16 listopada 2021

Nowe standardowe klauzule umowne. Czym są i jaką spełniają rolę w działalności biznesowej?

Udostępnij

Standardowe klauzule umowne (dalej: SKU) są jednym ze środków legalizujących transfer danych osobowych poza Europejski Obszar Gospodarczy grupujący państwa członkowskie UE oraz Islandię, Norwegię i Liechtenstein (dalej: EOG). Są też często jedynym sposobem na dokonanie takiego transferu w sposób zgodny z prawem do państwa trzeciego (czyli poza EOG), w stosunku do którego Komisja Europejska nie wydała decyzji stwierdzającej odpowiedni poziom ochrony danych osobowych. Warto mieć na względzie, iż decyzji takich jest zaledwie kilka (najważniejsze z polskiego punktu widzenia dotyczą Zjednoczonego Królestwa, Szwajcarii oraz Kanady), przy czym – co warte podkreślenia i szczególnie interesujące – brak takiej decyzji w stosunku do USA. W praktyce biznesowej SKU – w obliczu upadku projektów Safe Harbour i następnie Privacy Shield – stały się kluczowym narzędziem umożliwiającym kooperację pomiędzy przedsiębiorstwami z EOG i USA, która najczęściej nie jest przecież możliwa bez dzielenia się danymi osobowymi. 

Potrzeba zmian w obszarze SKU

Standardowe klauzule umowne są z nami już od wielu lat, z tym, że dotychczas obowiązujące wzorce stały się przestarzałe i mało adekwatne na potrzeby efektywnego stosowania ogólnego rozporządzenia o ochronie danych (RODO) w sposób, który nie będzie jednocześnie paraliżował biznesu. Nie uwzględniały one w szczególności faktu, że nie wszystkie dane, które podmiot z EOG potrzebuje przekazać podmiotowi z państwa trzeciego są danymi, których jest on administratorem. Dotyczyło to w szczególności danych zebranych w bazach klientów eksportera danych. Biznes w takiej sytuacji stosował różne karkołomne rozwiązania, polegające np. na zawieraniu standardowych klauzul umownych bezpośrednio pomiędzy klientem dostawcy usługi – a więc faktycznego eksportera danych (administratorem) a podmiotem z państwa trzeciego, który był partnerem biznesowym dostawcy usługi (subprocesorem).

Decyzją nr (UE) 2021/914 z 4 czerwca 2021 r., która weszła w życie 27 czerwca 2021 r., Komisja Europejska przyjęła długo wyczekiwane nowe standardowe klauzule umowne dotyczące przekazywania danych osobowych do państw trzecich (nowe SKU). Decyzja ta była wyczekiwana przede wszystkim z tego właśnie powodu, że dotychczasowe standardowe klauzule umowne (stare SKU) nie umożliwiały transferu danych poza EOG w relacji pomiędzy podmiotem przetwarzającym i dalszym podmiotem przetwarzającym. Ograniczenie to stało się szczególnie odczuwalne po upadku tzw. Privacy Shield, siejąc wśród bardziej świadomych przedsiębiorców popłoch odnośnie do tego, jak zalegalizować przetwarzanie przy użyciu dostawców z państw trzecich (takich jak USA) danych osobowych administrowanych przez podmiot trzeci – np. przez klientów danego przedsiębiorcy. Nowe SKU są rozwiązaniem dającym, pod pewnymi warunkami, możliwość transferu przez podmiot przetwarzający (procesora) danych poza EOG – zarówno do dalszego procesora jak i do administratora danych. Oba te transfery nie były uwzględnione w starych SKU.

Moduły

Na wstępie warto poczynić uwagę ogólną. Dzielenie się danymi osobowymi następuje co do zasady w relacji poziomej: pomiędzy dwoma niezależnymi administratorami danych albo w relacji pionowej: pomiędzy administratorem danych a procesorem albo pomiędzy procesorem a dalszym procesorem.

