LexDigital

Standardowe klauzule umowne (SCC), a umowa powierzenia przetwarzania danych osobowych

​Na początku września na stronach internetowych Komisji Europejskiej pojawił się komunikat ważny szczególnie dla tych z przedsiębiorców świadczących swoje usługi biznesowe dla Klientów spoza UE, którzy jednak ze względu na przedmiot swojej działalności podlegają zobowiązaniom prawnym RODO.

Standardowe klauzule umowne (SCC), a umowa powierzenia przetwarzania danych osobowych

Na 2. kwartał 2025 roku Komisja Europejska planuje przyjęcie nowego zestawu SCC. Konsultacje publiczne powinny odbyć się w 4. kwartale 2024 r. Projektowane SCC odnoszą się do konkretnego scenariusza, w którym importer danych znajduje się w państwie trzecim, ale podlega bezpośrednio RODO.

To już piąty zestaw standardowych klauzul umownych dotyczących przepływu danych osobowych w relacji państwa UE – kraje trzecie. Potrzebny i oczekiwany, bo ten model nie został jeszcze uwzględniony w istniejących już 4 zestawach SCC (C2C, C2P, P2P i P2C), które są wykorzystywane do przekazywania danych do importerów z państw trzecich, którzy nie podlegają RODO.

Co to jest SCC?

Standardowe klauzule umowne (ang. Standard Contractual Clauses, SCC) to zestaw klauzul prawnych opracowanych przez Komisję Europejską, które mają na celu ułatwienie zgodnego z prawem przepływu danych osobowych z obszaru Europejskiego Obszaru Gospodarczego (EOG) do krajów poza EOG, które nie oferują adekwatnego poziomu ochrony danych osobowych. Klauzule te są szczególnie istotne, gdy firma współpracuje z podmiotami w krajach takich jak USA, Indie, czy Chiny, gdzie ochrona danych osobowych może nie spełniać wymogów RODO.

RODO. Standardowe klauzule umowne (SCC), a umowa powierzenia przetwarzania danych osobowych
RODO. Standardowe klauzule umowne (SCC), a umowa powierzenia przetwarzania danych osobowych


SCC wydają się więc gotowymi wzorami umów, które mają na celu zapewnienie, że dane osobowe będą odpowiednio chronione, nawet jeśli są przekazywane do krajów trzecich. Dla firm stanowią one sposób na zapewnienie zgodności z wymogami RODO, bez konieczności uzyskiwania dodatkowej zgody od organów nadzorczych.

Gotowy wzór umowy? Może kilka zdań wyjaśnień. Obecnie administratorzy danych osobowych i podmioty przetwarzające mogą korzystać z różnych rodzajów standardowych klauzul umownych zaproponowanych przez Komisję Europejską w zależności od charakteru przekazywania danych.

  1. Przekazywanie danych od administratora w UE do administratora w kraju trzecim ("Controller to Controller" stąd skrót w powszechnym użyciu - C2C). Te klauzule są stosowane, gdy dane osobowe są przekazywane między dwiema firmami, gdy obie działają jako administratorzy danych osobowych.
  2. Przekazywanie danych od administratora w UE do podmiotu przetwarzającego w kraju trzecim ("Controller to Processor" czyli C2P). Są to klauzule wykorzystywane, gdy administrator danych w UE przekazuje dane osobowe do podmiotu przetwarzającego (np. dostawcy usług IT) w kraju trzecim.
  3. Przekazywanie danych od podmiotu przetwarzającego w UE do podmiotu przetwarzającego w kraju trzecim ("Processor to Processor" czyli P2P). Te klauzule są stosowane w sytuacjach, gdy jeden podmiot przetwarzający w UE przekazuje dane do innego podmiotu przetwarzającego poza UE.
  4. Przekazywanie danych od podmiotu przetwarzającego w UE do administratora w kraju trzecim ("Processor to Controller" czyli P2C). Te klauzule są stosowane, gdy podmiot przetwarzający w UE przekazuje dane do administratora w kraju trzecim.
Komisja Europejska planuje przyjęcie nowego zestawu SCC na 2 kwartał 2025 r.
Komisja Europejska planuje przyjęcie nowego zestawu SCC na 2 kwartał 2025 r.

Już widać, że brakowało właśnie zestawów SCC dla przepływu danych, gdy podmiot w UE, administrator danych osobowych, czy podmiot przetwarzający nie jest exporterem a importerem danych.

Czy SCC zastępują np. „na gotowo” umowę powierzenia przetwarzania danych wymaganą art. 28 RODO? Nie, standardowe klauzule umowne (SCC) nie zastępują umowy powierzenia przetwarzania danych-Data Processing Agreement (DPA) wymaganej na mocy art. 28 RODO, gdy w roli Administratora Danych powierzacie informacje osobowe w celu wykonania przedmiotu umowy podstawowej.

Wymagania ustawy o KSC oraz dyrektywy NIS2 a wdrożenie norm ISO 27001 oraz 22301

DPA a SCC - wyjaśnienie różnic

SCC a DPA - różnice
SCC a DPA - różnice

Jak SCC i DPA współdziałają ze sobą? 

