Decyzja Wykonawcza Komisji (UE) 2021/914 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (Tekst mający znaczenie dla EOG) (Dz.Urz.UE L 199/31)

DECYZJA WYKONAWCZA KOMISJI (UE) 2021/914

z dnia 4 czerwca 2021 r.

w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (Tekst mający znaczenie dla EOG)

(Dz.Urz.UE z dnia 7 czerwca 2021 r.)

KOMISJA EUROPEJSKA, uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (1), w szczególności jego art. 28 ust. 7 i art. 46 ust. 2 lit. c), a także mając na uwadze, co następuje:

 

(1) Rozwój technologiczny ułatwia transgraniczny przepływ danych, który jest niezbędnym warunkiem rozwoju handlu międzynarodowego i współpracy międzynarodowej. Jednocześnie należy zapewnić, aby w przypadku przekazywania danych osobowych do państw trzecich, w tym w przypadku dalszego przekazywania, nie doszło do obniżenia stopnia ochrony osób fizycznych zagwarantowanego w rozporządzeniu (UE) 2016/679 (2). Przepisy dotyczące przekazywania danych zawarte w rozdziale V rozporządzenia (UE) 2016/679 mają zapewnić ciągłość takiego wysokiego stopnia ochrony w przypadku przekazywania danych osobowych do państwa trzeciego (3).

 

(2) Zgodnie z art. 46 ust. 1 rozporządzenia (UE) 2016/679 w razie braku decyzji Komisji na mocy art. 45 ust. 3 stwierdzającej odpowiedni stopień ochrony administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. Takie zabezpieczenia można zapewnić za pomocą standardowych klauzul ochrony danych przyjętych przez Komisję zgodnie z art. 46 ust. 2 lit. c).

 

(3) Rola standardowych klauzul umownych ogranicza się do zapewnienia odpowiednich zabezpieczeń służących ochronie danych w przypadku międzynarodowego przekazywania danych. Dlatego też administrator lub podmiot przetwarzający przekazujący dane osobowe do państwa trzeciego („podmiot przekazujący dane”) i administrator lub podmiot przetwarzający odbierający dane („podmiot odbierający dane”) mogą włączać takie standardowe klauzule umowne do szerszej umowy i dodawać inne klauzule lub dodatkowe zabezpieczenia, pod warunkiem że nie są one bezpośrednio lub pośrednio sprzeczne ze standardowymi klauzulami umownymi ani nie naruszają podstawowych praw lub wolności osób, których dane dotyczą. Zachęca się administratorów i podmioty przetwarzające do tego, aby w drodze zobowiązań umownych przewidywali dodatkowe zabezpieczenia stanowiące uzupełnienie standardowych klauzul umownych(4). Standardowe klauzule umowne stosuje się bez uszczerbku dla jakichkolwiek zobowiązań umownych podmiotu przekazującego dane lub podmiotu odbierającego dane do zapewnienia poszanowania stosownych przywilejów i immunitetów.

 

(4) Oprócz zapewniania odpowiednich zabezpieczeń w przypadku przekazywania danych za pomocą standardowych klauzul umownych zgodnie z art. 46 ust. 1 rozporządzenia (UE) 2016/679 podmiot przekazujący dane musi spełnić ogólne obowiązki spoczywające na nim jako na administratorze lub podmiocie przetwarzającym zgodnie z rozporządzeniem (UE) 2016/679. Do takich obowiązków należy między innymi spoczywający na administratorze obowiązek podania osobom, których dane dotyczą, informacji o zamiarze przekazania ich danych osobowych do państwa trzeciego zgodnie z art. 13 ust. 1 lit. f) i art. 14 ust. 1 lit. f) rozporządzenia (UE) 2016/679. W przypadku przekazywania na podstawie art. 46 rozporządzenia (UE) 2016/679 takie informacje muszą obejmować wzmiankę o odpowiednich zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.

