This document is an excerpt from the EUR-Lex website
Transferring Personal Data to non-EU countries: Standard Contractual Clauses
Przekazywanie danych osobowych do państw spoza UE: standardowe klauzule umowne
Przekazywanie danych osobowych do państw spoza UE: standardowe klauzule umowne
This summary has been archived and will not be updated, because the summarised document is no longer in force or does not reflect the current situation.
Określono w niej standardowe klauzule umowne, które mogą stosować administratorzy danych* (przekazujący dane) w UE, którzy przekazują dane osobowe* podmiotom przetwarzającym dane* (odbierającym dane) z siedzibą poza UE lub EOG, aby zapewnić odpowiednie zabezpieczenia w zakresie ochrony danych, a przez to zgodność z wymogami unijnych przepisów o ochronie danych (ogólnym rozporządzeniem o ochronie danych – rozporządzeniem (UE) 2016/679 – zob. streszczenie).
Standardowe klauzule umowne przedstawiono w załączniku do decyzji zgodnie z poniższym omówieniem. Standardowe klauzule umowne dotyczą jedynie ochrony danych i mogą być uwzględniane przez strony w umowach o szerszym zakresie lub uzupełniane innymi klauzulami lub dodatkowymi zabezpieczeniami, o ile te nie stoją bezpośrednio lub pośrednio w sprzeczności ze standardowymi klauzulami umownymi przyjętymi na podstawie niniejszej decyzji.
Klauzula 1: Definicje
Definicje kluczowych pojęć zastosowanych w standardowych klauzulach umownych.
Klauzula 2: Szczegóły dotyczące przekazywania danych
Strony w załączniku do klauzul umownych powinny określić szczegóły dotyczące przekazywania danych, w tym odpowiednie działania odbierających dane i przekazujących dane, kategorie przekazywanych danych osobowych oraz operacje przetwarzania, którym będą poddawane dane osobowe po przekazaniu.
Klauzula 3: Klauzula na rzecz osoby trzeciej
Klauzula umożliwia osobom, których dane dotyczą, żądanie wykonania klauzul względem przekazujących dane, odbierających dane lub ich podwykonawcy występującego w charakterze osoby trzeciej. Stanowi ona ponadto, że strony nie sprzeciwiają się reprezentowaniu osoby, której dane dotyczą, przez stowarzyszenie lub inny organ, jeżeli zezwala na to prawo krajowe.
Klauzula 4: Obowiązki podmiotu przekazującego dane
W tej klauzuli określono obowiązki podmiotu przekazującego dane, który zgadza się na podane warunki i gwarantuje, że:
Klauzula 5: Obowiązki podmiotu odbierającego dane
W tej klauzuli określono obowiązki podmiotu odbierającego dane, który zgadza się na podane warunki i gwarantuje, że:
Klauzula 6: Odpowiedzialność
Zgodnie z wymogami klauzul strony uzgadniają, że każda osoba, której dotyczą dane, a która poniosła szkodę w wyniku jakiegokolwiek naruszenia obowiązków, jest uprawniona do uzyskania odszkodowania za poniesioną szkodę od podmiotu przekazującego dane.
Klauzula 7: Mediacja i sąd właściwy
Podmiot odbierający dane musi zgodzić się na to, że jeżeli osoba, której dotyczą dane, powołuje się wobec niego na prawa osoby trzeciej, na rzecz której zawarto umowę lub występuje o odszkodowanie, przyjmie on decyzję osoby, której dane dotyczą, o przekazaniu sporu do mediacji prowadzonej przez niezależną osobę lub do sądów w państwie UE, w którym prowadzi działalność podmiot przekazujący dane (z prawem do domagania się środków zaradczych na podstawie innych przepisów krajowych lub międzynarodowych).
Klauzula 8: Współpraca z organami nadzorczymi
Klauzula ta reguluje współpracę z właściwym organem nadzorczym, stanowiąc, że:
Klauzula 9: Prawo właściwe
Klauzule podlegają prawu państwa UE, w którym podmiot przekazujący dane prowadzi działalność.
Klauzula 10: Zmiana umowy
Stronom nie wolno dokonywać zmian lub modyfikacji klauzul ani zapisów sprzecznych z nimi.
Klauzula 11: Podwykonawstwo przetwarzania danych
Postanowienia dotyczące podwykonawstwa przetwarzania danych podlegają prawu państwa UE, w którym podmiot przekazujący dane prowadzi działalność.
Klauzula 12: Obowiązki po zakończeniu usług przetwarzania danych osobowych
Klauzula reguluje obowiązki stron po zakończeniu usług przetwarzania danych osobowych. W szczególności strony powinny uzgodnić, że wraz z zakończeniem świadczenia usług przetwarzania danych podmiot odbierający dane i podwykonawca przetwarzania muszą zwrócić podmiotowi przekazującemu dane wszystkie przekazane dane osobowe (lub na żądanie – zniszczyć je), chyba że uniemożliwiają to przepisy prawa.
Decyzja obowiązuje od 15 maja 2010 r.
2010/87/UE: Decyzja Komisji z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE (Dz.U. L 39 z 12.2.2010, s. 5–18)
Późniejsze zmiany decyzji 2010/87/UE uwzględniono w tekście pierwotnym. Tekst skonsolidowany ma jedynie wartość dokumentacyjną.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1–88)
Zob. wersja skonsolidowana.
2004/915/WE: Decyzja Komisji z dnia 27 grudnia 2004 r. zmieniająca decyzję 2001/497/EC w zakresie wprowadzenia alternatywnego zestawu standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich (Dz.U. L 385 z 29.12.2004, s. 74–84)
2001/497/WE: Decyzja Komisji z dnia 15 czerwca 2001 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE (Dz.U. L 181 z 4.7.2001, s. 19–31)
Zob. wersja skonsolidowana.
Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281 z 23.11.1995, s. 31–50)
Zob. wersja skonsolidowana.
Ostatnia aktualizacja: 07.10.2020