Na stare SKU składały się trzy odrębne decyzje:

  • Decyzja 2001/497/WE – mająca zastosowanie do przekazywania danych do administratora danych w państwie trzecim (tylko relacja pozioma pomiędzy dwoma niezależnymi administratorami danych);
  • Decyzja 2004/915/WE – mająca takie samo zastosowanie jak decyzja wcześniejsza, którą zmieniła, wprowadzając alternatywne brzmienie klauzul (tylko relacja pozioma pomiędzy dwoma niezależnymi administratorami danych);
  • Decyzja 2010/87/UE – mającą zastosowanie do powierzania przetwarzania danych osobowych procesorowi przez administratora danych (tylko relacja pionowa „w dół”: administrator danych – procesor).

Nowe SKU podzielone zostały na 4 następujące moduły, które zobrazują wyraźnie podstawowe braki starych SKU:

  • Moduł I: przekazywanie danych pomiędzy administratorami – moduł ten stanowi więc odpowiednik starych SKU wprowadzonych Decyzją 2001/497/WE oraz 2004/915/WE (relacja pozioma pomiędzy dwoma niezależnymi administratorami danych).
  • Moduł II: przekazywanie danych przez administratora podmiotowi przetwarzającemu zlokalizowanemu poza EOG – moduł ten stanowi więc odpowiednik starych SKU wprowadzonych przez Decyzję 2010/87/UE (relacja pionowa: administrator danych – procesor).
  • Moduł III: przekazywanie danych pomiędzy podmiotami przetwarzającymi – ten moduł stanowi bardzo wyczekiwane novum, który ma znacząco ułatwić korzystanie z usług podwykonawców i dostawców spoza EOG (relacja pionowa procesor – dalszy procesor).
  • Moduł IV: przekazywanie danych przez podmiot przetwarzający administratorowi znajdującemu się poza EOG – kolejne novum, dające np. możliwość polskiej agencji zatrudnienia wy-konanie screeningu pracownika (w zakresie prawnie dopuszczalnym) na zlecenie amerykańskiego klienta (relacja pionowa odwrócona: administrator danych – procesor).

Co istotne z modułów można korzystać łącznie, gdy dana relacja biznesowa zakłada dzielenie się danymi na różnych płaszczyznach – przy wykorzystaniu różnych modułów. Nowe SKU sugerują jednak, aby w sytuacji takiej odrębnie dla każdej płaszczyzny transferu danych uzupełnić osobne załączniki do nowych SKU. Jest to część nowych SKU, która analogicznie jak w przypadku starych SKU wymaga największego zaangażowania i uwagi od użytkownika dokumentu, precyzując co tak naprawdę dziać ma się w danej relacji dzielenia się danymi osobowymi.

Dostęp do danych przez władze państwa importera danych (państwa trzeciego)

