W ostatnim czasie pojawiły się nowe obowiązki w zakresie danych osobowych dotyczące międzynarodowego transferu danych.
Kogo dotyczą nowe obowiązki?
Wszystkich podmiotów, które przekazują dane osobowe poza Europejski Obszar Gospodarczy do państw, w stosunku do których nie wydano tzw. decyzji o adekwatności (w szczególności do Stanów Zjednoczonych, Indii).
Na czym polegają?
Pomiędzy podmiotem przekazującym, a odbierającym dane osobowe powinna zostać zawarta umowa zawierająca tzw. standardowe klauzule umowne w brzmieniu przyjętym na mocy decyzji wykonawczej Komisji Europejskich z dnia 4 czerwca 2021 r.
Do kiedy należy je wykonać?
W przypadku nowych umów zawieranych z kontrahentami standardowe klauzule powinny być włączone począwszy od dnia 27 września 2021 r.
Natomiast umowy zawarte przed 27 września 2021 r. należy zaktualizować do 27 grudnia 2022 r.
Jak wykonać nowe obowiązki?
Należy:
- dokonać przeglądu umów, które zawarliśmy z naszymi kontrahentami;
- ustalić, czy w ramach współpracy dochodzi do przetwarzania danych osobowych;
- dokonać weryfikacji, czy nasza współpraca obejmuje przekazywanie danych osobowych poza EOG;
- zweryfikować, czy w stosunku do danego państwa spoza EOG Komisja Europejska wydała tzw. decyzję o adekwatności, w przypadku odpowiedzi negatywnej ponadto:
- ustalić właściwy moduł klauzul (istnieją cztery);
- wypełnić załączniki,
- uzgodnić środki zabezpieczeń;
- zweryfikować, czy istniejąca umowa dotycząca danych osobowych (np. umowa powierzenia) nie jest sprzeczna ze standardowymi klauzulami umownymi.
Do formalności związanych z nowym prawodawstwem UE należy zabrać się jak najszybciej, żeby zdążyć do końca roku.