Przyjęta w dniu 5 marca 2009 r.



Podobne dokumenty
Opinia 17/2018. w sprawie projektu wykazu sporządzonego przez właściwy polski organ nadzorczy. dotyczącego

Opinia 3/2018. w sprawie projektu wykazu sporządzonego przez właściwy bułgarski organ nadzorczy. dotyczącego

przyjęta 4 grudnia 2018 r. Tekst przyjęty

Opinia 4/2018. w sprawie projektu wykazu sporządzonego przez właściwy czeski organ nadzorczy. dotyczącego

Opinia 9/2018. w sprawie projektu wykazu sporządzonego przez właściwy francuski organ nadzorczy. dotyczącego

Opinia 12/2018. dotyczącego. rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych (art. 35 ust.

przyjęta 4 grudnia 2018 r. Tekst przyjęty

Opinia 5/2018. w sprawie projektu wykazu sporządzonego przez właściwe niemieckie organy nadzorcze. dotyczącego

Opinia 18/2018. w sprawie projektu wykazu sporządzonego przez właściwy portugalski organ nadzorczy. dotyczącego

Wniosek DECYZJA RADY

ZAŁĄCZNIK SPROSTOWANIE

przyjęta 12 marca 2019 r. Tekst przyjęty 1

Grupa robocza art. 29

ZASADY PRZEKAZYWANIA DANYCH OSOBOWYCH DO PAŃSTW TRZECICH. Wstęp

Umowa powierzenia przetwarzania danych osobowych nr...

Rada Unii Europejskiej Bruksela, 18 sierpnia 2016 r. (OR. en)

Umowa powierzenia przetwarzania danych osobowych do Umowy... zawarta w dniu... w..., pomiędzy:

Przykład klauzul umownych dotyczących powierzenia przetwarzania

DECYZJE. (Tekst mający znaczenie dla EOG)

Wniosek DECYZJA RADY

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) / z dnia r.

Krajowa Konferencja Ochrony Danych Osobowych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

(Tekst mający znaczenie dla EOG)

Dziennik Urzędowy Unii Europejskiej L 39/5

Umowa powierzenia przetwarzania danych osobowych. zwana dalej Umową, zawarta w Warszawie w dniu.., pomiędzy:

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) / z dnia r.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

Rada Unii Europejskiej Bruksela, 21 lutego 2017 r. (OR. en)

POLITYKA PRYWATNOŚCI RODO KLAUZULA INFORMACYJNA. Ochrona danych osobowych oraz prywatności jest dla nas ważna i stanowi jeden z

(Tekst mający znaczenie dla EOG)

DECYZJA WYKONAWCZA KOMISJI (UE) / z dnia r.

Przyjęta w dniu 23 stycznia 2019 r.

Wniosek DECYZJA RADY

Umowa powierzenia przetwarzania danych osobowych,

Wniosek DECYZJA RADY

Wpływ nowych regulacji prawnych na dopuszczalność outsourcingu procesów biznesowych.

(Tekst mający znaczenie dla EOG)

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) / z dnia r.

9664/19 mb/mi/mf 1 JAI.2

KOMISJA EUROPEJSKA DYREKCJA GENERALNA DS. STABILNOŚCI FINANSOWEJ, USŁUG FINANSOWYCH I UNII RYNKÓW KAPITAŁOWYCH

Wniosek DECYZJA RADY

Dziennik Urzędowy Unii Europejskiej L 112 I. Legislacja. Akty o charakterze nieustawodawczym. Rocznik kwietnia 2019.

Ochrona danych osobowych

Od 1 stycznia 2015 r. zaczęły obowiązywać znowelizowane przepisy ustawy o ochronie danych osobowych

Klauzula informacyjna RODO

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) / z dnia r.

Załącznik Nr 4b Umowa powierzenia przetwarzania danych osobowych stanowiąca uzupełnienie Umowy Nr..