Nowe SKU, podobnie jak stare SKU, nie są złotym środkiem legalizacji transferu danych osobowych. By móc przekazać dane osobowe do państwa trzeciego na podstawie SKU, eksporter danych (podmiot z państwa członkowskiego) zobowiązany jest upewnić się w pierwszej kolejności, że prawa i wolności podmiotów danych transferowanych do państwa trzeciego nie doznają uszczerbku – nie tylko ze strony przestępców, ale także ze strony władz danego państwa. Wyobraźmy sobie bowiem, że ktoś przekazuje nasze dane osobowe na Białoruś, do Korei Północnej czy Jemenu. Twierdzi przy tym, że nie mamy czego się obawiać, bo podpisał nowe SKU z importerem danych i są one bezpieczne. Czy poczujemy się w takiej sytuacji bezpiecznie? Najprawdopodobniej nie. Władze państwa, które jest w stanie zatrzymać przy użyciu myśliwca zagraniczny samolot pasażerski, by aresztować osobę uważaną za wroga publicznego z pewnością nie zawahają się przed zarekwirowaniem komputera czy innego nośnika danych. Nowe SKU wymagają od nas, tak jak i czyni to RODO oraz wyraził to dobitnie Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w wyroku Schrems II, abyśmy każdorazowo przed transferem danych osobowych do państwa trzeciego upewnili się, czy zastosowane przez nas środki bezpieczeństwa zapewnią odpowiedni poziom prywatności podmiotów przekazywanych danych osobowych w danym państwie trzecim. TSUE skrytykował przy tym administrację USA, wskazując na jej zdecydowanie zbyt swobodne podejście do ingerencji w prywatność – w tym także obywateli zagranicznych i wskazał, że transfer danych osobowych do USA na podstawie SKU jest co prawda dozwolony, ale jedynie przy użyciu odpowiednich dodatkowych zabezpieczeń. Tym łatwiej zrozumieć, że transfer danych osobowych do niektórych jurysdykcji traktować winniśmy jako w ogóle niedopuszczalny albo co najmniej obarczony wysokim ryzykiem dla praw i wolności podmiotów przekazywanych danych.

Zapewnienie importera danych

Zgodnie z klauzulą 14 nowych SKU, strony gwarantują, że nie mają podstaw, by uważać, że prawa i praktyki w państwie, do którego dane osobowe są transferowane, uniemożliwiają podmiotowi odbierającemu dane wypełnianie jego obowiązków wynikających z nowych SKU. Powyższe opiera się na założeniu, że przepisy i praktyki obowiązujące w państwie przeznaczenia danych nie odbiegają znacząco na niekorzyść od unijnych standardów poszanowania prywatności i ochrony danych osobowych. Importer danych ma przy tym obowiązek wdrożenia odpowiednich środków zapewniających bezpieczeństwo danych – w tym w uzasadnionych przypadkach pseudonimizacji. Zauważyć należy, że pseudonimizacja danych nabiera faktycznie wyjątkowego znaczenia jako środek mogący zabezpieczyć prawa i wolności jednostki nawet w przypadku, gdy do systemów czy dokumentacji zawierających dane osobowe dostęp uzyskają służby państwa trzeciego. Obowiązek powyższy dotyczy również eksportera danych, który powinien zadbać o ich należyte bezpieczeństwo w przesyle (klauzula 8.6).

zbliżenie na dłonie kobiety wypełniającej bliżej nieokreślony formularz

Nowe SKU dostrzegają przy tym, że w pewnym zakresie prawo lokalne może ingerować w zasady przetwarzania danych przez ich importera. Klauzula 8.5 stanowi, że jeśli prawo lokalne zabrania zwrotu lub usunięcia danych, importer danych nadal zobowiązany jest przetwarzać je w sposób zgodny z treścią nowych SKU. Także w świetle takiej potencjalnej sytuacji rozważenie pseudonimizacji danych wydaje się celowe – zwłaszcza wówczas, gdy nie doprowadzi ono do paraliżu procesów biznesowych.

Powiadomienie eksportera danych

Zgodnie z klauzulą 16 nowych SKU podmiot odbierający dane niezwłocznie informuje podmiot przekazujący dane, jeżeli z jakiegokolwiek powodu nie może zapewnić przestrzegania nowych SKU. Powiadomienie takie ma ważki skutek – podmiot przekazujący dane jest zobligowany do trwałego lub czasowego wstrzymania przekazywania danych podmiotowi odbierającemu dane, co może być równoznaczne ze wstrzymaniem albo wręcz zakończeniem współpracy.

Klauzula 16 zawiera zresztą przepis materialnoprawny umożliwiający podmiotowi przekazującemu dane rozwiązanie umowy zawartej z podmiotem odbierającym dane, gdy ten ostatni w rozsądnym terminie (nie dłuższym niż miesiąc) nie przywrócił zgodności przetwarzania danych z nowymi SKU.

Do kiedy obowiązują stare SKU?