 

(5) Decyzje Komisji 2001/497/WE (5) i 2010/87/UE (6) zawierają standardowe klauzule umowne służące ułatwieniu przekazywania danych osobowych przez administratora danych posiadającego jednostkę organizacyjną w Unii administratorowi lub podmiotowi przetwarzającemu mającemu siedzibę w państwie trzecim, które nie zapewnia odpowiedniego stopnia ochrony. Decyzje te wydano na podstawie dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (7).

 

(6) Zgodnie z art. 46 ust. 5 rozporządzenia (UE) 2016/679, decyzja 2001/497/WE i decyzja 2010/87/UE pozostają w mocy do czasu ich zmiany, zastąpienia lub uchylenia w razie potrzeby decyzją Komisji przyjętą na podstawie art. 46 ust. 2 tego rozporządzenia. Standardowe klauzule umowne zawarte w decyzjach wymagały aktualizacji w związku z nowymi wymogami określonymi w rozporządzeniu (UE) 2016/679. Ponadto, odkąd przyjęto te decyzje, w gospodarce cyfrowej nastąpiły istotne zmiany – powszechnie stosuje się nowe i bardziej złożone operacje przetwarzania, często z udziałem wielu podmiotów odbierających dane i podmiotów przekazujących dane, występują długie i złożone łańcuchy przetwarzania, a relacje biznesowe ewoluują. W związku z powyższym konieczne jest zmodernizowanie standardowych klauzul umownych w celu lepszego odzwierciedlenia takich realiów przez uwzględnienie dodatkowych sytuacji przetwarzania i przekazywania oraz w celu umożliwienia stosowania bardziej elastycznego podejścia, na przykład jeżeli chodzi o liczbę stron mogących przystąpić do umowy.

 

(7) Administrator lub podmiot przetwarzający mogą stosować standardowe klauzule umowne określone w załączniku do niniejszej decyzji, aby zapewnić odpowiednie zabezpieczenia w rozumieniu art. 46 ust. 1 rozporządzenia (UE) 2016/679 na potrzeby przekazywania danych osobowych podmiotowi przetwarzającemu lub administratorowi posiadającemu jednostkę organizacyjną w państwie trzecim, bez uszczerbku dla wykładni pojęcia „międzynarodowego przekazywania danych” w rozporządzeniu (UE) 2016/679. Standardowe klauzule umowne można stosować wyłącznie w odniesieniu do takiego przekazywania danych w zakresie, w jakim przetwarzanie danych przez podmiot odbierający dane nie jest objęte zakresem stosowania rozporządzenia (UE) 2016/679. Dotyczy to również przekazywania danych osobowych przez administratora lub podmiot przetwarzający, którzy nie posiadają jednostki organizacyjnej w Unii, w zakresie, w jakim przetwarzanie podlega rozporządzeniu (UE) 2016/679 zgodnie z jego art. 3 ust. 2, gdyż wiąże się ono z oferowaniem towarów lub usług osobom, których dane dotyczą, w Unii lub z monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

 

(8) Mając na uwadze ogólne dostosowanie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 i rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 (8), powinna istnieć możliwość stosowania standardowych klauzuli umownych również w kontekście umowy, o której mowa w art. 29 ust. 4 rozporządzenia (UE) 2018/1725, w odniesieniu do przekazywania danych osobowych podwykonawcy przetwarzania w państwie trzecim przez podmiot przetwarzający, który nie jest instytucją ani organem Unii, ale podlega rozporządzeniu (UE) 2016/679 i przetwarza dane osobowe w imieniu instytucji lub organu Unii zgodnie z art. 29 rozporządzenia (UE) 2018/1725. Zgodność z art. 29 ust. 4 rozporządzenia (UE) 2018/1725 będzie zapewniona, jeżeli umowa odzwierciedla takie same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w art. 29 ust. 3 rozporządzenia (UE) 2018/1725, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych pozwalających zapewnić, aby przetwarzanie odpowiadało wymogom określonym w tym rozporządzeniu. Będzie to dotyczyło w szczególności sytuacji, gdy administrator i podmiot przetwarzający korzystają ze standardowych klauzulach umownych zawartych w decyzji wykonawczej Komisji w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi dotyczących kwestii, o których mowa w art. 28 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 i art. 29 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 (9).

