Na początku czerwca Komisja Europejska przyjęła dokument zawierający standardowe klauzule obowiązujące przy zawieraniu umów powierzenia przetwarzania danych osobowych. Decyzja wejdzie w życie 27 czerwca 2021 r.
Zgodnie z art. 28 RODO administrator danych może powierzyć je innemu podmiotowi, jeśli ten daje wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Przetwarzanie musi więc spełniać wiele wymogów zawartych w rozporządzeniu i chronić prawa osób, których dane są przetwarzane.
– Możliwości wykorzystania tego rodzaju uprawnień mogą jednak w praktyce stać się iluzoryczne. Im więcej podmiotów uczestniczy w przetwarzaniu, tym łatwiej o rozmycie odpowiedzialności. Minimalny katalog obowiązków, które należy ująć w umowie administratora danych z podmiotem, któremu powierza się ich przetwarzanie, przewidziano już w samych przepisach RODO. Rozwiązania dostępne dotychczas odnosiły się jednak do rzeczywistości regulacyjnej i technicznej z początku lat 2000. Decyzja formalnie nie nakłada nowych wymogów. Wprowadza natomiast instrumenty, które umożliwiają spełnienie istniejących oraz wykazanie zgodności z obowiązującymi przepisami w aktualnym kształcie – mówił „Rzeczpospolitej” Marcin Maciejak, adwokat z Kancelarii GESSEL.
Celem najnowszej decyzji było przede wszystkim opisanie podstawowych obowiązków, jakie muszą wypełnić strony umowy, uszczegółowienie warunków przetwarzania danych i określenie zasad współpracy administratora z podmiotem przetwarzającym.
Jak tłumaczy mec. Maciejak, nowe regulacje mówią o zasadach ogólnych związanych z RODO, ale również o powierzaniu przetwarzania danych transferowanych poza Europejski Obszar Gospodarczy.
– Bardzo istotne jest uwzględnienie tzw. podpowierzenia, kiedy podmiot przetwarzający przekazuje dane dalszemu podmiotowi przetwarzającemu w tym samym łańcuchu przetwarzania. Natomiast wyjściem naprzeciw najnowszemu orzecznictwu TSUE (np. w sprawie Schrems-II) będzie dokonywanie oceny skutków przekazania danych. Klauzule nie mogą bowiem stawać się wytrychem pozwalającym wyprowadzać dane osobowe spod parasola RODO. Możliwość ich stosowania musi się opierać na analizie realiów przetwarzania danych w kraju docelowym. Osoba, której dane dotyczą, ma dysponować narzędziami bezpośredniego dochodzenia od takich podmiotów odpowiedzialności – wyjaśnia specjalista.
Dobra i ściśle określona przepisami współpraca administratora z podmiotami przetwarzającymi dane osobowe jest podstawą przy zapewnianiu bezpieczeństwa danych.
Decyzja Komisji Europejskiej wymaga od obu stron umowy lojalności, także gdy dochodzi do rozszerzania kooperacji poza EOG. Dlatego – jak mówi mec. Maciejak – zostały przygotowane modelowe klauzule, które wymagają od obu stron konkretnych okoliczności przekazywania danych. Podmioty muszą być świadome okoliczności, jakie zaszły w momencie podpisywania umowy, ale także w całym okresie trwania współpracy.