Przekazywanie danych osobowych do państw spoza UE: standardowe klauzule umowne

STRESZCZENIE:

2010/87/UE: Decyzja Komisji w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE

JAKI JEST CEL DECYZJI?

Określono w niej standardowe klauzule umowne, które mogą stosować administratorzy danych* (przekazujący dane) w UE, którzy przekazują dane osobowe* podmiotom przetwarzającym dane* (odbierającym dane) z siedzibą poza UE lub EOG, aby zapewnić odpowiednie zabezpieczenia w zakresie ochrony danych, a przez to zgodność z wymogami unijnych przepisów o ochronie danych (ogólnym rozporządzeniem o ochronie danych – rozporządzeniem (UE) 2016/679 – zob. streszczenie).

KLUCZOWE ZAGADNIENIA

Standardowe klauzule umowne przedstawiono w załączniku do decyzji zgodnie z poniższym omówieniem. Standardowe klauzule umowne dotyczą jedynie ochrony danych i mogą być uwzględniane przez strony w umowach o szerszym zakresie lub uzupełniane innymi klauzulami lub dodatkowymi zabezpieczeniami, o ile te nie stoją bezpośrednio lub pośrednio w sprzeczności ze standardowymi klauzulami umownymi przyjętymi na podstawie niniejszej decyzji.

Klauzula 1: Definicje

Definicje kluczowych pojęć zastosowanych w standardowych klauzulach umownych.

Klauzula 2: Szczegóły dotyczące przekazywania danych

Strony w załączniku do klauzul umownych powinny określić szczegóły dotyczące przekazywania danych, w tym odpowiednie działania odbierających dane i przekazujących dane, kategorie przekazywanych danych osobowych oraz operacje przetwarzania, którym będą poddawane dane osobowe po przekazaniu.

Klauzula 3: Klauzula na rzecz osoby trzeciej

Klauzula umożliwia osobom, których dane dotyczą, żądanie wykonania klauzul względem przekazujących dane, odbierających dane lub ich podwykonawcy występującego w charakterze osoby trzeciej. Stanowi ona ponadto, że strony nie sprzeciwiają się reprezentowaniu osoby, której dane dotyczą, przez stowarzyszenie lub inny organ, jeżeli zezwala na to prawo krajowe.

Klauzula 4: Obowiązki podmiotu przekazującego dane

W tej klauzuli określono obowiązki podmiotu przekazującego dane, który zgadza się na podane warunki i gwarantuje, że:

• przetwarzanie danych osobowych będzie odbywać się wyłącznie zgodnie z prawem o ochronie danych;
• nakaże podmiotowi odbierającemu dane przetwarzanie danych osobowych wyłącznie w imieniu podmiotu przekazującego dane oraz zgodnie z prawem o ochronie danych i klauzulami;
• zapewni wystarczające gwarancje w odniesieniu do technicznych i organizacyjnych środków bezpieczeństwa (i przestrzega ich), aby chronić dane osobowe przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą, zmianą, nieupoważnionym ujawnieniem lub dostępem, w szczególności jeżeli przetwarzanie obejmuje przekazywanie danych za pomocą sieci;
• poinformuje osobę, której dane dotyczą, jeżeli przekazanie może obejmować przekazanie szczególnych kategorii danych do państwa trzeciego, które nie zapewnia odpowiedniej ochrony;
• prześle do organu nadzorczego ds. ochrony danych wszelkie zawiadomienia otrzymane od podmiotu odbierającego dane informujące o braku możliwości przestrzegania przez ten podmiot klauzul, jeżeli zdecyduje się kontynuować przekazywanie danych;
• na żądanie udostępni osobie, której dotyczą dane, kopię klauzul oraz skrócony opis środków bezpieczeństwa;
• w przypadku podwykonawstwa przetwarzania danych podwykonawca przetwarzania musi zapewnić co najmniej ten sam poziom ochrony danych osobowych co podmiot odbierający dane.

Klauzula 5: Obowiązki podmiotu odbierającego dane

W tej klauzuli określono obowiązki podmiotu odbierającego dane, który zgadza się na podane warunki i gwarantuje, że:

• będzie przetwarzał dane osobowe wyłącznie w imieniu podmiotu przekazującego dane i zgodnie z jego instrukcjami oraz klauzulami;
• nie ma powodu, by sądzić, że prawodawstwo mające do niego zastosowanie uniemożliwia mu wypełnianie instrukcji otrzymanych od podmiotu przekazującego dane i jego obowiązków wynikających z umowy;
• niezwłocznie zawiadomi o zmianie prawodawstwa, która może mieć istotne negatywne skutki dla gwarancji i obowiązków określonych w klauzulach, w którym to przypadku podmiot przekazujący dane jest uprawniony do zawieszenia przekazywania danych lub rozwiązania umowy;
• wdroży techniczne i organizacyjne środki bezpieczeństwa przed przetwarzaniem przekazanych danych osobowych;
• niezwłocznie powiadomi podmiot przekazujący dane o jakichkolwiek prawnie wiążących wnioskach o ujawnienie danych osobowych ze strony organów ścigania, jakimkolwiek przypadkowym lub nieupoważnionym dostępie i jakimkolwiek żądaniu otrzymanym bezpośrednio od osób, których dotyczą dane, bez udzielenia odpowiedzi na to żądanie, chyba że został on w inny sposób upoważniony do takiego postępowania;
• niezwłocznie zajmie się wszystkimi zapytaniami ze strony podmiotu przekazującego dane oraz zastosuje się do zaleceń organów nadzorczych;
• na żądanie podmiotu przekazującego dane przedstawi swoje urządzenia do przetwarzania danych w celu kontroli działalności związanej z przetwarzaniem danych objętej klauzulami;
• na żądanie udostępni osobie, której dane dotyczą, kopię klauzul wraz ze skróconym opisem środków bezpieczeństwa;
• powierzy podwykonawstwo przetwarzania danych wyłącznie za uprzednią pisemną zgodą podmiotu przekazującego dane.