 

(9) Jeżeli przetwarzanie wiąże się z przekazywaniem danych przez administratorów podlegających rozporządzeniu (UE) 2016/679 podmiotom przetwarzającym nieobjętym terytorialnym zakresem stosowania rozporządzenia lub przez podmioty przetwarzające podlegające rozporządzeniu (UE) 2016/679 podwykonawcom przetwarzania nieobjętym terytorialnym zakresem stosowania rozporządzenia, standardowe klauzule umowne określone w załączniku do niniejszej decyzji również powinny umożliwiać spełnienie wymogów określonych w art. 28 ust. 3 i 4 rozporządzenia (UE) 2016/679.

 

(10) Standardowe klauzule umowne określone w załączniku do niniejszej decyzji łączą klauzule ogólne z podejściem modułowym, aby uwzględnić różne scenariusze przekazywania danych i złożoność współczesnych łańcuchów przetwarzania. Oprócz klauzul ogólnych administratorzy i podmioty przetwarzające powinni wybrać moduł mający zastosowanie do ich sytuacji, aby dostosować obowiązki spoczywające na nich na mocy standardowych klauzul umownych do roli i obowiązków, jakie pełnią w związku z przedmiotowym przetwarzaniem danych. Należy zapewnić możliwość przestrzegania standardowych klauzul umownych przez więcej niż dwie strony. Ponadto należy zapewnić, aby do standardowych klauzul umownych mogli przystępować dodatkowi administratorzy i dodatkowe podmioty przetwarzające w roli podmiotów przekazujących dane lub podmiotów odbierających dane w całym okresie obowiązywania umowy, której te klauzule są częścią.

 

(11) W celu ustanowienia odpowiednich zabezpieczeń w standardowych klauzulach umownych należy zapewnić, aby stopień ochrony danych osobowych przekazywanych na ich podstawie był merytorycznie równoważny stopniowi gwarantowanemu w Unii (10). Aby zapewnić przejrzystość przetwarzania, osoby, których dane dotyczą, powinny otrzymać kopię standardowych klauzul umownych i zostać poinformowane w szczególności o kategoriach przetwarzanych danych osobowych, prawie do uzyskania kopii standardowych klauzul umownych oraz o wszelkim dalszym przekazywaniu. Dalsze przekazywanie przez podmiot odbierający dane do strony trzeciej w innym państwie trzecim powinno być dopuszczalne wyłącznie w sytuacji, w której taka strona trzecia przystępuje do standardowych klauzul umownych lub w której ciągłość ochrony zapewniono w inny sposób, lub też w określonych sytuacjach, na przykład w przypadku udzielenia przez osobę, której dane dotyczą, wyraźnej, świadomej zgody.

 

(12) Z pewnymi wyjątkami – w szczególności z wyjątkiem określonych obowiązków dotyczących wyłącznie relacji między podmiotem przekazującym dane a podmiotem odbierającym dane – osoby, których dane dotyczą, powinny mieć możliwość powołania się na standardowe klauzule umowne – i w razie potrzeby ich wyegzekwowania – jako osoby trzecie, na rzecz których zawarto umowę. Dlatego też, o ile strony powinny mieć możliwość wybrania prawa jednego z państw członkowskich jako prawa właściwego dla danych standardowych klauzul umownych, o tyle prawo takie musi dopuszczać możliwość wykonania praw przewidzianych w klauzuli na rzecz osoby trzeciej. Aby istniała możliwość indywidualnego dochodzenia roszczeń, w standardowych klauzulach umownych należy zobowiązać podmiot odbierający dane do poinformowania osób, których dane dotyczą, o punkcie kontaktowym oraz do szybkiego rozpatrywania wszelkich skarg lub żądań. W przypadku sporu między podmiotem odbierającym dane a osobą, której dane dotyczą i która powołuje się na przysługujące jej prawa jako osoba trzecia, na rzecz której zawarto umowę, takiej osobie powinno przysługiwać prawo wniesienia skargi do właściwego organu nadzorczego lub skierowania sporu do rozpatrzenia przez sądy właściwe w UE.

