Na to pytanie odpowiem już na starcie. Standardowe klauzule umowne, nazywane często z języka angielskiego Standard Contractual Clauses, w skrócie SCC, to postanowienia na podstawie których możliwe jest przekazania danych osobowych poza Europejski Obszar Gospodarczy. SCC stanowią jedną z przesłanek legalizujących takie przekazanie. Do innych sposobów zaliczamy wiążące reguły korporacyjne oraz decyzje Komisji Europejskiej stwierdzający poziom ochrony równorzędny z RODO.
Istnieją również SCC, które można zastosować również w odniesieniu do powierzenia przetwarzania, w którym nie dochodzi do przekazania danych poza EOG.
Standardowe klauzule umowne są postanowieniami przyjętymi w drodze decyzji wykonawczej przez Komisję Europejską. Daje to gwarancję ich prawidłowości.
W jakich sytuacjach można wykorzystać standardowe klauzule umowne?
SCC są wykorzystywane przy przekazywaniu danych osobowych poza Europejski Obszar Gospodarczy. Szczególny rozgłos uzyskały w wyniku uchylenia kolejnej decyzji Komisji Europejskiej odnoszącej się do USA, która nazywana była Privacy Shield. Dlaczego kolejna? Wcześniej uchylono inną decyzję z obszaru ochrony danych osobowych w relacji z USA, tamtą określano mianem Safe Harbour.
Do transferu poza EOG dochodzi wtedy, gdy dane osobowe są przenoszone poza obszar Unii Europejskiej i powiązanych z nią gospodarczo Norwegii, Islandii i Liechtensteinu. Zastanawiając się, czy prowadzisz taki transfer, sprawdź przede wszystkim z jakich systemów informatycznych korzystasz. Istnieje spora szansa, że przetwarzane w nich dane są przechowywane na serwerach poza tym obszarem.
Ale SCC przyjęte w 2021 r. obejmują nie tylko transfer danych poza EOG. Możliwe jest również wykorzystanie ich w sytuacjach, gdy dane nie są przenoszone do państw trzecich.
Jakie standardowe klauzule umowne można wykorzystać?
Obecnie możliwe jest skorzystanie z czterech modułów SCC. Odnoszą się one kolejno do relacji, gdy:
- administrator przekazuje dane innemu administratorowi,
- administrator przekazuje dane podmiotowi przetwarzającemu,
- podmiot przetwarzający przekazuje dane innemu podmiotowi przetwarzającemu,
- podmiot przetwarzający przekazuje dane administratorowi.
Poza wskazanymi wyżej SCC możliwe jest również skorzystanie z klauzul przyjętych dla sytuacji, gdy nie dochodzi do transferu danych poza EOG. W takim przypadku pełnią one funkcję analogiczną do umowy powierzenia przetwarzania danych osobowych.
W obu przypadkach warunkiem działania klauzul jest ich niezmienność. Jedyne dopuszczalne modyfikacje to te, które wynikają z konieczności dostosowania i uzupełnienia SCC.
Gdzie znaleźć standardowe klauzule umowne?
Jeżeli planujesz skorzystać z SCC, to z pewnością przydadzą Ci się te linki:
Pingback: Jak prawidłowo skonstruować klauzulę informacyjną? - Zdrowe Dane