Standardowe klauzule umowne – łatwiejsze zawieranie umów powierzenia?

Dwie osoby zawierają umowę

Od 27 czerwca 2021 r. zacznie być stosowana decyzja wykonawcza Komisji Europejskiej z 4 czerwca 2021 r. w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi na podstawie art. 28 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 oraz art. 29 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 („Decyzja”).

Gdy mówimy o standardowych klauzulach umownych, mamy zazwyczaj w głowie instrument prawny, który pozwala na transfer danych osobowych poza EOG. Zarówno rozporządzenie 2016/679 („RODO”), jak i rozporządzenie 2018/1725 przewidują jednak również inny przypadek, gdy Komisja Europejska może określić standardowe klauzule umowne. Chodzi o przyjęcie wzorcowych postanowień dla powierzenia przez administratora przetwarzania danych osobowych procesorowi na terytorium EOG. Takie wzorcowe klauzule mogą zostać określone zarówno na poziomie krajowym, przez organ nadzorczy (tak jak miało to miejsce w Danii), jak i na poziomie UE – przez Komisję Europejską.

Na wstępie należy zwrócić uwagę na kilka ogólnych kwestii dotyczących standardowych klauzul umownych określonych w Decyzji:

  1. Jak wskazano powyżej, dotyczą one relacji pomiędzy administratorem a podmiotem przetwarzającym wyłącznie na terenie EOG. Oznacza to, że nie mogą być one wykorzystywane do powierzania przetwarzania danych osobowych w sytuacjach, gdy dochodzi do transferu danych do państwa trzeciego. W przypadkach powierzenia przetwarzania danych osobowych wiążącego się z transferem danych poza granice EOG, zastosowanie mają standardowe klauzule umowne określone na podstawie art. 46 ust. 2 lit. c) RODO.
  2. Standardowe klauzule umowne określone w Decyzji mogą być stosowane zarówno do przetwarzania danych osobowych na podstawie RODO, jak i przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii (na podstawie rozporządzenia 2018/1725).
  3. Nie ma obowiązku zawierania umów powierzenia przetwarzania danych osobowych z wykorzystaniem standardowych klauzul umownych przewidzianych w Decyzji. Administrator i procesor mogą zawrzeć umowę wynegocjowaną indywidualnie, byleby spełniała wymagania określone w przepisach RODO oraz rozporządzenia 2018/1725.
  4. Standardowe klauzule umowne mogą być stosowane w całości lub w części, a ponadto możliwe jest zamieszczenie w umowie pomiędzy administratorem a podmiotem przetwarzającym dodatkowych postanowień i zabezpieczeń. Nie mogą one jednak stać w sprzeczności ze standardowymi klauzulami umownymi ani naruszać podstawowych praw lub wolności osób, których dane dotyczą.

Znamy już ogólne zasady, więc czas przejść do szczegółów.

Czy standardowe klauzule umowne faktycznie stanowią ułatwienie w uregulowaniu stosunku powierzenia przetwarzania danych osobowych?

Decyzja zawiera wzorcowe postanowienia umowy powierzenia. Znajdują się w niej jednak pewne postanowienia opcjonalne i administrator musi sam dokonać wyboru jednego z nich. Ponadto, poza główną treścią, standardowe klauzule umowne przewidują załączniki, w których należy określić:

  • strony standardowych klauzul umownych,
  • kategorie osób, których dane dotyczą, przetwarzane dane wrażliwe (w stosownych przypadkach) oraz stosowane ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych i związane z nimi zagrożenia, charakter przetwarzania, cele przetwarzania danych w imieniu administratora, czas przetwarzania,
  • środki techniczne i organizacyjne, w tym środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych, jakie ma stosować podmiot przetwarzający, a wśród nich opis konkretnych środków technicznych i organizacyjnych, jakie powinien zastosować podmiot przetwarzający, aby móc udzielić pomocy administratorowi,
  • wykaz dalszych podmiotów przetwarzających.

Jak widać administrator musi więc samodzielnie określić wiele elementów w załącznikach do standardowych klauzul umownych lub wybrać jedną z opcji zawartą w części głównej klauzul. Nie jest więc tak, że wystarczy skopiować postanowienia zawarte w Decyzji i mamy gotową umowę powierzenia. Jest to jednak oczywiste, standardowe klauzule umowne, jak sama nazwa wskazuje, określają pewien standard. Poszczególne relacje pomiędzy administratorami a podmiotami przetwarzającymi oraz okoliczności powierzenia przetwarzania danych osobowych różnią się od siebie i wymagają indywidualnego dostosowania. W szczególności, jeśli administrator dokonuje powierzenia przetwarzania danych osobowych, które wymagają szczególnej ochrony ze względu na swoją treść (rodzaj), zakres (ilość danych) czy sposób przetwarzania (który może wiązać się z istotnym ryzykiem), standardowe klauzule umowne będą zapewne wymagały uzupełnienia, np. w zakresie odpowiedzialności podmiotu przetwarzającego czy zasad przeprowadzania audytów. Dla bardziej skomplikowanych i obarczonych wysokim, a nawet średnim ryzykiem, przypadków, standardowe klauzule same w sobie okażą się niewystarczające.

Z pewnością jednak określone w Decyzji standardowe klauzule są pomocną wskazówką do konstruowania umów powierzenia przetwarzania danych osobowych.

Czy standardowe klauzule umowne rozwiewają wszelkie wątpliwości, jakie pojawiały się dotychczas przy konstruowaniu umów powierzenia przetwarzania danych osobowych?

Spora część postanowień zawartych w klauzulach umownych stanowi po prostu przeniesienie treści postanowień RODO i rozporządzenia 2018/1725. Nie mamy tu do czynienia z jakimś znaczącym uszczegółowieniem i doprecyzowaniem przepisów. Są jednak oczywiście także standardowe postanowienia określone w Decyzji, które wnoszą więcej i stanowią realną wskazówkę przy sporządzaniu umów powierzenia przetwarzania danych osobowych. Wyróżniłabym w szczególności:

  • wyodrębnienie kwestii powierzenia przetwarzania danych szczególnych kategorii i wskazanie, że podmiot przetwarzający w takim wypadku ma stosować szczególne ograniczenia lub dodatkowe zabezpieczenia (kilka przykładów takich środków zostało wymienionych w Załączniku II Opis przetwarzania);
  • wskazanie, że środki techniczne i organizacyjne, jakie ma stosować podmiot przetwarzający, powinny zostać opisane szczegółowo, a nie w sposób ogólny, w załączniku III; dodatkowo w Załączniku III mają zostać wskazane także środki techniczne i organizacyjne, jakie powinien zastosować podmiot przetwarzający, aby móc udzielić pomocy administratorowi w wypełnianiu jego obowiązków;
  • doprecyzowanie, że podmiot przetwarzający w umowie z dalszym podmiotem przetwarzającym ma uzgodnić klauzulę dotyczącą beneficjenta będącego osobą trzecią (chodzi o administratora) – ma to zabezpieczać sytuację, w której podmiot przetwarzający przestanie istnieć. Klauzula ta ma umożliwić administratorowi bezpośrednio rozwiązanie umowy z dalszym podmiotem przetwarzającym i nakazanie mu usunięcia lub zwrotu danych osobowych;
  • wskazanie, w jakich przypadkach administrator, a w jakich podmiot przetwarzający, może rozwiązać umowę powierzenia przetwarzania danych osobowych.

Zamieszczenie klauzul w powyższym zakresie należy ocenić pozytywnie. Nie zostały jednak w Decyzji zaadresowane wszystkie kwestie, które – jak wynika z mojego doświadczenia – nadal są problematyczne przy konstruowaniu umów powierzenia. Chodzi w szczególności o możliwość limitowania audytów przeprowadzanych przez administratora u podmiotu przetwarzającego (np. ograniczanie do 1 audytu w roku w siedzibie procesora), ponoszenie kosztów audytu, czy przeprowadzanie audytu przez administratora u dalszego podmiotu przetwarzającego. O ile rozumiem, że standardowe klauzule umowne jednak nie są miejscem na określanie ewentualnych ograniczeń audytów czy ponoszenia ich kosztów (te kwestie, moim zdaniem, powinny być poruszane w wytycznych czy rekomendacjach organów nadzorczych), o tyle brakuje mi wyraźnych postanowień dotyczących trzeciej wskazanej kwestii. W standardowych klauzulach umownych zastrzeżono bowiem wspomniane wyżej prawo administratora do rozwiązania umowy z dalszym podmiotem przetwarzających, a kwestia przeprowadzania audytów u subprocesora nie została wprost uwzględniona, co w mojej ocenie stanowi istotny brak.

Czy zawierając indywidualnie wynegocjowaną umowę powierzenia przetwarzania danych osobowych należy stosować co najmniej taki poziom szczegółowości postanowień jak w standardowych klauzulach umownych?

Jak wskazano na początku, nie ma obowiązku stosowania standardowych klauzul umownych, możliwe jest zawarcie umowy indywidualnie wynegocjowanej między administratorem a procesorem. Niewątpliwie jednak organy nadzorcze będą w mojej ocenie brały pod uwagę treść Decyzji i pod jej kątem oceniały, czy relacja powierzenia przetwarzania danych osobowych została należycie uregulowana. W praktyce spotykam się bowiem np. z brakiem szczegółowego określenia, jakie środki techniczne i organizacyjne mają być stosowane przez podmiot przetwarzający. Zamiast załącznika wskazuje się w treści umowy, że procesor ma stosować – mówiąc w skrócie – adekwatne środki ochrony powierzonych danych osobowych. Moim zdaniem należy jednak wymieniać w umowie powierzenia (w załączniku) stosowane środki. Oczywiście ich opis nie musi być bardzo szczegółowy, powinien jednak pozwolić administratorowi na dokonanie oceny, czy środki te są odpowiednie.

Praktycznie nie spotykam się w umowach powierzenia z wyróżnianiem środków organizacyjnych i technicznych, jakie ma stosować procesor w celu wspierania administratora w celu wywiązania się z jego obowiązków. Ten element uważam akurat za bardzo przydatny dla podmiotu przetwarzającego. Moim zdaniem brak wyraźnego określenia takich środków nie spotkałby się z konsekwencjami ze strony organu nadzorczego, ale zdecydowanie warto taką sekcję zawrzeć w umowie powierzenia.

Uważam, że przy konstruowaniu umów powierzenia zdecydowanie należy brać pod uwagę standardowe klauzule umowne określone w Decyzji, gdyż wyznaczają one de facto wzór, do kutego administratorzy i podmioty przetwarzające powinni się stosować. Nawet jeśli więc umowa jest konstruowana indywidualnie, strony chcą inaczej sformułować poszczególne obowiązki, należy mieć na względzie kwestie wskazane w Decyzji.

adw. Agnieszka Rapcewicz