 

(13) Aby zapewnić skuteczne egzekwowanie, od podmiotu odbierającego dane należy wymagać podporządkowania się właściwości takiego organu i takich sądów oraz zobowiązania się do przestrzegania każdej wiążącej decyzji wydanej na mocy mającego zastosowanie prawa państwa członkowskiego. W szczególności podmiot odbierający dane powinien wyrazić zgodę na odpowiadanie na zapytania, poddawanie się audytom i przestrzeganie środków przyjętych przez organ nadzorczy, w tym środków zaradczych i kompensacyjnych. Dodatkowo podmiot odbierający dane powinien móc zaproponować osobom, których dane dotyczą, możliwość nieodpłatnego dochodzenia roszczeń przed niezależnym organem rozstrzygania sporów. Zgodnie z art. 80 ust. 1 rozporządzenia (UE) 2016/679 osoby, których dane dotyczą, powinny mieć prawo, jeżeli wyrażą taką wolę, do umocowania organizacji lub innych podmiotów do ich reprezentowania w sporach z podmiotem odbierającym dane.

 

(14) W standardowych klauzulach umownych należy określić postanowienia dotyczące odpowiedzialności między stronami i odpowiedzialności wobec osób, których dane dotyczą, a także postanowienia dotyczące wzajemnego zwrotu kosztów między stronami. Jeżeli osoba, której dane dotyczą, poniosła szkodę majątkową lub niemajątkową w wyniku dowolnego naruszenia określonych w standardowych klauzulach umownych praw osoby trzeciej, na rzecz której zawarto umowę, osoba taka powinna mieć prawo do odszkodowania. Powinno to pozostawać bez uszczerbku dla wszelkiego rodzaju odpowiedzialności określonej w rozporządzeniu (UE) 2016/679.

 

(15) W przypadku przekazywania podmiotowi odbierającemu dane występującemu w charakterze podmiotu przetwarzającego lub podwykonawcy przetwarzania powinny mieć zastosowanie szczegółowe wymogi zgodnie z art. 28 ust. 3 rozporządzenia (UE) 2016/679. W standardowych klauzulach umownych należy zobowiązać podmiot odbierający dane do udostępnienia wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w tych klauzulach oraz do umożliwienia przeprowadzania audytów jego czynności przetwarzania przez podmiot przekazujący dane i do wniesienia wkładu w te audyty. Jeżeli chodzi o zaangażowanie przez podmiot odbierający dane jakiegokolwiek podwykonawcy przetwarzania, zgodnie z art. 28 ust. 2 i 4 rozporządzenia (UE) 2016/679, w standardowych klauzulach umownych należy w szczególności określić procedurę uzyskania ogólnej lub szczegółowej zgody podmiotu przekazującego dane, a także wymóg zawarcia z podwykonawcą przetwarzania pisemnej umowy zapewniającej stopień ochrony odpowiadający stopniowi ochrony zagwarantowanemu w tych klauzulach.