KOMISJA WSPÓLNOT EUROPEJSKICH. Wniosek DECYZJA RADY

Wniosek DECYZJA RADY

Wniosek DECYZJA RADY

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. Niniejsza umowa została zawarta w Kluczborku w dniu. r. roku przez:

Wniosek DECYZJA RADY

(Tekst mający znaczenie dla EOG)

Przygotowania do wystąpienia mają znaczenie nie tylko dla UE i władz krajowych, lecz również dla podmiotów prywatnych.

ZAŁĄCZNIK. Przeciwdziałanie skutkom wystąpienia Zjednoczonego Królestwa z Unii bez umowy: skoordynowane podejście Unii

9452/16 mo/mb/mak 1 DG G 2B

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) / z dnia r.

- WZÓR UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. Umowa Powierzenia Przetwarzania Danych Osobowych

Radom, 13 kwietnia 2018r.

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) / z dnia r.

zwana dalej Administratorem

DECYZJE. (Jedynie tekst w języku niemieckim jest autentyczny) (Tekst mający znaczenie dla EOG)

10579/1/15 REV 1 ADD 1 pas/kal 1 DPG

Załącznik Nr 4 do Umowy nr.

DECYZJA WYKONAWCZA KOMISJI z dnia 1 marca 2012 r. w sprawie przywozu nasienia trzody chlewnej do Unii (notyfikowana jako dokument nr C(2012) 1148)

Wniosek DECYZJA RADY

Wniosek DECYZJA RADY

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE)

PARLAMENT EUROPEJSKI

Rada Unii Europejskiej Bruksela, 17 lutego 2017 r. (OR. en)

Opracował Zatwierdził Opis nowelizacji

Załącznik nr 4 POLITYKA OCHRONY PRYWATNOŚCI. Artykuł 1. Zasada ochrony prywatności

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH ORAZ POUFNOŚCI INFORMACJI

Wniosek ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY

Polityka Prywatności Przetwarzania Danych Osobowych Kandydatów REKRUTACJA ZA POŚREDNICTWEM PORTALU

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

Wszystkie poniższe numery artykułów dotyczą ustawy o ochronie danych osobowych.

ZASADY POWIERZANIA DANYCH OSOBOWYCH FIRMY ELEKTROMONTAŻ RZESZÓW S.A. z dnia 25 maja 2018r.

Wniosek ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY

Wytyczne Współpraca między organami zgodnie z art. 17 i 23 rozporządzenia (UE) nr 909/2014

KOMISJA WSPÓLNOT EUROPEJSKICH. Zmieniony wniosek DYREKTYWA RADY. w sprawie zwierząt hodowlanych czystorasowych z gatunku bydła (wersja ujednolicona)

Wniosek DECYZJA PARLAMENTU EUROPEJSKIEGO I RADY

Umowa powierzenia przetwarzania danych osobowych

Wspólny wniosek DECYZJA RADY

RADA UNII EUROPEJSKIEJ. Bruksela, 13 maja 2014 r. (OR. fr) 8585/14. Międzyinstytucjonalny numer referencyjny: 2014/0115 (NLE) PECHE 186

Dziennik Urzędowy Unii Europejskiej

Wytyczne w sprawie. rozpatrywania skarg przez zakłady. ubezpieczeń

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

KOMISJA WSPÓLNOT EUROPEJSKICH. Wniosek ROZPORZĄDZENIE RADY

Wniosek DECYZJA RADY

Wniosek DECYZJA RADY. w sprawie zawarcia Umowy między Unią Europejską a Republiką Vanuatu dotyczącej zniesienia wiz krótkoterminowych

Informacja o przetwarzaniu danych osobowych (Artykuł 13 i 14 RODO)

Wniosek DECYZJA RADY

Wspólny wniosek DECYZJA RADY

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) / z dnia r.