Komisja Europejska dostrzegła, że wdrażanie stosowania nowych SKU wymaga czasu. Przewidziano więc przepisy intertemporalne stanowiące, że:

  • Stare SKU tracą moc ze skutkiem od dnia 27 września 2021 r.;
  • Uznaje się, że umowy zawarte przed 27 września 2021 r. na podstawie starych SKU zapewniają odpowiednie gwarancje w rozumieniu art. 46 ust. 1 RODO do dnia 27 grudnia 2022 r., pod warunkiem że operacje przetwarzania stanowiące przedmiot umowy pozostaną niezmienione oraz że stosowanie starych SKU zapewnia, aby przekazywanie danych osobowych odbywało się z zastrzeżeniem odpowiednich zabezpieczeń.

Z powyższego wynika wniosek, że projektując obecnie współpracę z podmiotem z państwa trzeciego, zakładającą transfer danych osobowych do takiego podmiotu, skorzystać należy już z nowych SKU (byłoby to zresztą i tak od samego początku konieczne, jeśli w grę miałyby wejść relacje określone w Modułach III–IV nowych SKU). W przypadku współpracy długotrwałej, zaplanowanej na czas wykraczający poza 27 grudnia 2022 r., opartej o wcześniej zawarte stare SKU, rozważyć należy możliwie szybkie zastąpienie starych SKU nowymi SKU. Nowe SKU wdrożyć należy również przed modyfikacją operacji przetwarzania objętych umową opartą o stare SKU.

Działania, które należy podjąć przekazując dane do państwa „nieadekwatnego”

Po pierwsze, zastanowić musimy się, czy taki transfer danych jest w ogóle dopuszczalny. Formalnie rzecz biorąc konieczne jest tu przeprowadzenie analizy ryzyka dla praw i wolności podmiotów danych, jakie wynika z transferu danych do państwa trzeciego. Przeprowadzona analiza ryzyka powinna wykazać, czy ryzyko takie jest akceptowalne – a jeśli nie – to czy jesteśmy w stanie wdrożyć środki bezpieczeństwa mitygujące ryzyko do poziomu akceptowalnego.

Jak wcześniej wspomniano, nowe SKU zalecają tu przede wszystkim rozważenie pseudonimizacji danych. Takim oczywistym środkiem, który należy rozważyć, jest również szyfrowanie danych – najlepiej zarówno w spoczynku, jak i w transferze.

Innymi środkami bezpieczeństwa, które mogą pomóc w zapewnieniu odpowiedniego poziomu ochrony danych, są m.in.:

  • łączenie się z systemami zawierającymi dane przy użyciu bezpiecznego łącza VPN;
  • stosowanie oprogramowania pozwalającego na zdalne wyczyszczenie pamięci urządzenia, przy pomocy którego przetwarzane są dane osobowe;
  • korzystanie z oprogramowania typu Vera Crypt, które nie tylko pozwala w prosty i darmowy sposób zaszyfrować dane zgromadzone w pamięci urządzenia, ale umożliwia również zastosowanie blefu polegającego na tym, że po wprowadzeniu odpowiedniego hasła (wymuszonego przez przestępców czy administrację państwa trzeciego) w miejsce faktycznie chronionych danych uzyskuje się dostęp do wcześniej przygotowanych danych, na których poufności nam nie zależy, a które wyglądają na dane faktycznie chronione oprogramowaniem (np. zdjęcia czy filmy z imprez rodzinnych bądź firmowych). Jest to rozwiązanie analogiczne do tzw. distress code, a więc hasła, którego podanie przez działającą pod przymusem osobę informuje rozmówcę lub system, że działa ona pod przymusem i konieczna jest odpowiednia reakcja. Wprowadzenie takiego mechanizmu (distress code) przy logowaniu się do systemów chronionych hasłem eksporter danych też może zresztą rozważyć.

