REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Podpowierzenie danych do państwa trzeciego a standardowe klauzule umowne

Podpowierzenie danych do państwa trzeciego a standardowe klauzule umowne /Fot. Shutterstock
Podpowierzenie danych do państwa trzeciego a standardowe klauzule umowne /Fot. Shutterstock
Shutterstock

REKLAMA

REKLAMA

Praktyka pokazuje, że zdarzają się sytuacje, gdy dostawca (kontrahent) – aby zapewnić prawidłowość świadczonych usług – musi korzystać z usług podwykonawców z krajów poza Europejskim Obszarem Gospodarczym (EOG). Jeżeli w związku ze świadczoną usługą będzie dochodzić do powierzenia danych osobowych w rozumieniu art. 28 RODO, należy uregulować transfer danych do państwa trzeciego.

Dostawca powinien mieć na względzie treść art. 28 ust. 4 RODO:

REKLAMA

REKLAMA

„Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym”.

Polecamy: Jak przygotować się do zmian w 2020 r.

W związku z powyższym umowa pomiędzy podmiotem przetwarzającym (procesorem) a dalszym podmiotem przetwarzającym (podprocesorem) powinna być zawarta na warunkach nie gorszych niż pomiędzy administratorem a podmiotem przetwarzającym. Ponadto należy uregulować kwestię transgranicznego przetwarzania danych, w sytuacji gdy podwykonawca świadczonej usługi, tj. dalszy podmiot przetwarzający, znajduje się w państwie trzecim, przez które rozumiemy państwo spoza EOG.

REKLAMA

Jednym ze sposobów zgodnego z prawem transferu danych do państwa trzeciego jest zastosowanie standardowych klauzul umownych, które stanowią załącznik do decyzji Komisji 2010/87/UE w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady. Przedmiotowa decyzja – pomimo że została wydana na podstawie dyrektywy 95/46/WE, uchylonej przez RODO – zgodnie z art. 46 ust. 5 RODO pozostaje w mocy do czasu zmiany, zastąpienia lub uchylenia decyzji przez Komisję Europejską.

Dalszy ciąg materiału pod wideo

Jednak należy pamiętać, że standardowe klauzule umowne co do zasady nie mogą być modyfikowane. Klauzule przywołane w poprzednim akapicie określają relację pomiędzy administratorem danych mającym siedzibę na terytorium EOG a podmiotem przetwarzającym mającym siedzibę poza EOG.

Administrator danych z EOG

Podmiot przetwarzający poza EOG

Natomiast praktyka świadczonych usług często jest bardziej skomplikowana: administrator danych jest z EOG, podmiot przetwarzając (procesor) – z EOG, a dopiero dalszy podmiot przetwarzający (podprocesor) ma siedzibę w państwie trzecim, tj. poza EOG.

Administrator danych z EOG

Podmiot przetwarzający z EOG

Dalszy podmiot przetwarzający poza EOG

Warto pamiętać o stanowisku Grupy Roboczej art. 29, wyrażonym w dokumencie: „Najczęściej zadawane pytania w celu zaradzenia kwestiom wynikłym na skutek wejścia w życie Decyzji Komisji Europejskiej 2010/87/UE sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE”. Zgodnie z nim standardowe klauzule umowne mogą być zastosowane w imieniu i na rzecz administratora danych. W tym celu w umowie powierzenia pomiędzy administratorem danych a podmiotem przetwarzającym lub w innym oświadczeniu musi znajdować się jasne upoważnienie od administratora posiadającego siedzibę na terytorium EGO, udzielone podmiotowi przetwarzającemu posiadającego siedzibę na terytorium EGO, w celu wykorzystania modelowych klauzul, określonych w decyzji 2010/87/UE, w imieniu administratora oraz na jego rzecz.

