Nowe Standardowe Klauzule Umowne przyjęte przez Komisję Europejską: czy musisz zaktualizować swoje umowy?

Komisja Europejska ogłosiła w dniu 4 czerwca 2021 r., że przyjęła dwa zestawy standardowych klauzul umownych (“SCC”):

  • do stosowania między administratorami a podmiotami przetwarzającymi (“SCC dotyczące administratora i podmiotu przetwarzającego”),
  • do przekazywania danych osobowych do państw trzecich (“SCC dotyczące przekazywania danych do państw trzecich”).

 

W dniu 7 czerwca 2021 r. Komisja opublikowała je w Dzienniku Urzędowym Unii Europejskiej, co oznacza iż wchodzą one w życie 27 czerwca 2021r. [20 dni po publikacji].

 

Nowe SCC uwzględniają wyrok Trybunału Sprawiedliwości Unii Europejskiej (“TSUE”) w sprawie Data Protection Commissioner v. Facebook Ireland Limited, Maximillian Schrems (C-311/18) (“Schrems II”) jak i  wspólną opinię Europejskiej Rady Ochrony Danych i Europejskiego Inspektora Ochrony Danych, informacje zwrotne od zainteresowanych stron oraz opinię przedstawicieli państw członkowskich.

 

Decyzja 2001/497/WE oraz decyzja 2010/87/UE tracą moc ze skutkiem od dnia 27.09.2021 r. Do tego momentu nadal istnieje możliwość projektowania umów w oparciu o SCC w nich opublikowanych. Umowy zawarte przed dniem 27.09.2021 r. w oparciu o poprzednie SCC zapewniają odpowiednie gwarancje w rozumieniu art. 46 ust. 1 RODO do dnia 27 grudnia 2022 r., o ile operacje przetwarzania będące przedmiotem umowy pozostaną niezmienione a stosowanie poprzednich SCC zapewnia odpowiednie zabezpieczenia w rozumieniu art. 46 ust. 1 RODO, czyli do 27 grudnia 2022r. jest czas na weryfikacje i aktualizację umów do standardów zawartych w nowych SCC.

 

Zapisy nowych Standardowych Klauzul Umownych obejmują zabezpieczenia w zakresie ochrony danych, korzystanie z podwykonawców przetwarzania, prawa osób, których dane dotyczą – w tym prawo do zadośćuczynienia – odpowiedzialność oraz nadzór w przypadku przekazywania danych od administratora do administratora, od administratora do podmiotu przetwarzającego, od podmiotu przetwarzającego do podmiotu przetwarzającego oraz od podmiotu przetwarzającego do administratora. Oczywiście przedsiębiorstwa nadal będą musiały przeprowadzać odpowiednią ocenę ryzyka.

Oczywiście też przekazywanie danych osobowych na podstawie SCC nie będzie mogło mieć miejsca, gdy przepisy i praktyki obowiązujące w państwie trzecim uniemożliwiają podmiotowi odbierającemu dane przestrzeganie SCC.

 

źródło:

strona internetowa Komisji Europejskiej [ec.europa.eu]