Żółta lampka z napisem „potrzebuję Standardowe Klauzule Umowne” (SKU; Standard Contractual Clauses, SCC) powinna zaświecić Ci się, gdy Twoje studio jako administrator danych osobowych (lub podmiot przetwarzający dane) przekazuje je poza EOG (Europejski Obszar Gospodarczy) – czyli inaczej mówić do „państw trzecich”.

Gwoli wyjaśnienia, w skład EOG wchodzą: Austria, Belgia, Bułgaria, Chorwacja (nie w pełni), Cypr, Czechy, Dania, Estonia, Finlandia, Francja, Grecja, Hiszpania, Holandia, Islandia, Liechtenstein, Litwa, Luksemburg, Łotwa, Malta, Niemcy, Norwegia, Polska, Portugalia, Rumunia, Słowacja, Słowenia, Szwecja, Węgry, Włochy.

Zwróć więc uwagę, że nie ma na tej liście USA ani Chin. To – między innymi – są państwa trzecie.

W przypadku zatem, gdy wynajmujesz serwer w Stanach Zjednoczonych albo korzystasz z dostawcy technologii, który ma siedzibę w Chinach, musisz zadbać o zawarcie z tymi podmiotami SKU.

Co to jest SKU, czyli Standardowe Klauzule Umowne?

SKU to obszerny dokument, a celem jego zawarcia z kontrahentem jest zabezpieczenie podstawy prawnej transferu danych do państwa trzeciego. Istnieje gros innych metod takiego zabezpieczenia, ale SKU są zdecydowanie najbardziej konkretne i „user friendly”.

Są one przygotowane przez Komisję Europejską jako wzór umowy, który wymaga uzupełnienia i podpisania przez obie strony transferu danych. Koniecznie musisz pamiętać, że brzmienie SKU zaproponowane przez Komisję nie podlega negocjacjom.

Treść standardowych klauzul znajduje się w Decyzji wykonawczej Komisji (UE) 2021/914, dostępnej tutaj. Są to cztery moduły (wzory) umowy – odpowiedni wybiera się w zależności od tego, pomiędzy jakimi podmiotami dana umowa ma być zawarta:

• Moduł pierwszy: przekazywanie danych pomiędzy administratorami (w sytuacji, gdy jeden z administratorów jest spoza EOG)
• Moduł drugi: przekazywanie danych przez administratora podmiotowi przetwarzającemu (spoza EOG)
• Moduł trzeci: Przekazywanie danych między podmiotami przetwarzającymi (jeden z nich spoza EOG)
• Moduł czwarty: Przekazywanie danych przez podmiot przetwarzający administratorowi (spoza EOG).

Wybrany wzór należy uzupełnić w odpowiednich miejscach i podpisać.

Bezpieczeństwo i legalność transferu danych

Musisz jeszcze mieć na uwadze, że może się zdarzyć sytuacja, w której zastosowanie SKU może nie być wystarczającą podstawą transferu danych poza obszar EOG.

Trybunał Sprawiedliwości UE zwrócił uwagę, że w pewnych okolicznościach konieczne są dalsze środki – zapewnienie kolejnego levelu bezpieczeństwa danych. Samo zawarcie SKU nie zwalnia Cię z obowiązku oceny czy transfer danych z Twojego studio będzie legalny.

W skrajnych przypadkach – dla własnego bezpieczeństwa – trzeba niekiedy zrezygnować z transferu do państwa trzeciego w ogóle, aby uniknąć ewentualnych kar organu nadzorczego. Wtedy pozostaje na przykład poszukiwanie dostawcy na terenie EOG.

Wszystko to nadal jest zbyt zawiłe? Nie jesteś pewien jak przygotować właściwe dla Twojego studia SKU albo czy SKU będą w Twoim studio wystarczające dla transferu danych do państwa trzeciego?

Jeśli potrzebujesz pomocy w ocenie sytuacji w zakresie zawarcia SKU albo wzdrożeniu RODO w swoim studio, skontaktuj się z prawnikiem.