Zalecenie DECYZJA RADY

Wniosek DECYZJA RADY

OŚWIADCZENIE O OCHRONIE PRYWATNOŚCI

Transkrypt:

GRUPA ROBOCZA ART. 29 00566/09/PL WP 161 Opinia 3/2009 na temat projektu decyzji Komisji w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich, na mocy dyrektywy 95/46/WE (administrator danych do podmiotu przetwarzającego dane) Przyjęta w dniu 5 marca 2009 r. Grupa robocza została ustanowiona na mocy art. 29 dyrektywy 95/46/WE. Jest ona niezależnym europejskim organem doradczym w zakresie ochrony danych i prywatności. Zadania grupy określa art. 30 dyrektywy 95/46/WE i art. 15 dyrektywy 2002/58/WE. Obsługę sekretariatu zapewnia Dyrekcja C (Sądownictwo Cywilne, Prawa i Obywatelstwo) Dyrekcji Generalnej ds. Sprawiedliwości, Wolności i Bezpieczeństwa Komisji Europejskiej, B-1049 Bruksela, Belgia, Biuro nr LX-46 01/06. Strona internetowa: http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm

GRUPA ROBOCZA DS. OCHRONY OSÓB FIZYCZNYCH W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH powołana na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. 1, uwzględniając art. 29 i 30 ust. 1 lit. a) i ust. 3 tej dyrektywy, uwzględniając swój regulamin wewnętrzny, w szczególności jego art. 12 i 14, I. Wstęp przyjmuje niniejszą opinię: Przez wiele lat przedsiębiorstwa i organy ochrony danych pracowały ze standardowymi klauzulami umownymi dotyczącymi przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich, na mocy dyrektywy 95/46 (decyzja 2002/16/WE dotycząca przekazywania danych przez administratora danych do podmiotu przetwarzającego dane 2002/16/WE) zatwierdzonymi przez Komisję Europejską w dniu 27 grudnia 2001 r. 2 Chociaż standardowe klauzule umowne z decyzji 2002/16/WE zapewniają solidną podstawę dla przekazywania danych osobowych, potrzeba aktualizacji tych klauzul zwiększała się z roku na rok. Głównym powodem rozważenia aktualizacji standardowych klauzul umownych 2002/16/WE jest, prosto rzecz ujmując, pojawienie się zjawiska tzw. globalnego outsourcingu. Coraz więcej firm nie tylko przekazuje swoje dane podmiotowi przetwarzającemu dane, lecz również podmiotom wtórnie przetwarzającym dane, a czasami przekazuje nawet dalszym podmiotom dokonującym jeszcze dalszego ich przetworzenia, dlatego też standardowe klauzule umowne zawarte w decyzji 2002/16/WE nie stanowią środków pozwalających radzić sobie z tym skomplikowanym wtórnym przekazywaniem danych. Komisja Europejska uważa więc, że należy koniecznie zmodyfikować standardowe klauzule umowne z decyzji 2002/16/WE, by stworzyć nowe zapisy umowne lepiej przystosowane do treści aktualnie zawieranych umów biznesowych, przyjmując nową decyzję opartą na art. 26 ust. 4 dyrektywy 95/46/WE. II. Uwagi na temat projektu decyzji Komisji 1. Główne kwestie 1.1. Podwykonawstwo podmiotów przetwarzających dane posiadających siedzibę we Wspólnocie a podwykonawstwo podmiotów przetwarzających dane z siedzibą poza Wspólnotą Grupa robocza pragnie przedstawić kilka uwag dotyczących międzynarodowego, wtórnego przetwarzania danych poza EOG przez podmioty przetwarzające dane mające siedzibę w Unii 1 2 Dz.U. L 281 z 23.11.1995, s. 31, informacje dostępne również pod adresem: http://eur-lex.europa.eu/lexuriserv/lexuriserv.do?uri=celex:31995l0046:pl:html Dz. U. L 6 z 10.1.2002, s. 52. Zob. opinię grupy roboczej nr 7/2001, WP 47, dostępną również pod adresem: http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2001/wp47en.pdf 2

