EROD & EIOD przyjmują wspólne opinie w sprawie nowych zestawów standardowych klauzul umownych („SKU”)

15 January 2021 EDPB

Bruksela, 15 stycznia — EROD i EIOD (Europejska Rada Ochrony Danych i Europejski Inspektor Ochrony Danych) przyjęli wspólne opinie w sprawie dwóch zestawów standardowych klauzul umownych. Jedna opinia dotyczy SKU w odniesieniu do umów między administratorami a podmiotami przetwarzającymi, a druga – SKU dotyczących przekazywania danych osobowych do państw trzecich.

SKU między administratorami a podmiotami przetwarzającymi będą miały ogólnounijny skutek, a ich celem będzie zapewnienie pełnej harmonizacji i pewności prawa w całej UE w odniesieniu do umów między administratorami a podmiotami przetwarzającymi.

Andrea Jelinek, przewodnicząca EROD, oświadczyła: „EROD i EIOD z zadowoleniem przyjmują SKU między administratorami a podmiotami przetwarzającymi jako jedno, silne i ogólnounijne narzędzie rozliczalności, które ułatwi przestrzeganie zarówno przepisów RODO, jak i rozporządzenia 208/1725[1]. EROD i EIOD zwracają się między innymi o zapewnienie stronom wystarczającej jasności co do sytuacji, w których mogą one polegać na tych SKU, oraz podkreślają, że nie należy wykluczać sytuacji związanych z przekazywaniem danych poza UE”.

Poproszono o wprowadzenie kilku poprawek w celu zapewnienia większej jasności tekstu i jego praktycznej użyteczności w codziennej działalności administratorów i podmiotów przetwarzających. Poprawki te dotyczą wzajemnych zależności między przedmiotowymi dwoma dokumentami, tzw. „klauzuli dokowania”, która umożliwia dodatkowym podmiotom przystąpienie do SKU, oraz innych aspektów związanych z obowiązkami podmiotów przetwarzających. EROD i EIOD sugerują ponadto, by załączniki do SKU w możliwie największym stopniu wyjaśniały role i obowiązki każdej ze stron w odniesieniu do każdej czynności przetwarzania – wszelkie niejasności utrudniłyby administratorom lub podmiotom przetwarzającym wypełnianie ich obowiązków wynikających z zasady rozliczalności.

Wojciech Wiewiórowski, EIOD, powiedział: „Jesteśmy przekonani, że te SKU mogą ułatwić administratorom i podmiotom przetwarzającym wypełnianie ich obowiązków, wynikających zarówno z RODO, jak i z ram prawnych instytucji i organów UE. Mamy ponadto nadzieję, że te SKU zapewnią dalszą harmonizację i pewność prawa dla osób fizycznych i ich danych osobowych. Właśnie w tym kontekście dążymy do tego, by dokumenty te utrzymały jak najbardziej swoją aktualność w przyszłości”.

Projekty SKU dotyczących przekazywania danych osobowych do państw trzecich zgodnie z art. 46 ust. 2 lit. c) RODO zastąpią istniejące SKU w odniesieniu do międzynarodowego przekazywania danych, które to SKU przyjęto na podstawie dyrektywy 95/46 i które należało zaktualizować, aby dostosować je do wymogów RODO, uwzględnić wyrok TSUE w sprawie Schrems II, a także lepiej odzwierciedlić powszechne stosowanie nowych, bardziej złożonych operacji przetwarzania danych, często z udziałem wielu podmiotów odbierających i podmiotów przekazujących dane. W szczególności nowe SKU zawierają bardziej szczegółowe zabezpieczenia na wypadek, gdyby przepisy państwa przeznaczenia miały wpływ na przestrzeganie klauzul, w szczególności w przypadku wiążących wniosków organów publicznych o ujawnienie danych osobowych.

Wojciech Wiewiórowski, EIOD, powiedział: „Biorąc pod uwagę nasze praktyczne doświadczenia, sformułowaliśmy te uwagi w celu ulepszenia przedmiotowych SKU, tak aby w pełni zagwarantować, że dane osobowe obywateli UE będą miały merytorycznie równoważny stopień ochrony w przypadku przekazywania ich do państw trzecich. Wierzymy, że wspomniane sugestie i poprawki mają kluczowe znaczenie dla osiągnięcia tych celów w praktyce”.

Ogólnie rzecz ujmując, EROD i EIOD są zdania, że projekty SKU zapewniają wyższy stopień ochrony osób, których dane dotyczą. W szczególności EROD i EIOD z zadowoleniem przyjmują szczegółowe przepisy mające na celu rozwiązanie niektórych głównych problemów wskazanych w wyroku w sprawie Schrems II. Niemniej jednak EROD i EIOD są zdania, że można poprawić lub doprecyzować niektóre postanowienia, takie jak zakres SKU; niektóre prawa beneficjentów będących stronami trzecimi; niektóre obowiązki dotyczące dalszego przekazywania danych; aspekty oceny przepisów prawa państwa trzeciego dotyczących dostępu organów publicznych do danych publicznych oraz powiadamianie organu nadzorczego.

Przewodnicząca EROD Andrea Jelinek dodała: „Warunki, na jakich można stosować SKU, muszą być jasne dla organizacji, a osobom, których dane dotyczą, należy zapewnić skuteczne prawa i środki ochrony prawnej. SKU powinny też zawierać jasny podział ról i odpowiedzialności między stronami. Jeżeli chodzi o potrzebę, w niektórych przypadkach, wprowadzenia środków uzupełniających ad hoc w celu zapewnienia osobom, których dane dotyczą, stopnia ochrony merytorycznie równoważnego temu gwarantowanemu w UE, nowe SKU będą musiały być stosowane wraz z Zaleceniami EROD dotyczącymi środków uzupełniających”.

EROD i EIOD proszą Komisję o odniesienie się do ostatecznej wersji Zaleceń EROD dotyczących środków uzupełniających, jeżeli ostateczna wersja zaleceń zostanie przyjęta przed podjęciem przez Komisję decyzji w sprawie SKU. Dokument ten został przedłożony do konsultacji publicznych trwających do 21 grudnia 2020 r. i nadal podlega ewentualnym dalszym zmianom na podstawie wyników tych konsultacji.

 

Informacje dla redaktorów:
Uwaga – wszystkie dokumenty przyjęte podczas posiedzenia plenarnego EROD podlegają niezbędnym kontrolom pod względem prawnym, językowym i pod względem formatowania i będą udostępniane na stronie internetowej EROD po zakończeniu tych kontroli.

EDPB_Press Release_statement_2021_01