REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Podpowierzenie danych do państwa trzeciego a standardowe klauzule umowne

Podpowierzenie danych do państwa trzeciego a standardowe klauzule umowne /Fot. Shutterstock
Podpowierzenie danych do państwa trzeciego a standardowe klauzule umowne /Fot. Shutterstock
Shutterstock

REKLAMA

REKLAMA

Praktyka pokazuje, że zdarzają się sytuacje, gdy dostawca (kontrahent) – aby zapewnić prawidłowość świadczonych usług – musi korzystać z usług podwykonawców z krajów poza Europejskim Obszarem Gospodarczym (EOG). Jeżeli w związku ze świadczoną usługą będzie dochodzić do powierzenia danych osobowych w rozumieniu art. 28 RODO, należy uregulować transfer danych do państwa trzeciego.

Dostawca powinien mieć na względzie treść art. 28 ust. 4 RODO:

REKLAMA

„Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym”.

Polecamy: Jak przygotować się do zmian w 2020 r.

REKLAMA

W związku z powyższym umowa pomiędzy podmiotem przetwarzającym (procesorem) a dalszym podmiotem przetwarzającym (podprocesorem) powinna być zawarta na warunkach nie gorszych niż pomiędzy administratorem a podmiotem przetwarzającym. Ponadto należy uregulować kwestię transgranicznego przetwarzania danych, w sytuacji gdy podwykonawca świadczonej usługi, tj. dalszy podmiot przetwarzający, znajduje się w państwie trzecim, przez które rozumiemy państwo spoza EOG.

Jednym ze sposobów zgodnego z prawem transferu danych do państwa trzeciego jest zastosowanie standardowych klauzul umownych, które stanowią załącznik do decyzji Komisji 2010/87/UE w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady. Przedmiotowa decyzja – pomimo że została wydana na podstawie dyrektywy 95/46/WE, uchylonej przez RODO – zgodnie z art. 46 ust. 5 RODO pozostaje w mocy do czasu zmiany, zastąpienia lub uchylenia decyzji przez Komisję Europejską.

Dalszy ciąg materiału pod wideo

Jednak należy pamiętać, że standardowe klauzule umowne co do zasady nie mogą być modyfikowane. Klauzule przywołane w poprzednim akapicie określają relację pomiędzy administratorem danych mającym siedzibę na terytorium EOG a podmiotem przetwarzającym mającym siedzibę poza EOG.

Administrator danych z EOG

Podmiot przetwarzający poza EOG

Natomiast praktyka świadczonych usług często jest bardziej skomplikowana: administrator danych jest z EOG, podmiot przetwarzając (procesor) – z EOG, a dopiero dalszy podmiot przetwarzający (podprocesor) ma siedzibę w państwie trzecim, tj. poza EOG.

Administrator danych z EOG

Podmiot przetwarzający z EOG

Dalszy podmiot przetwarzający poza EOG

REKLAMA

Warto pamiętać o stanowisku Grupy Roboczej art. 29, wyrażonym w dokumencie: „Najczęściej zadawane pytania w celu zaradzenia kwestiom wynikłym na skutek wejścia w życie Decyzji Komisji Europejskiej 2010/87/UE sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE”. Zgodnie z nim standardowe klauzule umowne mogą być zastosowane w imieniu i na rzecz administratora danych. W tym celu w umowie powierzenia pomiędzy administratorem danych a podmiotem przetwarzającym lub w innym oświadczeniu musi znajdować się jasne upoważnienie od administratora posiadającego siedzibę na terytorium EGO, udzielone podmiotowi przetwarzającemu posiadającego siedzibę na terytorium EGO, w celu wykorzystania modelowych klauzul, określonych w decyzji 2010/87/UE, w imieniu administratora oraz na jego rzecz.

Podkreślenia wymaga, że standardowe klauzule umowne niestety nie odpowiadają już standardom art. 28 RODO, w związku z tym w odrębnej umowie dotyczącej transferu danych wraz ze standardowymi klauzulami umownymi należałoby uregulować brakujące elementy. Do tej kwestii odnosi się motyw 109 RODO:

„Możliwość korzystania przez administratora lub podmiot przetwarzający ze standardowych klauzul ochrony danych przyjętych przez Komisję lub organ nadzorczy nie powinna stanowić dla administratora lub podmiotu przetwarzającego przeszkody, by standardowe klauzule ochrony danych włączyć do szerszej umowy, takiej jak umowa między wspomnianym podmiotem przetwarzającym a innym podmiotem przetwarzającym, ani by dodać inne klauzule lub dodatkowe zabezpieczenia, pod warunkiem że nie są one bezpośrednio lub pośrednio sprzeczne ze standardowymi klauzulami umownymi przyjętymi przez Komisję lub organ nadzorczy ani nie naruszają podstawowych praw lub wolności osób, których dane dotyczą. Należy zachęcać administratorów i podmioty przetwarzające, by w drodze zobowiązań umownych przewidywały dodatkowe zabezpieczenia, stanowiące uzupełnienie dla standardowych klauzul ochrony”.

Biorąc po uwagę powyższe, standardowe klauzule umowne mogą być uzupełnione m.in. w drodze dodatkowej umowy, która może wprowadzić postanowienia będące uzupełnieniem zastosowanych klauzul umownych. Takie dodatkowe postanowienia powinny regulować bądź precyzować przede wszystkim obowiązki określone w art. 28 ust. 3 lit. a, b, c, d i e RODO.