W rzeczywistości konieczne jest zastanowienie się, z jakimi ryzykami spotkać może się poufność danych w państwie trzecim, a następnie zastosowanie środków bezpieczeństwa pozwalających nam przeciwdziałać naruszeniu poufności danych, gdy dane ryzyka się zaktualizują. Pamiętać należy przy tym, że rozważamy tu również ryzyka atypowe, nad którymi nie zastanawiamy się często, gdy dane przetwarzane są w ramach EOG. Pomyśleć musimy bowiem przede wszystkim o ryzykach takich jak:

  • wzmożona przestępczość mogąca skutkować naruszeniem poufności danych lub ich utratą;
  • działania wojenne lub terrorystyczne, z którymi spotkać można się w państwie trzecim;
  • działania podejmowane przez administrację państwa trzeciego – zarówno te o charakterze jawnym (nakaz ujawnienia danych), jak i te o charakterze niejawnym (szeroko rozumiana inwigilacja);
  • ryzyko powiązane z sytuacjami nagłymi dotyczącymi naszego personelu lub współpracowników przetwarzających dane w państwie trzecim (np. wypadek, śmierć), mogącymi powodować, że np. komputer zawierający dane osobowe czy inne informacje poufne wejdzie w posiadanie osób trzecich, a zabezpieczenie i odzyskanie go w obcej jurysdykcji powiązane może być z dodatkowymi trudnościami.

Niezależnie od wszystkich wyżej wymienionych działań konieczne jest zawarcie nowych SKU z odbiorcami danych z państw trzecich i zobowiązanie również tych odbiorców danych do stosowania odpowiednich mechanizmów zabezpieczających przekazywane im dane.

Podsumowanie

Nowe SKU były gorąco wyczekiwane przez wszystkie podmioty na poważnie podchodzące do ochrony danych osobowych. Ułatwiają one nie tylko współpracę z partnerami biznesowymi z państw trzecich, ale również stwarzają możliwość wprowadzenia udogodnień dla migrującego personelu w ramach coraz bardziej popularnego modelu współpracy workation.

Pomimo całego entuzjazmu związanego z nowymi SKU pamiętać należy o tym, że nie zawsze stanowią one wystarczający środek zaradczy na problemy związane z przetwarzaniem danych osobowych w państwach trzecich, a administrator danych i podmiot przetwarzający, którzy zdecydują się na transfer danych do państwa trzeciego, pozostają odpowiedzialni za te dane. Z odpowiedzialności tej nie uwolnią się najprawdopodobniej samym podpisaniem blankietowych SKU, jeśli nie wykażą, że transferu danych nie poprzedzili stosowną analizą ryzyka i wprowadzeniem środków bezpieczeństwa danych, które w rozsądnej ocenie i przy zastosowaniu zasady proporcjonalności zabezpieczały dane osobowe w sposób adekwatny do wcześniej zdiagnozowanych ryzyk.

Nadal więc, tam gdzie można, warto ograniczać przetwarzanie danych osobowych do obszaru EOG, a ich transfer do państw trzecich rozważać tylko w rozsądnie uzasadnionych przypadkach.

Z praktycznych aspektów warto również zauważyć, że nowe SKU w zakresie dotyczącym Modułu II oraz Modułu III wyczerpują obowiązki związane z zawarciem umowy powierzenia przetwarzania danych (DPA) w relacji pomiędzy administratorem i procesorem oraz w relacji pomiędzy procesorem a subprocesorem. Pomaga to uniknąć dublowania dokumentacji.

Krzysztof Doliński, Paweł Borek

autorzy są radcami prawnymi z kancelarii Borek Doliński Radcowie Prawni spółka jawna, specjalizującej się w prawie umów i prawie ochrony danych osobowych.

Przeczytaj więcej takich artykułów w strefie Wiedzy PARP

Artykuł pochodzi z Biuletynu Euro Info 8/2021

Zobacz więcej podobnych artykułów