Standardowe klauzule ochrony danych
Standardowe klauzule ochrony danych (ang. standard contractual clauses, SCC), podobnie jak wiążące reguły korporacyjne, należą do instrumentów prawnych mogących zapewnić odpowiednie zabezpieczenie danych osobowych w transferach poza Europejski Obszar Gospodarczy (EOG), bez konieczności specjalnych zezwoleń. Stanowią one jeden z najczęściej używanych instrumentów do transferu danych w sytuacji braku decyzji Komisji Europejskiej o odpowiednim poziomie ochrony. Klauzule umowne obejmują różne scenariusze przekazywania danych, tj.:
- przekazywanie danych między administratorami,
- przekazywanie danych przez administratora podmiotowi przetwarzającemu w państwie trzecim,
- przekazywanie danych między podmiotami przetwarzającymi,
- przekazywanie danych przez podmiot przetwarzający administratorowi w państwie trzecim.
Osoba, której dane dotyczą jest w tym wypadku beneficjentem zewnętrznym. Oznacza to, że jako osoba trzecia ma prawo korzystać z klauzul, co wiąże się m.in. z możliwością wnioskowania o odszkodowanie za szkody wynikające z naruszenia klauzul przez jedną ze stron.
Od 27 czerwca 2021 r. obowiązuje najnowsza Decyzja Wykonawcza Komisji (UE) 2021/914 na temat standardowych klauzul umownych, będąca w zgodności z wyrokiem TSUE w sprawie Schrems II (C-311/18). Nowe standardowe klauzule umowne są bardziej elastyczne niż starsza wersja i zawierają, między innymi, jeden punkt wejścia obejmujący szeroki zakres scenariuszy transferu zamiast oddzielnych zestawów klauzul, a także prawa osób, których dane dotyczą, w tym dochodzenie roszczeń, odpowiedzialność administratorów i nadzór nad transferami.
Obowiązujące klauzule muszą być przyjęte oraz stosowane w całości. Nie ma możliwości wyboru pojedynczych postanowień lub mieszania postanowień z różnych zestawów klauzul. W razie konieczności, wdrożone mogą zostać dodatkowe środki uzupełniające w celu zapewnienia odpowiedniego stopnia ochrony danych podczas transferów do państw trzecich.
Nie ma potrzeby stosowania klauzul umownych podczas transferów na terenie EOG, gdyż zarówno administratorzy jak i podmioty przetwarzające dane na terenie EOG są objęci przepisami RODO, które gwarantują odpowiedni poziom ochrony danych osobowych.
Do zadań właściwych organów nadzorczych należy m.in. zapewnianie, aby podmiot przekazujący dane przestrzegał przepisów RODO w odniesieniu do przekazywania danych oraz rozpatrywanie skarg w tym temacie.