Klauzula 6: Odpowiedzialność

Zgodnie z wymogami klauzul strony uzgadniają, że każda osoba, której dotyczą dane, a która poniosła szkodę w wyniku jakiegokolwiek naruszenia obowiązków, jest uprawniona do uzyskania odszkodowania za poniesioną szkodę od podmiotu przekazującego dane.

Klauzula 7: Mediacja i sąd właściwy

Podmiot odbierający dane musi zgodzić się na to, że jeżeli osoba, której dotyczą dane, powołuje się wobec niego na prawa osoby trzeciej, na rzecz której zawarto umowę lub występuje o odszkodowanie, przyjmie on decyzję osoby, której dane dotyczą, o przekazaniu sporu do mediacji prowadzonej przez niezależną osobę lub do sądów w państwie UE, w którym prowadzi działalność podmiot przekazujący dane (z prawem do domagania się środków zaradczych na podstawie innych przepisów krajowych lub międzynarodowych).

Klauzula 8: Współpraca z organami nadzorczymi

Klauzula ta reguluje współpracę z właściwym organem nadzorczym, stanowiąc, że:

• organ nadzorczy ma prawo do przeprowadzenia kontroli podmiotu odbierającego dane i jakiegokolwiek podwykonawcy przetwarzania;
• podmiot odbierający dane zgadza się poinformować podmiot przekazujący dane o istnieniu przepisów, które uniemożliwiałyby przeprowadzenie kontroli u podmiotu odbierającego dane. W takim przypadku podmiot przekazujący dane jest uprawniony do zawieszenia przekazywania danych lub rozwiązania umowy.

Klauzula 9: Prawo właściwe

Klauzule podlegają prawu państwa UE, w którym podmiot przekazujący dane prowadzi działalność.

Klauzula 10: Zmiana umowy

Stronom nie wolno dokonywać zmian lub modyfikacji klauzul ani zapisów sprzecznych z nimi.

Klauzula 11: Podwykonawstwo przetwarzania danych

Postanowienia dotyczące podwykonawstwa przetwarzania danych podlegają prawu państwa UE, w którym podmiot przekazujący dane prowadzi działalność.

Klauzula 12: Obowiązki po zakończeniu usług przetwarzania danych osobowych

Klauzula reguluje obowiązki stron po zakończeniu usług przetwarzania danych osobowych. W szczególności strony powinny uzgodnić, że wraz z zakończeniem świadczenia usług przetwarzania danych podmiot odbierający dane i podwykonawca przetwarzania muszą zwrócić podmiotowi przekazującemu dane wszystkie przekazane dane osobowe (lub na żądanie – zniszczyć je), chyba że uniemożliwiają to przepisy prawa.

OD KIEDY DECYZJA MA ZASTOSOWANIE?

Decyzja obowiązuje od 15 maja 2010 r.

KONTEKST

• Uwaga: decyzja ta stanowiła przedmiot wniosku o wydanie orzeczenia w trybie prejudycjalnym, który doprowadził do wydania wyroku Trybunału Sprawiedliwości Unii Europejskiej (Sprawa C-311/18) z 16 lipca 2020 r., w którym Trybunał potwierdził ważność decyzji.
• Komisja Europejska opublikowała również dwa zestawy standardowych klauzul umownych dotyczących przekazywania danych przez administratorów danych w UE administratorom danych z siedzibą poza UE lub EOG.
• Zobacz również:
  • Ochrona danych (Komisja Europejska).

KLUCZOWE POJĘCIA

GŁÓWNY DOKUMENT

2010/87/UE: Decyzja Komisji z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE (Dz.U. L 39 z 12.2.2010, s. 5–18)

Późniejsze zmiany decyzji 2010/87/UE uwzględniono w tekście pierwotnym. Tekst skonsolidowany ma jedynie wartość dokumentacyjną.

DOKUMENTY POWIĄZANE

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1–88)

Zob. wersja skonsolidowana.

2004/915/WE: Decyzja Komisji z dnia 27 grudnia 2004 r. zmieniająca decyzję 2001/497/EC w zakresie wprowadzenia alternatywnego zestawu standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich (Dz.U. L 385 z 29.12.2004, s. 74–84)

2001/497/WE: Decyzja Komisji z dnia 15 czerwca 2001 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE (Dz.U. L 181 z 4.7.2001, s. 19–31)

Zob. wersja skonsolidowana.

Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281 z 23.11.1995, s. 31–50)

Zob. wersja skonsolidowana.

Ostatnia aktualizacja: 07.10.2020