Podkreślenia wymaga, że standardowe klauzule umowne niestety nie odpowiadają już standardom art. 28 RODO, w związku z tym w odrębnej umowie dotyczącej transferu danych wraz ze standardowymi klauzulami umownymi należałoby uregulować brakujące elementy. Do tej kwestii odnosi się motyw 109 RODO:

„Możliwość korzystania przez administratora lub podmiot przetwarzający ze standardowych klauzul ochrony danych przyjętych przez Komisję lub organ nadzorczy nie powinna stanowić dla administratora lub podmiotu przetwarzającego przeszkody, by standardowe klauzule ochrony danych włączyć do szerszej umowy, takiej jak umowa między wspomnianym podmiotem przetwarzającym a innym podmiotem przetwarzającym, ani by dodać inne klauzule lub dodatkowe zabezpieczenia, pod warunkiem że nie są one bezpośrednio lub pośrednio sprzeczne ze standardowymi klauzulami umownymi przyjętymi przez Komisję lub organ nadzorczy ani nie naruszają podstawowych praw lub wolności osób, których dane dotyczą. Należy zachęcać administratorów i podmioty przetwarzające, by w drodze zobowiązań umownych przewidywały dodatkowe zabezpieczenia, stanowiące uzupełnienie dla standardowych klauzul ochrony”.

Biorąc po uwagę powyższe, standardowe klauzule umowne mogą być uzupełnione m.in. w drodze dodatkowej umowy, która może wprowadzić postanowienia będące uzupełnieniem zastosowanych klauzul umownych. Takie dodatkowe postanowienia powinny regulować bądź precyzować przede wszystkim obowiązki określone w art. 28 ust. 3 lit. a, b, c, d i e RODO.

Autor: Adw. Marcin Zadrożny, Ekspert ds. ochrony danych, ODO 24, Adw. Łukasz Pociecha, Ekspert ds. ochrony danych, ODO 24.

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

REKLAMA

Moja firma
Zmiany w prawie wymusiły zmianę modelu logistycznego? Pyszne.pl komentuje

Pyszne.pl rezygnuje z własnej floty kurierskiej i od lata 2026 r. przechodzi na model 3PL, czyli realizację dostaw przez zewnętrznych partnerów flotowych. Firma zapewnia, że klienci nie odczują zakłóceń, a sieć dostawców może się powiększyć nawet o kilkanaście tysięcy osób. Decyzja zapada w momencie, gdy Państwowa Inspekcja Pracy zyskała nowe uprawnienia do przekształcania umów cywilnoprawnych w umowy o pracę.

KE szykuje reformę systemu ETS. Są pierwsze szczegóły

Komisja Europejska ma w piątek przedstawić propozycję reformy systemu handlu uprawnieniami do emisji ETS. Zgodnie z planem darmowe uprawnienia mają pokrywać 78 proc. emisji w sektorze przemysłowym, a Bruksela rozważa także spowolnienie tempa ograniczania liczby pozwoleń dostępnych na aukcjach.

Kawa z INFORLEX. Nowe uprawnienia PIP 2026 – czy Twoja firma jest gotowa na kontrolę?

Od 8 lipca 2026 r. obowiązuje nowelizacja ustawy o Państwowej Inspekcji Pracy, która w istotny sposób zmienia zasady kontroli zatrudnienia w Polsce. Inspektorzy PIP zyskali m.in. możliwość administracyjnego przekształcania pozornych umów cywilnoprawnych i kontraktów B2B w umowy o pracę - bez konieczności kierowania sprawy do sądu. To jedna z najważniejszych zmian w prawie pracy ostatnich lat, a jej skutki odczują wszyscy pracodawcy, niezależnie od branży czy wielkości firmy.

Po trudnym początku roku pojawił się pierwszy pozytywny sygnał dla polskich firm. Jest nowy odczyt Barometru EFL

Po wyraźnym pogorszeniu nastrojów na początku roku sektor małych i średnich firm wysyła pierwszy sygnał stabilizacji. Indeks Barometru EFL na III kwartał 2026 roku był nadal na niskim poziomie 47,8 pkt., niemal takim samym jak kwartał wcześniej. Najnowszy Barometr EFL wskazuje na stabilizację oczekiwań biznesowych, jednak eksperci podkreślają, że o trwałym ożywieniu wciąż nie można mówić.