 

(16) W standardowych klauzulach umownych należy zapewnić odrębne zabezpieczenia dotyczące szczególnej sytuacji, w której podmiot przetwarzający w Unii przekazuje dane osobowe ich administratorowi w państwie trzecim, i odzwierciedlić określone w rozporządzeniu (UE) 2016/679 ograniczone odrębne obowiązki podmiotów przetwarzających. W szczególności w standardowych klauzulach umownych należy zobowiązać podmiot przetwarzający do poinformowania administratora w sytuacji, gdy podmiot przetwarzający nie jest w stanie zastosować się do jego polecenia, w tym jeżeli takie polecenie narusza unijne prawo ochrony danych, oraz zobowiązać administratora do zaniechania wszelkich działań, które uniemożliwiłyby podmiotowi przetwarzającemu spełnienie spoczywających na nim obowiązków określonych w rozporządzeniu (UE) 2016/679. W klauzulach tych należy również zobowiązać strony do udzielania sobie wzajemnej pomocy w odpowiadaniu na zapytania i żądania ze strony osób, których dane dotyczą, zgodnie z lokalnym prawem, któremu podlega podmiot odbierający dane, lub – w przypadku przetwarzania danych w Unii – zgodnie z rozporządzeniem (UE) 2016/679. Jeżeli unijny podmiot przetwarzający łączy dane osobowe otrzymane od administratora w państwie trzecim z danymi osobowymi zgromadzonymi przez siebie w Unii, zastosowanie powinny mieć dodatkowe wymogi, aby uwzględnić ewentualny wpływ stosowania prawa państwa trzeciego przeznaczenia na przestrzeganie klauzul przez administratora, w szczególności wymogi określające sposób postępowania w sytuacji, w której organy publiczne w państwie trzecim przedstawiają wiążące żądania ujawnienia przekazywanych danych osobowych. Z kolei wszelkie tego typu wymogi są nieuzasadnione, jeżeli outsourcing polega wyłącznie na przetwarzaniu i przekazywaniu z powrotem danych osobowych otrzymanych od administratora i jeżeli działalność ta w każdym przypadku podlega i będzie podlegać jurysdykcji danego państwa trzeciego.

 

(17) Strony powinny być w stanie wykazać przestrzeganie standardowych klauzul umownych. W szczególności podmiot odbierający dane powinien być zobowiązany do przechowywania odpowiedniej dokumentacji dotyczącej czynności przetwarzania, za które ponosi odpowiedzialność, oraz do niezwłocznego poinformowania podmiotu przekazującego dane, jeżeli z jakiegokolwiek powodu nie jest w stanie zapewnić przestrzegania postanowień klauzul. Z kolei podmiot przekazujący dane powinien zawiesić przekazywanie danych, a w szczególnie poważnych przypadkach jest uprawniony do rozwiązania umowy – o ile problem dotyczy przetwarzania danych osobowych na podstawie standardowych klauzul umownych – jeżeli podmiot odbierający dane narusza klauzule lub nie jest w stanie zapewnić ich przestrzegania. W sytuacji, w której lokalne prawo ma wpływ na przestrzeganie klauzul, powinny mieć zastosowanie przepisy szczególne. Dane osobowe przekazane przed rozwiązaniem umowy i wszelkie ich kopie powinny zostać – w zależności od wyboru dokonanego przez podmiot przekazujący dane – zwrócone temu podmiotowi lub zniszczone.

 

(18) W standardowych klauzulach umownych należy określić szczególne zabezpieczenia, w szczególności w świetle orzecznictwa Trybunał Sprawiedliwości (11), aby uwzględnić ewentualny wpływ stosowania prawa państwa trzeciego przeznaczenia na przestrzeganie tych klauzul przez podmiot odbierający dane, a w szczególności należy określić sposób postępowania w sytuacji, w której organy publiczne w tym państwie przedstawiają wiążące żądania ujawnienia przekazywanych danych osobowych.

