Wielkimi krokami nadchodzi 27 grudnia 2022 r., czyli dzień w którym zgodnie z Decyzją Wykonawczą Komisji (UE) 2021/914 upływa termin wprowadzenia nowych standardowych klauzul umownych do umów, na podstawie których dochodzi do przekazywania danych osobowych.

Pojawia się zatem pytanie, czym są te standardowe klauzule umowne w nowej wersji i czy skorzystanie z nich zawsze będzie „załatwiać sprawę”?

Standardowe Klauzule Umowne

Standardowe klauzule umowne czyli Standard Contractual Clauses („SCC”) to nic innego jak wzorcowe postanowienia, które należy wprowadzić do umów na podstawie których dochodzi do transferu danych osobowych do państwa trzeciego (w przypadku gdy nie można zastosować innego rozwiązania wynikającego z RODO, zapewnianiającego bezpieczeństwo transferowanych danych oraz transparentność samego transferu).

SCC określają obowiązki oraz prawa poszczególnych uczestników procesu przetwarzania danych i posiadają kilka wariantów, odnoszących się do różnych relacji, np. administrator – podmiot przetwarzający, czy podmiot przetwarzający – dalszy podmiot przetwarzający.

Samo podpisanie odpowiednich klauzul umownych to jednak nie wszystko. Przestrzeganie tych postanowień to też zbyt mało. Jeśli dane państwo trzecie (czyli to do którego realizowany jest transfer) nie posiada w swojej legislacji przepisów zapewniających respektowania praw i wolności osób, których dane są transferowane, transfer musi być poprzedzony oceną skutków transferu danych. Ocena ta musi zawierać między innymi badanie lokalnych przepisów oraz gwarancji lub ograniczeń, które dzięki nim obowiązują oraz porównanie ich z tym co zapewnia RODO.

Jeśli ocena okaże się negatywna, możliwości są trzy. Najprostsze (a może najtrudniejsze) jest nie dokonywanie transferu danych osobowych w ramach planowanej współpracy. Innym, często kosztownym sposobem, jest wdrożenie dodatkowych środków gwarantujących ochronę praw i wolności osób, których dane dotyczą, ostatecznie dane mogą też zostać zanonimizowane (chociaż nie zawsze jest to możliwe). Na końcu zostaje biznesowa decyzja o transferze danych pomimo niespełniania wymagań, co jest ryzykowne i może skończyć się nałożeniem kary pieniężnej.

Transfer danych do USA

Mając na uwadze sieć powiązań gospodarczych pomiędzy USA a państwami Unii Europejskiej, jeszcze kilka lat temu oczywistym było, że znaczna część danych osobowych obywateli UE trafiała na serwery znajdujące się w Stanach Zjednoczonych. Następowało to przede wszystkim w związku z korzystaniem z różnego rodzaju rozwiązań informatycznych dostarczanych przez firmy zza oceanu.

Pomimo protestów niektórych organizacji wszystko odbywało się na podstawie tzw. Tarczy Prywatności (UE-U.S. Privacy Shield), w której uregulowana zasady przekazywania danych oraz standardy, które muszą być zachowane przy przetwarzaniu danych osobowych osób z obszaru EOG.

Do czasu. Wydanie wyroku przez Trybunał Sprawiedliwości Unii Europejskiej w sprawie Schrems II (C-311/18) oznaczało jedno – uznanie, że Tarcza Prywatności, a co za tym idzie ówcześnie obowiązujące standardowe klauzule umowne nie mogą służyć jako podstawa prawna do przekazywania danych osobowych do USA. Stworzyło to patową sytuację, w której stan prawny się z dnia na dzień, na co biznes nie był przygotowany.

Komisja Europejska m.in. właśnie z tego powodu przyjęła nowe SCC – dokładne określenie obowiązków podmiotów uczestniczących w transferze danych, różne warianty uzależnione od rodzaju transferu i inne rozwiązania miały spowodować, że przekazywanie danych do USA będzie transparentne i zapewni bezpieczeństwo danych osobowych.

Nie zdało się to na wiele – podstawą przyczyną uznania przez TSUE, że transfer danych osobowych do USA może być niezgodny z RODO było to, że służby wywiadowcze USA mają szeroki dostęp do danych osobowych, które są transferowane do Stanów Zjednoczonych. A przecież zmieniły się wyłącznie SCC, nie zaś amerykańskie przepisy dotyczące uprawnień wywiadu. Co za tym idzie nawet ich podpisanie z amerykańskim kontrahentem nie eliminowało zagrożeń, na które wskazał TSUE w swoim wyroku. Ponadto przed podpisaniem SCC powinno dojść do oceny skutków transferu dla ochrony danych osobowych (a ciężko wyobrazić sobie aby ocena ta była pozytywna, jeśli dostęp do danych osobowych mają agencje wywiadowcze).

Mając na uwadze potrzeby biznesu wdrażano nowe zabezpieczenia informatyczne, szyfrowano dane. Wciąż jednak istniało (i istnieje) ryzyko zakwestionowania transferu danych do USA (również jeśli stosowano SCC).

Niemniej jednak po 27 grudnia niewdrożenie nowych SCC będzie wiązało się z tym, że każdy transfer odbywający się na podstawie takich standardowych klauzul zostanie uznany za niezgodny z przepisami prawa, co będzie wiązało się z możliwością poniesienia dotkliwych konsekwencji przez podmiot, który przekazał dane poza EOG.

Idzie nowe

W związku z wyrokiem w sprawie Schrems II USA i UE podjęły rozmowy mające na celu opracowanie nowego rozwiązania umożliwiającego przekazywanie danych do USA bez naruszania powszechnie obowiązujących przepisów.

Porozumienie ramowe w tej sprawie zostało podpisane przez USA i UE w marcu 2022 roku, zaś w październiku prezydent USA podpisał rozporządzenie wykonawcze zmieniające część przepisów dot. służb wywiadowczych, które przez TSUE były uważane za uniemożliwiające legalny transfer.

Co to oznacza? Zapewne doprowadzi do podpisania porozumienia przez stronę unijną oraz wydania przez Komisję Europejską decyzji stwierdzającej odpowiedni stopień ochrony danych w USA, co skutkować będzie dużo mniejszym rygoryzmem przy transferze danych.

Czy jest to pewne? Nie, dlatego, że w pierwszej kolejności przeprowadzone zostaną konsultacje z Europejską Radą Ochrony Danych, która oceni czy dokonane zmiany oraz propozycje zawarte w porozumieniu są wystarczające aby realnie zabezpieczyć dane osobowe, które z obszaru EOG trafiają do USA. Ponadto, Maximilian Schrems, inicjator szeregu postępowań dot. transferu danych do USA, już wskazał, że jego zdaniem zmiany w prawodawstwie amerykańskim są zbyt małe aby zapewnić bezpieczeństwo danych zgodnie z zasadami obowiązującymi w EOG.