Europejskiej/EOG, to znaczy sytuacji nieprzewidzianej w projekcie decyzji Komisji, a która staje się z dnia na dzień coraz częstszą praktyką. Grupa robocza jest świadoma, że jeżeli chodzi o system autoryzacji przewidziany w art. 26 ust. 2 dyrektywy przyjęcie projektu decyzji Komisji wprowadzi istotną swobodę działania w zakresie świadczenia usług przetwarzania. Jednak ta swoboda nie będzie w równym stopniu dotyczyła różnych graczy na coraz bardziej globalnym rynku. Co więcej projekt decyzji Komisji pozwoliłby przetwarzającemu dane mającemu siedzibę w kraju trzecim na dalsze przekazywanie danych dla celów wtórnego przetwarzania danych jedynie w przypadku otrzymania zezwolenia od administratora, podczas gdy podmioty przetwarzające dane mające siedzibę w UE/EOG, które chciałaby zlecić podwykonawstwo części swojej działalności związanej z przetwarzaniem danych podmiotowi wtórnie przetwarzającemu dane w państwie trzecim powinny korzystać z obowiązującego systemu prawnego. Ta sytuacja może stworzyć niekorzystne warunki konkurencyjne dla przedsiębiorstw europejskich, które jako usługodawcy w celu dokonania takiego samego przetwarzania danych zmuszone by były do wzięcia na siebie większych obciążeń administracyjnych niż ich odpowiednicy w krajach trzecich. Grupa robocza nie może zapomnieć jednak o różnym charakterze prawnym przekazywania danych w skali wspólnotowej i międzynarodowej. Znalazło to wyraz w dyrektywie, która reguluje te kwestie w dwóch różnych jednostkach redakcyjnych. Grupa robocza widzi zatem konieczność znalezienia rozwiązania prawnego, które, nie powodując niepotrzebnych nierówności na rynku, pozwoliłoby na międzynarodowe zlecanie wtórnego przetwarzania danych przez podmioty przetwarzające dane mające siedzibę w UE/EOG. W tym kontekście grupa robocza wzywa Komisję do szybkiego wypracowania nowego, odrębnego i szczególnego instrumentu prawnego, który pozwoli na międzynarodowe przekazywanie przez podmioty przetwarzające mające siedzibę w Unii danych do wtórnego przetwarzania podmiotom mającym siedzibę w krajach trzecich. Taki instrument mógłby na przykład przyjąć postać nowych standardowych klauzul umownych, dzięki którym administrator danych i podmiot przetwarzający dane mający siedzibę w UE/EOG mogliby dokonywać transgranicznych transferów danych do wtórnego przetwarzania zgodnie z koniecznymi i odpowiednimi gwarancjami takiego przekazywania danych. Zdając sobie sprawę, że sporządzenie proponowanego instrumentu może wymagać odpowiedniego czasu, grupa robocza uważa, że z powodu braku szczególnego wspólnotowego instrumentu prawnego transgraniczne podzlecanie usług związanych z przetwarzaniem danych przez podmioty przetwarzające dane mające siedzibę w UE/EOG wymaga reakcji ze strony krajowych organów nadzoru. Dlatego też, bez uszczerbku dla wynikających z prawa krajowego praw i obowiązków krajowych organów nadzoru dotyczących wydawania zezwoleń przewidzianych w art. 26 ust. 2 dyrektywy, grupa robocza zachęca krajowe organy nadzoru, aby uznawały za odpowiednie gwarancje w zakresie umów dotyczących międzynarodowego zlecenia zadań związanych z wtórnym przetwarzaniem zawartych przez administratora danych i podmiot przetwarzający dane mających siedzibę w UE/EOG, w drodze analogii, te same zasady i zabezpieczenia, które zawarte są w tych standardowych klauzulach umownych. Oznacza to, że umowy zawierane pomiędzy administratorem danych mającym siedzibę w UE/EOG i podmiotem przetwarzającym dane mającym siedzibę w UE/EOG, w których administrator zezwala na przekazanie danych podmiotowi wtórnie przetwarzającemu takie dane mającemu siedzibę poza UE/EOG, powinny być postrzegane przez narodowe organy ochrony danych jako umowy zapewniające odpowiednią ochronę praw podmiotów, których dotyczą dane, których dane są przekazywane, 3

jeśli poprzez analogię zastosuje się do nich te same zasady i zabezpieczenia, które zawarte są w standardowych klauzulach umownych z decyzji 2002/16/WE. Takie rozwiązanie byłoby podobne do systemu przewidzianego projektem decyzji wobec podmiotów przetwarzających dane mających siedzibę poza UE. W tym kontekście grupa robocza zachęca Komisję, by rozważyła możliwość włączenia do decyzji Komisji o przyjęciu standardowych klauzul umownych zapisów wyjaśniających tę kwestię, na przykład włączenia do decyzji Komisji konkretnych motywów, które wyraźnie zapewniałyby krajom członkowskim możliwość autoryzacji międzynarodowego przekazywania danych opartego na standardowych klauzulach umownych załączonych do decyzji Komisji podmiotom wtórnie przetwarzającym dane mającym siedzibę poza UE/EOG w szczególnej sytuacji, w której zarówno administrator jak i przetwarzający dane mają siedzibę w UE/EOG. Zapisy te powinny zawierać zalecenie, by zezwolenia na taki typ outsourcingu udzielane były w ramach systemu autoryzacji identycznego z tym, jaki przewidziano w stosunku do podmiotów przetwarzających dane mających swą siedzibę poza UE/EOG. 1.2. Wielopoziomowe podwykonawstwo Grupa robocza zdaje sobie sprawę z potrzeby dostosowania standardowych klauzul umownych do nowego ponadnarodowego wymiaru przetwarzania danych osobowych w szczególności wziąwszy pod uwagę powszechną praktykę wtórnego przetwarzania określonych operacji przetwarzania. W związku z powyższym grupa robocza odnotowuje włączenie do standardowych klauzul umownych klauzuli dotyczącej zlecenia podwykonawstwa administrator danych do podmiotu przetwarzającego dane, przy czym klauzula ta opracowywana jest zgodnie ze schematem zawartym w dokumencie wspomnianym w klauzuli nr 11 (tj. w formie umowy na piśmie pomiędzy odbierającym dane a podwykonawcą opartej na wcześniejszej pisemnej zgodzie przekazującego dane i zgodnej z modelem wynikającym ze standardowych klauzul umownych administrator danych do podmiotu przetwarzającego dane ). Podzlecanie zadań związanych z operacjami przetwarzania polega głównie na wyznaczaniu podmiotów mających siedzibę w krajach trzecich jako przetwarzających dane; kraje trzecie, o których mowa, często nie zapewniają odpowiednich gwarancji, a przetwarzane dane mogą być przedmiotem procedur wynikających z przepisów lokalnych. Jednocześnie grupa robocza wzywa Komisję do przeprowadzenia dokładnej oceny zasadności zezwolenia podmiotowi wtórnie przetwarzającemu dane na zawarcie następnych umów o wtórnym przetwarzaniu danych z kolejnymi osobami trzecimi; w szczególności, gdy przetwarza się dane szczególnie chronione lub w przypadku operacji przetwarzania związanych ze szczególnym ryzykiem dla podmiotów, których dotyczą dane (tj. danych biometrycznych, danych genetycznych, danych sądowych, danych finansowych, danych dotyczących dzieci i profilowania). Może to faktycznie prowadzić do powstawania długiego łańcucha podmiotów wtórnie przetwarzających dane, które mogą działać niezależnie od instrukcji administratora danych. Poza tym trudno jest śledzić różne podmioty wtórnie przetwarzające dane, szczególnie jeśli pragnie się ustalić zakres zadań i obowiązków powierzanych poszczególnym podmiotom. 4