 

(19) Przekazywanie i przetwarzanie danych osobowych na podstawie standardowych klauzul umownych nie powinno mieć miejsca, gdy przepisy i praktyki obowiązujące w państwie trzecim przeznaczenia uniemożliwiają podmiotowi odbierającemu dane przestrzeganie tych klauzul. W tym kontekście za sprzeczne ze standardowymi klauzulami umownymi nie należy uznawać przepisów i praktyk, które nie naruszają istoty podstawowych praw i wolności oraz nie wykraczają poza to, co jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym służącym zabezpieczeniu jednego z celów wymienionych w art. 23 ust. 1 rozporządzenia (UE) 2016/679. Strony powinny zagwarantować, że w chwili akceptowania standardowych klauzul umownych nie mają żadnych powodów, aby sądzić, iż przepisy i praktyki mające zastosowanie wobec podmiotu odbierającego dane są niezgodne z tymi wymogami.

 

(20) Strony powinny przede wszystkim uwzględnić konkretne okoliczności przekazywania danych (takie jak treść i okres obowiązywania umowy, charakter danych, które mają być przekazywane, rodzaj odbiorcy, cel przetwarzania), przepisy i praktyki państwa trzeciego przeznaczenia istotne z punktu widzenia okoliczności przekazywania danych oraz wszelkie zabezpieczenia wprowadzone jako uzupełnienie zabezpieczeń określonych w standardowych klauzulach umownych (w tym stosowne środki umowne, techniczne i organizacyjne mające zastosowanie do przekazywania danych osobowych i przetwarzania tych danych w państwie przeznaczenia). Jeżeli chodzi o wpływ takich przepisów i praktyk na zgodność ze standardowymi klauzulami umownymi, w ogólnej ocenie można wziąć pod uwagę różne elementy, między innymi wiarygodne informacje na temat stosowania prawa w praktyce (w tym orzecznictwo i sprawozdania sporządzone przez niezależne organy nadzoru), występowanie lub brak żądań w tym samym sektorze oraz – wyłącznie w ściśle określonych okolicznościach – udokumentowane praktyczne doświadczenie podmiotu przekazującego dane lub podmiotu odbierającego dane.

 

(21) Jeżeli po zaakceptowaniu standardowych klauzul umownych podmiot odbierający dane ma powody, aby sądzić, że nie jest w stanie zapewnić przestrzegania tych klauzul, powinien powiadomić o tym podmiot przekazujący dane. Jeżeli podmiot przekazujący dane otrzyma takie powiadomienie lub w inny sposób dowie się, że podmiot odbierający dane nie jest już w stanie zapewnić przestrzegania standardowych klauzul umownych, powinien określić odpowiednie środki w celu zaradzenia tej sytuacji, w razie potrzeby w porozumieniu z właściwym organem nadzorczym. Takie środki mogą obejmować dodatkowe środki przyjęte przez podmiot przekazujący dane lub podmiot odbierający dane, takie jak środki techniczne lub organizacyjne służące zapewnieniu bezpieczeństwa i poufności. Podmiot przekazujący dane powinien być zobowiązany do wstrzymania przekazywania danych, jeżeli uzna, że zapewnienie odpowiednich zabezpieczeń jest niemożliwe, lub na polecenie właściwego organu nadzorczego.

 

(22) W stosownych przypadkach podmiot odbierający dane powinien powiadomić podmiot przekazujący dane i osobę, której dane dotyczą, o otrzymaniu od organu publicznego (w tym sądowego) – zgodnie z przepisami państwa przeznaczenia – prawnie wiążącego żądania ujawnienia danych osobowych przekazywanych na podstawie standardowych klauzul umownych. Takie powiadomienie należy również wystosować w przypadku, gdy podmiot odbierający dane dowie się o jakimkolwiek przypadku bezpośredniego dostępu przez organy publiczne do danych osobowych zgodnie z przepisami państwa trzeciego przeznaczenia. Jeżeli podmiot odbierający dane, mimo dołożenia wszelkich starań, nie jest w stanie powiadomić podmiotu przekazującego dane lub osoby, której dane dotyczą, o konkretnych żądaniach ujawnienia danych, powinien dostarczyć podmiotowi przekazującemu dane jak najwięcej istotnych informacji o tych żądaniach. Ponadto podmiot odbierający dane powinien w regularnych odstępach czasu przekazywać podmiotowi przekazującemu dane informacje zbiorcz . Podmiot odbierający dane powinien być również zobowiązany do udokumentowania każdego otrzymanego żądania ujawnienia danych i udzielonej odpowiedzi oraz udostępnienia tych informacji podmiotowi przekazującemu dane lub właściwemu organowi nadzorczemu, lub obu tym podmiotom, na ich wniosek. Jeżeli po zbadaniu zgodności takiego żądania z prawem państwa przeznaczenia podmiot odbierający dane dojdzie do wniosku, że istnieją uzasadnione podstawy, by uznać, że żądanie jest niezgodne z prawem w świetle prawa państwa trzeciego przeznaczenia, powinien zaskarżyć takie żądanie, w tym, w stosownych przypadkach, poprzez wyczerpanie dostępnych środków odwoławczych. Niezależnie od sytuacji, jeżeli podmiot odbierający dane nie jest już w stanie zapewnić przestrzegania standardowych klauzul umownych, powinien powiadomić o tym podmiot przekazujący dane, w tym jeżeli jest to skutkiem żądania ujawnienia danych.

 

(23) Ponieważ potrzeby, technologia i operacje przetwarzania zainteresowanych stron mogą się zmieniać, Komisja powinna ocenić funkcjonowanie standardowych klauzul umownych na podstawie zdobytych doświadczeń w ramach okresowej oceny rozporządzenia (UE) 2016/679, o której mowa w art. 97 tego rozporządzenia.

 

(24) Decyzję 2001/497/WE oraz decyzję 2010/87/UE należy uchylić trzy miesiące po wejściu w życie niniejszej decyzji. W tym okresie podmioty przekazujące dane i podmioty odbierające dane powinny, do celów art. 46 ust. 1 rozporządzenia (UE) 2016/679, nadal mieć możliwość stosowania standardowych klauzul umownych określonych w decyzjach 2001/497/WE i 2010/87/UE. Przez dodatkowy okres 15 miesięcy podmioty przekazujące dane i podmioty odbierające dane powinny, do celów art. 46 ust. 1 rozporządzenia (UE) 2016/679, mieć możliwość dalszego stosowania standardowych klauzul umownych określonych w decyzjach 2001/497/WE i 2010/87/UE w odniesieniu do wykonywania umów zawartych między nimi przed datą uchylenia tych decyzji, pod warunkiem że operacje przetwarzania będące przedmiotem umowy pozostaną niezmienione i pod warunkiem że stosowanie tych klauzul zapewnia, aby przekazywanie danych osobowych odbywało się z zastrzeżeniem odpowiednim zabezpieczeń w rozumieniu art. 46 ust. 1 rozporządzenia (UE) 2016/679. W przypadku istotnyc zmian w umowie podmiot przekazujący dane powinien być zobowiązany do oparcia się na nowej podstawie przekazywania danych na mocy umowy, w szczególności poprzez zastąpienie istniejących standardowych klauzul umownych standardowymi klauzulami umownymi określonymi w załączniku do niniejszej decyzji. To samo powinno mieć zastosowanie do wszelkich przypadków zlecania podmiotowi przetwarzającemu (podwykonawcy przetwarzania) podwykonawstwa operacji przetwarzania objętych umową.

 

(25) Zgodnie z art. 42 ust. 1 i 2 rozporządzenia (UE) 2018/1725 skonsultowano się z Europejskim Inspektorem Ochrony Danych i Europejską Radą Ochrony Danych – w dniu 14 stycznia 2021 r. organy te wydały wspólną opinię (12), którą uwzględniono podczas przygotowywania niniejszej decyzji.

 

(26) Środki przewidziane w niniejszej decyzji są zgodne z opinią komitetu ustanowionego na mocy art. 93 rozporządzenia (UE) 2016/679,

 

PRZYJMUJE NINIEJSZĄ DECYZJĘ: