzający, i odbywa się zgodnie z rozdziałem V rozporządzenia RODO. Natomiast jeżeli podmiot przetwarzający korzysta z usług podmiotu podprzetwarzającego w celu przeprowadzenia określonych czynności przetwarzania w imieniu administratora, które wiążą się z przekazywaniem danych osobowych w rozumieniu rozdziału V RODO – zgodnie z postanowieniami ww. klauzul - administrator wyraża zgodę na to, by podmioty te mogły zapewnić zgodność z rozdziałem V RODO za pomocą standardowych klauzul umownych przyjętych przez Komisję Europejską zgodnie z art. 46 ust. 2 RODO, pod warunkiem że spełnione są warunki stosowania tych standardowych klauzul umownych. Jednakże w treści ww. decyzji  akcentowane jest, iż ww. klauzule same w sobie nie zapewniają wypełnienia obowiązków związanych z międzynarodowym przekazywaniem danych zgodnie z rozdziałem V RODO.

Grzegorz Gryciuk

Grzegorz Gryciuk

radca prawny, starszy konsultant

Masz pytanie?

Grzegorz Gryciuk

radca prawny, starszy konsultant

Starsze wpisy

Newsletter Lexpress

Zapisz się do naszego branżowego
newslettera i bądź na bieżąco!

Pozostałe wpisy

Aktualności29.09.2023

Obchodzenie zakazu handlu w niedzielę – najnowsze stanowisko Sądu Najwyższego

Aktualności31.07.2023

Implementacja Dyrektywy SUP – co dalej?

wszystkie wpisy