W dokumencie roboczym dotyczącym wstępnych opinii na temat stosowania przepisów umownych w kontekście przekazywania danych osobowych do krajów trzecich grupa robocza podkreśliła, że wtórne przekazywanie danych do organów lub organizacji niezwiązanych umową powinno być wyraźnie wyłączone umową, chyba że istnieje możliwość związania umową takich osób trzecich, by stosowały się do tych samych zasad ochrony danych. Taki jest cel projektu decyzji Komisji. 3 Grupa robocza w pełni zaznajomiła się z obecną strukturą organizacyjną rynków światowych, gdzie rozbudowane łańcuchy podmiotów wtórnie przetwarzających dane są integralną częścią międzynarodowej struktury branżowej. Biorąc pod uwagę ten kontekst system standardowych klauzul umownych przewidujący jeden poziom wtórnego przetwarzania danych (od odbierającego dane do jednego podmiotu wtórnie przetwarzającego dane) jest niedostosowany do obecnej sytuacji w branży. Grupa robocza postanowiła zatem zaakceptować wprowadzenie wielopoziomowej klauzuli wtórnego przetwarzania danych, pod warunkiem zastosowania odpowiednich środków ochronnych, które pozwolą na ochronę podmiotów danych w świetle wyżej wspomnianych rodzajów ryzyka. Stosowanie klauzuli umownych do wszystkich poszczególnych poziomów operacji wtórnego przetwarzania danych pozwoli na większą spójność w branży, ponieważ wszystkie umowy dotyczące podzlecenia operacji przetwarzania danych podlegać będą takim samym klauzulom i zapisom. Ponadto uprości to obecną sytuację zwiększając pewność prawną tam, gdzie nie jest jasne czy w sytuacji, kiedy odbierający dane podzlecają przetwarzanie danych innym podmiotom wtórnie przetwarzającym dane, potrzebują oni wcześniejszej zgody na piśmie od administratora danych oraz czy stosują zobowiązania umowne, które zapewnią taki sam stopień ochrony jak ten przewidziany w klauzulach umownych. Podążając tym tokiem myślenia należałoby traktować wielopoziomowe klauzule o wtórnym przetwarzaniu danych jako legalne, jeśli decyzja o podzleceniu przetwarzania danych dalszym podmiotom wtórnie przetwarzającym dane jest zgodna z dokładną oceną konkretnych wymogów i cech operacji przetwarzania danych, które uzasadniają taką decyzję. Dana ocena będzie musiała być wyjątkowo precyzyjna, jeśli liczba poziomów wtórnego przetwarzania danych jest szczególnie wysoka i należy w jej ramach zwrócić szczególną uwagę na zasadę ograniczenia wykorzystania danych do operacji zgodnych z celem ich przekazania, aby upewnić się, że początkowy cel przekazania danych przez administratora odbierającemu dane do przetwarzania nie zostanie zmieniony przez różne umowy o wtórnym przetwarzaniu danych, które mogą zostać zawarte. Ze względu na powyższe ustanowienie systemu wtórnego przetwarzania danych, w którym wielu administratorów wtórnie przetwarzających dane może otrzymać kolejno część przetwarzania jest ciekawym rozwiązaniem, które również może zostać poparte przez grupę roboczą, jeśli warunek wstępny związany z istnieniem określonych wymogów technicznych i organizacyjnych, który miałby spełnić administrator danych, zostanie wypełniony na wyżej opisanych warunkach. W tym przypadku przekazujący dane powinien również wprowadzić rozwiązania organizacyjne, które ułatwią podmiotom, których dotyczą dane korzystanie z przysługujących im praw (dostęp, poprawianie, zgłoszenie zastrzeżeń, usunięcie itp.). Może 3 WP 9, Dokument roboczy z 22 kwietnia 1998: http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/1998/wp9_en.pdf 5