Autor: Adw. Marcin Zadrożny, Ekspert ds. ochrony danych, ODO 24, Adw. Łukasz Pociecha, Ekspert ds. ochrony danych, ODO 24.

Autopromocja

REKLAMA

Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie - zapraszamy do subskrybcji naszego newslettera
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

REKLAMA

Komentarze(0)

Pokaż:

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code
    Moja firma
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail
    Opłata roczna BDO w 2024 r. W lutym upływa ważny termin

    Przedsiębiorcy wpisani do Bazy Danych o Produktach i Opakowaniach oraz o Gospodarce Odpadami (BDO) powinni pamiętać o uiszczeniu opłaty rocznej. Jaki jest termin na wniesienie opłaty w 2024 roku?

    ESG jako klucz do zrównoważonego biznesu

    W czasach, gdzie zrównoważony rozwój i odpowiedzialność społeczna stają się kluczowymi determinantami sukcesu przedsiębiorstw, Beata Drzazga założyciel BetaMed SA i inicjator wielu projektów zarówno w kraju, jak i za granicą, dzieli się swoim doświadczeniem i przemyśleniami na temat wprowadzania zasad ESG (Environmental, Social, and Governance) w praktyce biznesowej.

    Przedsiębiorcy lepiej oceniają koniunkturę więc śmielej kupują samochody. W 2024 r. wróciła niechęć do elektryków

    W 2024 roku zakupem samochodu zainteresowany jest co czwarty przedsiębiorca. To podobnie jak przed dwunastoma miesiącami. Wynik w 2024 r. może być w rzeczywistości jeszcze lepszy, ponieważ 16 proc. ankietowanych nie umiało na etapie badania jednoznacznie odpowiedzieć na pytanie o zamiar zakupu samochodu.

    KAS: uwaga na podrobione, nielegalne środki ochrony roślin

    Rozpoczęła się właśnie VI. edycja kampanii edukacyjnej Krajowej Administracji Skarbowej, Państwowej Inspekcji Ochrony Roślin i Nasiennictwa, Policji oraz Polskiego Stowarzyszenia Ochrony Roślin przestrzegającej przed oszustami oferującymi nielegalne, w tym podrobione, środki ochrony roślin. Kampania prowadzona jest pod hasłem „Kupując podróbki, tracisz wiele razy!". 

    REKLAMA

    Rejestracja spółek od A do Z. Sprawdź nasz poradnik!

    W dzisiejszych czasach coraz więcej osób decyduje się na założenie własnej działalności gospodarczej. Niektórzy robią to w pojedynkę, inni proponują współpracę znajomym lub prosperującym przedsiębiorcom. W ten sposób powstają spółki, wymagające odpowiedzialnej opieki prawnej i księgowości. Sprawdź, od czego zacząć!

    Protesty rolników w całej Europie. Jakie są powody? O co im chodzi?

    Protesty rolników trwają od kilku tygodniu w wielu krajach europejskich, m.in. w Niemczech, Francji, Włoszech, Grecji, Czechach i na Węgrzech. Rolnicy protestują przeciwko niskim cenom produktów rolnych, Europejskiemu Zielonemu Ładowi i taniemu importowi produktów rolniczych spoza Unii Europejskiej.

    Pompa ciepła, magazyn energii, fotowoltaika teraz dostępne w leasingu europejskim dla sklepów, punktów usługowych i rolników

    Teraz przedsiębiorcy, małe i średnie firmy produkcyjne, sklepy, salony samochodowe czy rolnicy, mogą ubiegać się o leasing pojazdów elektrycznych, instalacji fotowoltaicznych, pomp ciepła, magazynów energii oraz maszyn i urządzeń na atrakcyjnych warunkach. Są nowe środki finansowe pozwalające zwiększyć ofertę – i to na korzystniejszych niż uprzednio warunkach.

    Aplikacje chmurowe ułatwiają pracę firmom, ale i ściągają na nie niebezpieczeństwa, których menadżerowie najczęściej nie są świadomi

    Wszechobecne aplikacje chmurowe pozwalają firmie z Warszawy bez wysiłku współpracować z zespołem z Londynie, organizując spotkania wideo, podczas których analizuje się dane, a nawet realizować skomplikowane zadania związane z zarządzaniem projektami. 

    REKLAMA

    Produkcja piwa w Polsce zmalała, ale wciąż jesteśmy w czołówce w UE. Rekordową ilość piwa produkują... Niemcy

    Produkcja piwa w Polsce zmalała. Pomiędzy 2022 a 2023 r. spadła o 2 mln hl. Wzrosły koszty produkcji, więc przedsiębiorcy szukają oszczędności. 

    Czy wkrótce biznes przeniesie się w kosmos? Już teraz można odbyć turystyczny lot na orbitę

    Niezwykły postęp technologiczny, którego świadkami jesteśmy rozbudza wyobraźnię o eksploracji kosmosu. Czy już wkrótce biznes przeniesie się w przestrzeń międzygwiezdną? Czy przemysł kosmiczny stanie się domeną prywatną? 

    REKLAMA