REKLAMA

Za kulisami AI. Co naprawdę dzieje się po wpisaniu promptu? [WYWIAD]

AI odpowiada w kilka sekund, ale za tą błyskawiczną reakcją kryją się miliardowe inwestycje w infrastrukturę, energię, dane i pracę tysięcy specjalistów. Dlaczego sztuczna inteligencja kosztuje, skoro sprawia wrażenie niemal darmowej? O kulisach działania modeli, ukrytych kosztach i mitach dotyczących „bezpłatnego AI" opowiada ekspert Michał Lidzbarski, tłumacząc, za co naprawdę płacimy i dlaczego w technologii, podobnie jak w restauracji, największa praca odbywa się poza zasięgiem naszego wzroku.

Droższe samochody firmowe przestają się podatkowo opłacać. Limit 100 tys. zł zaliczania do kosztów amortyzacji i rat leasingowych w przypadku aut o wyższej emisji spalin

Od 2026 r. obowiązuje limit 100 tys. zł zaliczania do kosztów amortyzacji i rat leasingowych w przypadku aut o wyższej emisji spalin. Droższe samochody firmowe przestają się podatkowo opłacać. Co jeszcze uległo zmianie?

Polak ogląda średnio 3000 reklam miesięcznie w Internecie- jak reklamodawcy to robią, że przykuwają naszą uwagę?

Statystyczny polski internauta zobaczył w maju 2026 roku prawie 3000 reklam online – mimo rewolucji AI, to wciąż kreacja decyduje o 49% efektywności kampanii. Reklamy realnie przyciągające uwagę osiągają nawet 19-krotnie lepsze konwersje, a 82% reklamodawców deklaruje gotowość zapłacenia więcej za faktyczną uwagę odbiorcy. Jak marki mogą zmierzyć wpływ reklamy, zanim trafi ona do waszych oczu?

Nie tylko szpitale. Każdy z nas produkuje odpady medyczne. Problem zaczyna się, gdy nie wiemy, co z nimi zrobić [Gość INFOR.PL]

Większość z nas nawet się nad tym nie zastanawia. Wacik po pobraniu krwi, zużyta igła po domowym zastrzyku, strzykawka po podaniu leku czy przeterminowane tabletki najczęściej trafiają do kosza na śmieci lub zalegają w domowej apteczce. Tymczasem są to odpady medyczne, które mogą stanowić zagrożenie dla ludzi i środowiska. O tym, dlaczego ich właściwa utylizacja jest tak ważna oraz jak nowoczesne technologie pozwalają odzyskiwać z nich energię, opowiada Krzysztof Rdest, prezes zarządu EMKA.

REKLAMA

PPWR w praktyce. Największa zmiana w pakowaniu od dekad i 4 zasady, które warto wdrożyć

Już za niecały miesiąc, 12 sierpnia 2026 roku rozpocznie się szerokie stosowanie kluczowych przepisów unijnego rozporządzenia PPWR (Packagingand Packaging Waste Regulation) w sprawie opakowań i odpadów opakowaniowych. Dla e-commerce, handlu, logistyki, producentów i importerów nie będzie to kosmetyczna korekta przepisów. PPWR zmieni sposób, w jaki firmy powinny myśleć o całym procesie pakowania: od zakupu materiałów, przez magazynowanie, kompletację zamówień i transport, aż po recykling, oznakowanie oraz dokumentowanie zgodności.

Czy czeka nas ponowna podwyżka ceny badania technicznego, żeby ratować stacje kontroli pojazdów?

Podwyżka cen przeglądu technicznego do 149 zł miała poprawić finanse stacji kontroli pojazdów – ale po kilku miesiącach długi branży znów poszły w górę. Na koniec kwietnia 2026 roku przeterminowane zadłużenie SKP wyniosło ponad 90,3 mln zł – to o 2,2% więcej niż rok wcześniej. Z terminową spłatą zobowiązań ma problem aż 341 stacji w całym kraju. Czy cena przeglądu auta znowu wzrośnie ze 149 zł?

Zapisz się na newsletter
Zakładasz firmę? A może ją rozwijasz? Chcesz jak najbardziej efektywnie prowadzić swój biznes? Z naszym newsletterem będziesz zawsze na bieżąco.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA