Standardowe Klauzule Umowne (SCC), które zostały przyjęte Decyzją Komisji z 5.2.2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (2010/87/UE) nie były dostosowane do wymogów RODO. Wielokrotnie mówiło się, iż zapisy SCC nie są dostosowane do nowej regulacji o ochronie danych osobowych i należy wypracować ich nowy kształt.  

Punktem kulminacyjnym, by wypracować nowe SCC był wyrok z 16.7.2020 r., który został wydany przez Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w sprawie Schrems II (C-311/18). Wyrok ten przesądził, iż regulacje transferu danych do państwa trzeciego jakim są Stany Zjednoczone są nieważne. Stwierdził również, iż decyzja wykonawcza Komisji (UE) 2016/1250 z 12.7.2016 r. przyjęta na mocy dyrektywy 95/46 Parlamentu Europejskiego i Rady w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE–USA jest nieważna, co za tym idzie, podstawa prawna transferu danych do Stanów Zjednoczonych przestała obowiązywać. Uznał również, iż SCC co do zasady nie są ważne. Zaznaczył, iż samo zawarcie SCC z podmiotem, który znajduje się w Stanach Zjednoczonych nie daje pewności, iż transfer jest legalny. Wynika z tego, iż administrator, który decydował się na przekazanie danych do Stanów Zjednoczonych każdorazowo powinien je przeanalizować.  

W związku z powyższym zostały rozpoczęte prace nad nowym zestawem SCC. Ostatecznie nowe wzory zostały przyjęte 4.6.2021 r. przez Komisję Europejską. Należy zwrócić uwagę, iż zostały przyjęte dwa zestawy Standardowych Klauzul Umownych na podstawie:

  • Decyzji Wykonawczej Komisji (UE) 2021/914 z 4.6.2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na podstawie RODO;
  • Decyzji Wykonawczej Komisji (UE) 2021/915 z 4.6.2021 r. w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi na podstawie art. 28 ust. 7 RODO oraz art. 29 ust. 7 RODO.  

Jest to całkowicie nowa koncepcja, gdyż poprzednie SCC dotyczyły wyłącznie transferu poza Europejski Obszar Gospodarczy oraz nie regulowały kwestii, jaką jest dalsze powierzenie przetwarzania danych osobowych. Aktualnie dwie decyzje regulują kwestię transferu danych do państwa trzeciego oraz kwestię zawierania umów powierzenia przetwarzania danych osobowych pomiędzy administratorem, a podmiotem przetwarzającym.  

Decyzje zostały podzielone na moduły:

  • zapisy ogólne;
  • część modułowa;
  • zapisy ogólne z możliwością edycji.  

Podział ten ma na celu uwzględnić oraz móc zaopiekować prawnie różne scenariusze, które dotyczą przekazywania danych. Należy pamiętać, iż by właściwie wykorzystać SCC, nie można dokonywać zmian w ich zapisach. Jedyne, co należy zrobić, to wybrać odpowiednie relacje, do których będziemy je stosować. Całkowitą nowością w nowo przyjętych SCC są relacje, do których można je stosować, a są nimi: 

  • Administrator – administrator;
  • Administrator – podmiot przetwarzający;
  • Podmiot przetwarzający – podprocesor;
  • Podmiot przetwarzający – procesor.  

Standardowe Klauzule Umowne zawierają również zestaw narzędzi, które mają na celu zapewnienie zgodności z wyrokiem Schrems II. Dodatkowo znajdziemy w nich przykłady środków uzupełniających, które można zastosować, gdy zajdzie taka potrzeba. Warto też zwrócić uwagę, iż w SCC pojawiły się wzorce, które mają na celu zapewnienie, iż władze kraju nie będą miały dostępu do importowanych danych. Warto nadmienić, iż ta kwestia wynika wprost z Wyroku Schrems II.  

Należy zwrócić również uwagę, iż nowe SCC zostały opublikowane 7.6.2021 r. Wynika z tego, iż zaczęły one obowiązywać już od 27.6.2021 r. Po tym okresie istnieje jeszcze możliwość wykorzystywania starych SCC w terminie 3 miesięcy, do nowych transferów danych osobowych (mowa tutaj o okresie przejściowym po publikacji). Kolejną ważną datą jest okres 15 miesięcy od uchylenia starych SCC, gdyż można jeszcze wtedy stosować je do umów, które zostały zawarte pod ich rządami, a warunki przekazywania danych się nie zmieniły oraz co do tego transferu zastosowane są odpowiednie zabezpieczenia, zgodnie z art. 46 RODO. Jeśli natomiast w tym okresie zajdzie potrzeba, by aneksować umowę i zmianie ulegną istotne jej postanowienia, to należy wtedy zastosować nowe SCC.  

Podsumowując należy zwrócić uwagę, iż przyjęte nowe SCC mają przejrzysty kształt i pozwalają na ich stosowanie w różnych konfiguracjach. Można założyć, iż będą one stanowiły łatwe narzędzie, które pozwoli na zachowanie wymogów prawnych wynikających z przepisów dotyczących prawa ochrony danych. Pozytywnie należy również ocenić SCC, które dotyczą powierzenia przetwarzania danych osobowych. Należy potraktować je jako standaryzację powierzania przetwarzania danych osobowych pomiędzy administratorem a procesorem na terenie Unii Europejskiej oraz jednolite realizowanie wymagań nałożonych na te podmioty.