Jeżeli przekazywanie danych do podmiotu przetwarzającego w kraju trzecim ma miejsce, potrzebne są oba dokumenty:

  1. Umowa powierzenia przetwarzania danych (DPA) na podstawie art. 28 RODO, która określa obowiązki i odpowiedzialność między administratorem a podmiotem przetwarzającym.
  2. Standardowe klauzule umowne (SCC), aby zapewnić zgodne z prawem przekazywanie danych do kraju trzeciego, gdzie poziom ochrony danych nie jest uznany za adekwatny.

Praktycznie zastosujemy SCC w połączeniu z DPA, aby spełnić wszystkie wymogi RODO dotyczące zarówno przekazywania danych do krajów trzecich, jak i regulowania relacji między administratorem a podmiotem przetwarzającym.

Dyrektywa NIS 2. Kluczowe branże dotknięte zmianą prawa

Oto przykład, jak można połączyć SCC z DPA zgodnie z art. 28 RODO w umowie:

  1. Strony umowy:
    1. administrator danych
    2. podmiot przetwarzający
  2. Przedmiot umowy
  3. Zakres przetwarzania:
    1. rodzaj przetwarzanych danych: opis kategorii danych osobowych, np. dane identyfikacyjne, dane kontaktowe
    2. kategoria osób, których dane dotyczą, np. klienci, pracownicy
    3. cel przetwarzania danych, np. świadczenie usług IT, marketing, analizy danych
    4. czas przetwarzania: dane będą przetwarzane przez czas np. trwania umowy lub inny określony czas].
  4. Obowiązki podmiotu przetwarzającego:
    1. przetwarzania danych wyłącznie na polecenie administratora danych;
    2. zastosowania odpowiednich środków technicznych i organizacyjnych, aby zapewnić odpowiedni poziom bezpieczeństwa danych (np. szyfrowanie, kontrola dostępu);
    3. wsparcia administratora w spełnianiu obowiązków wynikających z RODO, takich jak zgłaszanie naruszeń, odpowiadanie na żądania osób, których dane dotyczą;
    4. informowania administratora o przypadkach naruszenia ochrony danych.
  5. Podmioty dalszego przetwarzania – subprocesorzy – lista
  6. Przekazywanie danych do krajów trzecich – ze wskazaniem na zasady przepływu danych określone w SCC
  7. SCC właściwe dla relacji C2P, P2P i P2C – klauzule obowiązkowe SCC, uzupełnienie treści gdzie to jest wymagane, wybór z klauzul fakultatywnych. UWAGA. Nie modyfikujemy treści, po modyfikacji to już nie są SCC.
Jak połączyć SCC z DPA zgodnie z art. 28 RODO?
Jak połączyć SCC z DPA zgodnie z art. 28 RODO?

Szeroko omówiliśmy kwestie relacji C2P, P2P i P2C, bo tutaj pojawi się taki dodatkowy instrument prawny jak umowa powierzenia przetwarzania danych, ale w relacji C2C sytuacja jest prostsza, gdyż zapisy SCC odpowiednio uzupełnione, lecz niemodyfikowane dołączyć należy do umowy głównej w rozdziale poświęconym ochronie danych osobowych i przepływom danych lub w osobnym załączniku do umowy głownej np. w Data Transfer Agreement (DTA).

- - -

Teraz mam nadzieje sami możecie już ocenić wagę nowych SCC projektowanych przez Komisję Europejską.

Jak legalnie przetwarzać dane osobowe? Rozwiewamy wątpliwości

UWAGA!

Przed użyciem zapoznaj się z treścią ulotki dołączonej do opakowania bądź skonsultuj się z lekarzem lub farmaceutą, gdyż każdy lek niewłaściwie stosowany zagraża Twojemu życiu lub zdrowiu.

Parafrazując tę informację - dokumentacja powinna być dostosowana do specyficznych potrzeb każdej firmy, procesów przepływu danych. a w przypadku transferu poza UE, gdzie brak jest decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony danych w danym państwie trzecim czy sektorze w tym państwie trzecim, należy przeprowadzić również ocenę skutków transferu danych – Transfer Impact Assessment (TIA), której celem jest weryfikacja czy państwo trzecie (a dokładnie jego przepisy oraz praktyki), do którego mają być transferowane dane, nie wpływa negatywnie na ochronę danych.

Zaufajcie więc w przygotowaniu umowy specjalistom ds. ochrony danych osobowych, takim jak zespół LexDigital.


Outsourcing funkcji IOD. Przekaż nam pełnienie funkcji Inspektora Ochrony Danych Osobowych w swojej firmie!

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Baza newslettera LexDigital

Baza newslettera LexDigital

Zapraszamy do zapoznania się z archiwalnymi wydaniami newslettera LexDigital. W środku znajdą Państwo bezpłatne, pogłębione analizy naszych ekspertów.

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk