Europejska Rada Ochrony Danych opublikowała długo oczekiwane zalecenia dotyczące transferu danych osobowych do państwa trzeciego po wyroku TSUE w sprawie Schrems II
W dniu 10 listopada 2020 r. Komisja Europejska opublikowała zalecenia dla administratorów i podmiotów przetwarzających dane (dalej również jako podmioty przekazujące dane) w sprawie środków, jakie należy podjąć transferując dane osobowe poza Europejski Obszar Gospodarczy (dalej także jako transfer do państwa trzeciego).
Od czasu wydania przez Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wyroku w sprawie Schrems II (C-311/18) transfery danych pomiędzy Europą a USA stanęły pod znakiem zapytania, a administratorzy zmuszeni są szukać nowych podstaw prawnych legalizujących przekazywanie danych.
Wytyczne Europejskiej Rady Ochrony Danych (EROD) mają więc pomóc administratorom w zapewnieniu legalnego transferu danych do państw trzecich (w tym do USA) po obaleniu tzw. Tarczy Prywatności i pomóc usunąć powstały stan niepewności.
Wytyczne EROD zostały sformułowane w dwóch dokumentach, które przedłożono do konsultacji do dnia 30 listopada 2020 r.
- Rekomendacja nr 1/2020 w sprawie środków uzupełniających narzędzia przekazywania danych w celu zapewnienia zgodności.
- Rekomendacja nr 2/2020 w sprawie niezbędnych europejskich gwarancji (EEG) dla środków nadzoru.
Rekomendacje nr 01/2020 zostały sformułowane w formie planu sześciu kroków, jakie powinien wykonać podmiot przekazujący dane osobowe poza Europejski Obszar Gospodarczy. W Rekomendacjach 02/2020 zawarto listę przykładowych mechanizmów, które mogą pomocniczo służyć podmiotom przekazującym dane do państwa trzeciego.
Krok1. Ustal jakie procesy przetwarzania danych osobowych występują w firmie
- W pierwszej kolejności podmioty przekazujące dane powinny zidentyfikować wszystkie procesy związane z przetwarzaniem danych osobowych, w tym te związane z przekazywaniem danych osobowych do państw trzecich.
- Najprościej to zrobić wykonując proces tzw. mapowania wszystkich czynności przetwarzania danych w firmie.
- Następnie podmioty przekazujące dane do państw trzecich muszą określić jurysdykcję krajową, czyli właściwość sądu danego państwa do rozstrzygania sporów dotyczących transferowanych danych osobowych.
- Krok 2. Określ mechanizm, na którym możesz oprzeć transfer danych do państwa trzeciego
- Znajdź mechanizm przekazywania danych osobowych do państwa trzeciego. Potrzebne przepisy znajdziesz w rozdziale V RODO.
- Wykonaj ocenę skuteczności przyjętego mechanizmu przekazywania danych osobowych do państwa trzeciego, czy gwarantuje ochronę na poziomie zapewnianym przez RODO.
- EROD wskazała następujące możliwości przekazania danych do państwa trzeciego:
- a) za pomocą decyzji Komisji Europejskiej w sprawie nadania państwu z poza Europejskiego Obszaru Gospodarczego statusu zapewniającego odpowiedni poziom ochrony danych osobowych (art. 45 RODO),
- b) zgodnie z art. 46 RODO (standardowe klauzule umowne ochrony danych, wiążące reguły korporacyjne, kodeksy postępowania, mechanizmy certyfikacji, klauzule umowne ad hoc),
- c) poprzez zastosowanie wyjątku w szczególnych sytuacjach z art. 49 RODO (należy wykonać ocenę czy zostały spełnione kryteria pozwalające na zastosowanie wymienionego powyżej przepisu).
- Sprawdź, czy Komisja Europejska uznała, że państwo trzecie, do którego chcesz transferować dane osobowe, zapewnia odpowiedni poziom ochrony danych osobowych. Uznanie Komisji Europejskiej następuje w formie decyzji (art. 45 RODO). Odpowiedź pozytywna oznacza, że nie trzeba podejmować żadnych dodatkowych działań.
- Jeżeli Komisja Europejska nie uznaje kraju odbiorcy za zapewniający odpowiedni stopień ochrony to podmiot przekazujący dane zobowiązany jest zastosować środki legalizujące transfer do kraju trzeciego wskazane w art. 46 RODO, a w drodze wyjątku także na podstawie art. 49 RODO – gdy transfer dokonywany jest okazjonalnie i w sposób niepowtarzający się.
Krok 3. Oceń system prawny kraju odbiorcy
- Podmiot transferujący zobowiązany jest zbadać, czy w państwie, do którego transferowane są dane, prawo zezwala na ujawnianie danych osobowych europejskich, w szczególności aparatowi władzy w państwie odbiorcy.
- Zwróć szczególną uwagę, czy w kraju odbiorcy obowiązują przepisy pozwalające europejskim użytkownikom skutecznie dochodzić swoich praw przed niezależnym organem.
- W ocenie EROD, gdy środki uzupełniające nie zapewnią odpowiedniego poziomu ochrony danych osobowych podmioty przekazujące dane zobowiązane są do uniknięcia, zawieszenia lub zakończenia przekazywania danych, a dane już przekazane powinny ulec zwrotowi lub usunięciu przez odbierającego dane.
Krok 4. Przyjmij dodatkowe środki
- Jeżeli mechanizmy legalizujące transfer wymienione w art. 46 RODO nie zapewniają odpowiedniego poziomu ochrony danych osobowych to w ocenie EROD podmioty przekazujące dane powinny zastosować dodatkowe środki uzupełniające, aby wzmocnić ochronę danych.
- W Rekomendacjach zalecono następujące środki dodatkowe, z podziałem na:
- a) techniczne (np. szyfrowanie czy pseudonimizacja),
- b) dodatkowe środki umowne (np. kontraktowe zobowiązanie do wdrożenia odpowiednich środków bezpieczeństwa),
- c) organizacyjne (np. opracowanie odpowiednich polityk i procedur w zakresie przekazywania danych).
Krok 5. Wprowadź konkretne mechanizmy zabezpieczające transfer danych do państwa trzeciego w danej organizacji
- Wdróż wybrany mechanizm przekazywania danych do państwa trzeciego.
- Określ dodatkowe procedury zabezpieczające, np. dodatkowe klauzule ochronne.
Krok 6. Spełnij wymóg rozliczalności przy transferze danych do państwa trzeciego
- EROD podkreślił znaczenie wyrażonej w art. 5 ust. 2 RODO zasady rozliczalności.
- Obowiązek stałego monitorowania zmian w przepisach dotyczących ochrony danych osobowych w państwie odbiorcy.
- Obowiązek wykonywania regularnej oceny poziomu ochrony danych osobowych przekazywanych do państw trzecich.
Wnioski:
Wytyczne EROD mają pomóc eksporterom danych w legalnym wykonywaniu transferów, np. do USA, przy jednoczesnym zagwarantowaniu standardów ochrony zapewnianych na terenie Europejskiego Obszaru Gospodarczego. Wydaje się jednak, że wytyczne, opublikowane pięć miesięcy po ogłoszeniu przez TSUE wyroku w sprawie Schrems II, nie rozwiążą problemów, z którymi aktualnie zmagają się podmioty przekazujące dane. Zastosowanie się do zaleceń EROD wymaga sporego wysiłku organizacyjnego i będzie generowało dodatkowe koszty po stronie administratorów danych. Jak na przykład zalecenie dotyczące znajomości i systematycznego monitorowania systemu prawnego kraju trzeciego, do którego chcemy przesyłać dane. Ponadto EROD wyraźnie wskazuje, że transferowanie danych do państw trzecich powinno się odbywać z wykorzystaniem dodatkowych środków o charakterze technicznym. Chodzi tu o szyfrowaniem danych. Wykonanie tego typu działań, przy relatywnie niskim prawdopodobieństwie naruszenia praw podmiotów danych, będzie sporym utrudnieniem dla małych i średnich przedsiębiorców.
Tutaj można się zapoznać z pełną treścią zaleceń EROD.