W motywach do decyzji wykonawczej Komisji (UE) 2021/915 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi na podstawie art. 28 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 oraz art. 29 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 wskazano, że do relacji między administratorami danych a podmiotami przetwarzającymi dane podlegającymi rozporządzeniu (UE) 2016/679 powinien mieć zastosowanie ten sam zestaw standardowych klauzul umownych – również gdy administratorzy i podmioty przetwarzające podlegają rozporządzeniu (UE) 2018/1725. Wynika to z faktu, że w celu zapewnienia spójnego podejścia do ochrony danych osobowych w całej Unii oraz swobodnego przepływu danych osobowych w Unii, przepisy o ochronie danych zawarte w rozporządzeniu (UE) 2016/679, mające zastosowanie do sektora publicznego w państwach członkowskich, oraz przepisy o ochronie danych zawarte w rozporządzeniu (UE) 2018/1725, mające zastosowanie do instytucji, organów i jednostek organizacyjnych Unii, dostosowano wzajemnie w jak największym stopniu.
W tym miejscu warto przypomnieć, że jednym z argumentów za przyjęciem RODO oraz zastosowania formy rozporządzenia (wcześniej obowiązywała dyrektywa) było ujednolicenie zasad przetwarzania danych osobowych w UE.
W motywach decyzji przyjęto również, że Administrator i podmiot przetwarzający powinni mieć swobodę umieszczania standardowych klauzul umownych określonych w niniejszej decyzji w treści umowy o szerszym zakresie oraz dodawania innych klauzul lub dodatkowych zabezpieczeń, pod warunkiem że nie będą one bezpośrednio lub pośrednio sprzeczne ze standardowymi klauzulami umownymi ani nie będą naruszały podstawowych praw lub wolności osób, których dane dotyczą. Stosowanie standardowych klauzul umownych pozostaje bez uszczerbku dla zobowiązań umownych administratora lub podmiotu przetwarzającego do zapewnienia poszanowania obowiązujących przywilejów i immunitetów. Przewidziane zapisy zawierają minimalny zakres postanowień ale jednocześnie obowiązujący standard, ponieważ dodatkowe zapis muszą pozostawać z nimi w zgodzie.
Nadrzędność zapisów umowy powierzenia nad innymi umowami pomiędzy stronami została przewidziana w klauzuli nr 4 (Hierarchia), zgodnie z którą w razie sprzeczności między niniejszymi klauzulami a postanowieniami powiązanych umów między stronami istniejących w chwili uzgadniania niniejszych klauzul lub zawartych po ich uzgodnieniu, pierwszeństwo mają niniejsze klauzule.
Standardowe klauzule umowne są zestawem modelowych postanowień, których można użyć sporządzając umowę powierzenia przetwarzania danych. Gotowe, opracowane przez organ wykonawczy UE klauzule, odnoszą się zarówno do przepisów RODO, jak i do przepisów rozporządzenia 2018/1725, które dotyczy przetwarzania danych osobowych przez instytucje
i organy unijne. W łatwiejszy sposób pozwalają administratorowi danych powierzyć przetwarzanie danych zgodnie z art. 28 RODO. Standardowe Klauzule umowne stanowiące załącznik do decyzji 2021/915 określają cel i zakres niniejszych klauzul, podstawie obowiązki stron umowy powierzenia przetwarzania danych. Szczegółowej regulacji dokonano w zakresie dalszego powierzenia danych oraz zasady współpracy administratora i podmiotu przetwarzającego w przypadku realizacji wniosków osób, których dane są przetwarzane,
czy zgłaszaniu naruszeń ochrony danych do organów nadzorczych. Ponadto ostatnia z klauzul stanowi o możliwości rozwiązania umowy w określonych przypadkach przez każdą ze stron. Przewidziano też sytuacje, w których może dojść do rozwiązania umowy między jej stronami. Omawiane klauzule umowne nie służą do przekazywania danych osobowych do państw trzecich. W tym zakresie Komisja Europejska przyjęła odrębny zestaw standardowych klauzul umownych.
Mateusz Górski
Piotr Piątak