Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Przekazywanie danych osobowych do państw spoza UE: standardowe klauzule umowne

Legal status of the document This summary has been archived and will not be updated, because the summarised document is no longer in force or does not reflect the current situation.

Przekazywanie danych osobowych do państw spoza UE: standardowe klauzule umowne

 

STRESZCZENIE:

2010/87/UE: Decyzja Komisji w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE

JAKI JEST CEL DECYZJI?

Określono w niej standardowe klauzule umowne, które mogą stosować administratorzy danych* (przekazujący dane) w UE, którzy przekazują dane osobowe* podmiotom przetwarzającym dane* (odbierającym dane) z siedzibą poza UE lub EOG, aby zapewnić odpowiednie zabezpieczenia w zakresie ochrony danych, a przez to zgodność z wymogami unijnych przepisów o ochronie danych (ogólnym rozporządzeniem o ochronie danych – rozporządzeniem (UE) 2016/679 – zob. streszczenie).

KLUCZOWE ZAGADNIENIA

Standardowe klauzule umowne przedstawiono w załączniku do decyzji zgodnie z poniższym omówieniem. Standardowe klauzule umowne dotyczą jedynie ochrony danych i mogą być uwzględniane przez strony w umowach o szerszym zakresie lub uzupełniane innymi klauzulami lub dodatkowymi zabezpieczeniami, o ile te nie stoją bezpośrednio lub pośrednio w sprzeczności ze standardowymi klauzulami umownymi przyjętymi na podstawie niniejszej decyzji.

Klauzula 1: Definicje

Definicje kluczowych pojęć zastosowanych w standardowych klauzulach umownych.

Klauzula 2: Szczegóły dotyczące przekazywania danych

Strony w załączniku do klauzul umownych powinny określić szczegóły dotyczące przekazywania danych, w tym odpowiednie działania odbierających dane i przekazujących dane, kategorie przekazywanych danych osobowych oraz operacje przetwarzania, którym będą poddawane dane osobowe po przekazaniu.

Klauzula 3: Klauzula na rzecz osoby trzeciej

Klauzula umożliwia osobom, których dane dotyczą, żądanie wykonania klauzul względem przekazujących dane, odbierających dane lub ich podwykonawcy występującego w charakterze osoby trzeciej. Stanowi ona ponadto, że strony nie sprzeciwiają się reprezentowaniu osoby, której dane dotyczą, przez stowarzyszenie lub inny organ, jeżeli zezwala na to prawo krajowe.

Klauzula 4: Obowiązki podmiotu przekazującego dane

W tej klauzuli określono obowiązki podmiotu przekazującego dane, który zgadza się na podane warunki i gwarantuje, że:

  • przetwarzanie danych osobowych będzie odbywać się wyłącznie zgodnie z prawem o ochronie danych;
  • nakaże podmiotowi odbierającemu dane przetwarzanie danych osobowych wyłącznie w imieniu podmiotu przekazującego dane oraz zgodnie z prawem o ochronie danych i klauzulami;
  • zapewni wystarczające gwarancje w odniesieniu do technicznych i organizacyjnych środków bezpieczeństwa (i przestrzega ich), aby chronić dane osobowe przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą, zmianą, nieupoważnionym ujawnieniem lub dostępem, w szczególności jeżeli przetwarzanie obejmuje przekazywanie danych za pomocą sieci;
  • poinformuje osobę, której dane dotyczą, jeżeli przekazanie może obejmować przekazanie szczególnych kategorii danych do państwa trzeciego, które nie zapewnia odpowiedniej ochrony;
  • prześle do organu nadzorczego ds. ochrony danych wszelkie zawiadomienia otrzymane od podmiotu odbierającego dane informujące o braku możliwości przestrzegania przez ten podmiot klauzul, jeżeli zdecyduje się kontynuować przekazywanie danych;
  • na żądanie udostępni osobie, której dotyczą dane, kopię klauzul oraz skrócony opis środków bezpieczeństwa;
  • w przypadku podwykonawstwa przetwarzania danych podwykonawca przetwarzania musi zapewnić co najmniej ten sam poziom ochrony danych osobowych co podmiot odbierający dane.

Klauzula 5: Obowiązki podmiotu odbierającego dane

W tej klauzuli określono obowiązki podmiotu odbierającego dane, który zgadza się na podane warunki i gwarantuje, że:

  • będzie przetwarzał dane osobowe wyłącznie w imieniu podmiotu przekazującego dane i zgodnie z jego instrukcjami oraz klauzulami;
  • nie ma powodu, by sądzić, że prawodawstwo mające do niego zastosowanie uniemożliwia mu wypełnianie instrukcji otrzymanych od podmiotu przekazującego dane i jego obowiązków wynikających z umowy;
  • niezwłocznie zawiadomi o zmianie prawodawstwa, która może mieć istotne negatywne skutki dla gwarancji i obowiązków określonych w klauzulach, w którym to przypadku podmiot przekazujący dane jest uprawniony do zawieszenia przekazywania danych lub rozwiązania umowy;
  • wdroży techniczne i organizacyjne środki bezpieczeństwa przed przetwarzaniem przekazanych danych osobowych;
  • niezwłocznie powiadomi podmiot przekazujący dane o jakichkolwiek prawnie wiążących wnioskach o ujawnienie danych osobowych ze strony organów ścigania, jakimkolwiek przypadkowym lub nieupoważnionym dostępie i jakimkolwiek żądaniu otrzymanym bezpośrednio od osób, których dotyczą dane, bez udzielenia odpowiedzi na to żądanie, chyba że został on w inny sposób upoważniony do takiego postępowania;
  • niezwłocznie zajmie się wszystkimi zapytaniami ze strony podmiotu przekazującego dane oraz zastosuje się do zaleceń organów nadzorczych;
  • na żądanie podmiotu przekazującego dane przedstawi swoje urządzenia do przetwarzania danych w celu kontroli działalności związanej z przetwarzaniem danych objętej klauzulami;
  • na żądanie udostępni osobie, której dane dotyczą, kopię klauzul wraz ze skróconym opisem środków bezpieczeństwa;
  • powierzy podwykonawstwo przetwarzania danych wyłącznie za uprzednią pisemną zgodą podmiotu przekazującego dane.

Klauzula 6: Odpowiedzialność

Zgodnie z wymogami klauzul strony uzgadniają, że każda osoba, której dotyczą dane, a która poniosła szkodę w wyniku jakiegokolwiek naruszenia obowiązków, jest uprawniona do uzyskania odszkodowania za poniesioną szkodę od podmiotu przekazującego dane.

Klauzula 7: Mediacja i sąd właściwy

Podmiot odbierający dane musi zgodzić się na to, że jeżeli osoba, której dotyczą dane, powołuje się wobec niego na prawa osoby trzeciej, na rzecz której zawarto umowę lub występuje o odszkodowanie, przyjmie on decyzję osoby, której dane dotyczą, o przekazaniu sporu do mediacji prowadzonej przez niezależną osobę lub do sądów w państwie UE, w którym prowadzi działalność podmiot przekazujący dane (z prawem do domagania się środków zaradczych na podstawie innych przepisów krajowych lub międzynarodowych).

Klauzula 8: Współpraca z organami nadzorczymi

Klauzula ta reguluje współpracę z właściwym organem nadzorczym, stanowiąc, że:

  • organ nadzorczy ma prawo do przeprowadzenia kontroli podmiotu odbierającego dane i jakiegokolwiek podwykonawcy przetwarzania;
  • podmiot odbierający dane zgadza się poinformować podmiot przekazujący dane o istnieniu przepisów, które uniemożliwiałyby przeprowadzenie kontroli u podmiotu odbierającego dane. W takim przypadku podmiot przekazujący dane jest uprawniony do zawieszenia przekazywania danych lub rozwiązania umowy.

Klauzula 9: Prawo właściwe

Klauzule podlegają prawu państwa UE, w którym podmiot przekazujący dane prowadzi działalność.

Klauzula 10: Zmiana umowy

Stronom nie wolno dokonywać zmian lub modyfikacji klauzul ani zapisów sprzecznych z nimi.

Klauzula 11: Podwykonawstwo przetwarzania danych

Postanowienia dotyczące podwykonawstwa przetwarzania danych podlegają prawu państwa UE, w którym podmiot przekazujący dane prowadzi działalność.

Klauzula 12: Obowiązki po zakończeniu usług przetwarzania danych osobowych

Klauzula reguluje obowiązki stron po zakończeniu usług przetwarzania danych osobowych. W szczególności strony powinny uzgodnić, że wraz z zakończeniem świadczenia usług przetwarzania danych podmiot odbierający dane i podwykonawca przetwarzania muszą zwrócić podmiotowi przekazującemu dane wszystkie przekazane dane osobowe (lub na żądanie – zniszczyć je), chyba że uniemożliwiają to przepisy prawa.

OD KIEDY DECYZJA MA ZASTOSOWANIE?

Decyzja obowiązuje od 15 maja 2010 r.

KONTEKST

KLUCZOWE POJĘCIA

Administrator danych: osoba fizyczna lub prawna, organ publiczny, agencja lub inny organ, który określa cele i sposoby przetwarzania danych.
Dane osobowe: wszelkie informacje dotyczące osoby (której dane dotyczą), którą można bezpośrednio lub pośrednio zidentyfikować na podstawie imienia i nazwiska, numeru identyfikacyjnego, danych o lokalizacji, identyfikatora internetowego lub czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość tej osoby.
Podmiot przetwarzający dane: osoba fizyczna lub prawna, organ publiczny, agencja lub inny organ, który przetwarza dane osobowe w imieniu administratora.

GŁÓWNY DOKUMENT

2010/87/UE: Decyzja Komisji z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE (Dz.U. L 39 z 12.2.2010, s. 5–18)

Późniejsze zmiany decyzji 2010/87/UE uwzględniono w tekście pierwotnym. Tekst skonsolidowany ma jedynie wartość dokumentacyjną.

DOKUMENTY POWIĄZANE

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1–88)

Zob. wersja skonsolidowana.

2004/915/WE: Decyzja Komisji z dnia 27 grudnia 2004 r. zmieniająca decyzję 2001/497/EC w zakresie wprowadzenia alternatywnego zestawu standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich (Dz.U. L 385 z 29.12.2004, s. 74–84)

2001/497/WE: Decyzja Komisji z dnia 15 czerwca 2001 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE (Dz.U. L 181 z 4.7.2001, s. 19–31)

Zob. wersja skonsolidowana.

Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281 z 23.11.1995, s. 31–50)

Zob. wersja skonsolidowana.

Ostatnia aktualizacja: 07.10.2020

Top