się to na przykład wiązać z określeniem jednego wspólnego punktu kontaktowego dla podmiotów, których dotyczą dane, umożliwiającego skorzystanie z posiadanych przez nich praw dostępu (w siedzibie administratora danych) lub wypracowaniem jasnych procedur przedstawionych wszystkim podmiotom przetwarzającym dane i wtórnie przetwarzającym dane by dostarczyć podmiotom, których dotyczą dane informacje o danych osobowych, do których mogą zażądać dostępu. Grupa robocza art. 29 uważa, że klauzula 11 Podwykonawstwo projektu decyzji Komisji zawiera elementy potrzebne do odpowiedniego zapewnienia, by mimo jego złożoności, w całym potencjalnym łańcuchu operacji wtórnego przetwarzania zapewniony został poziom ochrony określony w standardowych klauzulach umownych. Ponadto zobowiązania przewidziane w klauzuli 4 (zobowiązania przekazującego dane) i klauzuli 5 (zobowiązania odbierającego dane) zapewnią, że administrator i podmiot przetwarzający dane będą zobowiązani do przestrzegania tego poziomu ochrony na wszystkich poziomach podwykonawstwa. W związku z tym grupa robocza sugeruje, że równolegle do obowiązku nałożonego na odbierającego dane (przetwarzającego) dotyczącego wysłania kopii każdego zlecenia podwykonawstwa przekazującemu dane, ten ostatni powinien posiadać aktualną listę poszczególnych podmiotów przetwarzających i wtórnie przetwarzających dane, którzy tworzą łańcuch umowny. Podobnie kompetencje organów ochrony danych dotyczące przeprowadzania kontroli odbierającego dane, jak również podmiotów wtórnie przetwarzających dane na zlecenie odbierającego dane są konieczne, by zapewnić przestrzeganie klauzul umownych oraz poziom ochrony wymagany ze względu na wiele różnych podmiotów wtórnie przetwarzających dane biorących udział w przetwarzaniu danych osobowych, których przekazywania dokonuje się zgodnie ze standardowymi klauzulami umownymi. 2. Inne kwestie 2.1 Kontrole: Proponowane standardowe klauzule umowne przewidywałyby możliwość przyznania organom ochrony danych uprawnienia do kontrolowania całego łańcucha wtórnego przetwarzania danych: administratora danych, podmiotów przetwarzających dane, podmiotów wtórnie przetwarzających dane oraz, w odpowiednich przypadkach, podejmowania wobec nich wiążących decyzji. Dlatego grupa robocza zaleca przyjęcie klauzuli 8 (Współpraca z organami nadzoru). 2.2 Prawo właściwe Klauzula 9 w istniejących klauzulach umownych przewiduje, że klauzule podlegają prawu państw członkowskich, w których ma swoją siedzibę eksporter danych. W celu zapewnienia pewności prawnej i spójności uznano, że prawo, któremu podlegają umowy zawierane na usługi wtórnego przetwarzania danych powinny być również prawem państwa członkowskiego, w którym ma swoją siedzibę eksporter danych. 2.3 Konsekwencje dla starego zbioru klauzul Projekt decyzji komisji proponuje uchylenie decyzji nr 2002/16/WE. Pojawia się pytanie czy te umowy o transferach zawierane przez administratorów z UE/EOG i podmioty przetwarzające dane z krajów trzecich poprzez stosowanie standardowych klauzul umownych 6

z decyzji nr 2002/16/WE zostałyby również uchylone i w związku z tym musiałyby zostać przekształcone w nowy zbiór klauzul umownych administrator do podmiotu przetwarzającego. Wymóg dostosowania wszystkich obowiązujących umów zawartych zgodnie z klauzulami umownymi decyzji 2002/16/WE Komisji spowodowałby znaczące i niewspółmierne obciążenie zarówno dla zainteresowanych stron, jak i organów ochrony danych. Jednak utrzymanie w mocy klauzul umownych zatwierdzonych decyzją 2002/16/WE może nie okazać się lepszym rozwiązaniem niż wymóg ponownego zatwierdzenia obecnie obowiązujących umów o międzynarodowych transferach. Może to powodować niepewność prawną. Jako rozwiązanie grupa robocza proponuje Komisji włączyć do samej decyzji postanowienia przejściowe (na przykład w art. 6), przewidujące, że międzynarodowe transfery zatwierdzone zgodnie z uchyloną decyzją 2002/16/WE pozostaną w mocy, jeśli transfery i przetwarzanie danych opisane w pierwotnie podpisanych klauzulach umownych nie zmieniły się. Jednak przedsiębiorstwa, które wykorzystały stare klauzule, w celu zmiany starych klauzul lub wprowadzenia zapisów dotyczących wtórnego przetwarzania danych będą musiały zmienić stare klauzule, by dostosować je do nowych standardowych klauzul umownych oraz ubiegać się o nową autoryzację zgodnie z przepisami krajowymi. Wniosek Z zastrzeżeniem powyższych zaleceń grupa robocza wydaje pozytywną opinię na temat projektu decyzji Komisji w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w państwach trzecich i wzywa Komitet art. 31 do kontynuacji pracy w celu przyjęcia projektu decyzji Komisji. Sporządzono w Brukseli dnia 5 marca 2009 r. W imieniu grupy roboczej Przewodniczący Alex TÜRK 7

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres