Wytyczne EROD dotyczące transferu danych osobowych do państwa trzeciego

Data dodania:

Europejska Rada Ochrony Danych opublikowała długo oczekiwane zalecenia dotyczące transferu danych osobowych do państwa trzeciego po wyroku TSUE w sprawie Schrems II

W dniu 10 listopada 2020 r. Komisja Europejska opublikowała zalecenia dla administratorów i podmiotów przetwarzających dane (dalej również jako podmioty przekazujące dane) w sprawie środków, jakie należy podjąć transferując dane osobowe poza Europejski Obszar Gospodarczy (dalej także jako transfer do państwa trzeciego).

Od czasu wydania przez Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wyroku w sprawie Schrems II (C-311/18) transfery danych pomiędzy Europą a USA stanęły pod znakiem zapytania, a administratorzy zmuszeni są szukać nowych podstaw prawnych legalizujących przekazywanie danych.

Wytyczne Europejskiej Rady Ochrony Danych (EROD) mają więc pomóc administratorom w zapewnieniu legalnego transferu danych do państw trzecich (w tym do USA) po obaleniu tzw. Tarczy Prywatności i pomóc usunąć powstały stan niepewności.

Wytyczne EROD zostały sformułowane w dwóch dokumentach, które przedłożono do konsultacji do dnia 30 listopada 2020 r.

  • Rekomendacja nr 1/2020 w sprawie środków uzupełniających narzędzia przekazywania danych w celu zapewnienia zgodności.
  • Rekomendacja nr 2/2020 w sprawie niezbędnych europejskich gwarancji (EEG) dla środków nadzoru.

Rekomendacje nr 01/2020 zostały sformułowane w formie planu sześciu kroków, jakie powinien wykonać podmiot przekazujący dane osobowe poza Europejski Obszar Gospodarczy. W Rekomendacjach 02/2020 zawarto listę przykładowych mechanizmów, które mogą pomocniczo służyć podmiotom przekazującym dane do państwa trzeciego.

Krok1. Ustal jakie procesy przetwarzania danych osobowych występują w firmie

  • W pierwszej kolejności podmioty przekazujące dane powinny zidentyfikować wszystkie procesy związane z przetwarzaniem danych osobowych, w tym te związane z przekazywaniem danych osobowych do państw trzecich.
  • Najprościej to zrobić wykonując proces tzw. mapowania wszystkich czynności przetwarzania danych w firmie.
  • Następnie podmioty przekazujące dane do państw trzecich muszą określić jurysdykcję krajową, czyli właściwość sądu danego państwa do rozstrzygania sporów dotyczących transferowanych danych osobowych.


  • Krok 2. Określ mechanizm, na którym możesz oprzeć transfer danych do państwa trzeciego
  • Znajdź mechanizm przekazywania danych osobowych do państwa trzeciego. Potrzebne przepisy znajdziesz w rozdziale V RODO.
  • Wykonaj ocenę skuteczności przyjętego mechanizmu przekazywania danych osobowych do państwa trzeciego, czy gwarantuje ochronę na poziomie zapewnianym przez RODO.
  • EROD wskazała następujące możliwości przekazania danych do państwa trzeciego:
  • a) za pomocą decyzji Komisji Europejskiej w sprawie nadania państwu z poza Europejskiego Obszaru Gospodarczego statusu zapewniającego odpowiedni poziom ochrony danych osobowych (art. 45 RODO),
  • b) zgodnie z art. 46 RODO (standardowe klauzule umowne ochrony danych, wiążące reguły korporacyjne, kodeksy postępowania, mechanizmy certyfikacji, klauzule umowne ad hoc),
  • c) poprzez zastosowanie wyjątku w szczególnych sytuacjach z art. 49 RODO (należy wykonać ocenę czy zostały spełnione kryteria pozwalające na zastosowanie wymienionego powyżej przepisu).
  • Sprawdź, czy Komisja Europejska uznała, że państwo trzecie, do którego chcesz transferować dane osobowe, zapewnia odpowiedni poziom ochrony danych osobowych. Uznanie Komisji Europejskiej następuje w formie decyzji (art. 45 RODO). Odpowiedź pozytywna oznacza, że nie trzeba podejmować żadnych dodatkowych działań.
  • Jeżeli Komisja Europejska nie uznaje kraju odbiorcy za zapewniający odpowiedni stopień ochrony to podmiot przekazujący dane zobowiązany jest zastosować środki legalizujące transfer do kraju trzeciego wskazane w art. 46 RODO, a w drodze wyjątku także na podstawie art. 49 RODO – gdy transfer dokonywany jest okazjonalnie i w sposób niepowtarzający się.

Krok 3. Oceń system prawny kraju odbiorcy

  • Podmiot transferujący zobowiązany jest zbadać, czy w państwie, do którego transferowane są dane, prawo zezwala na ujawnianie danych osobowych europejskich, w szczególności aparatowi władzy w państwie odbiorcy.
  • Zwróć szczególną uwagę, czy w kraju odbiorcy obowiązują przepisy pozwalające europejskim użytkownikom skutecznie dochodzić swoich praw przed niezależnym organem.
  • W ocenie EROD, gdy środki uzupełniające nie zapewnią odpowiedniego poziomu ochrony danych osobowych podmioty przekazujące dane zobowiązane są do uniknięcia, zawieszenia lub zakończenia przekazywania danych, a dane już przekazane powinny ulec zwrotowi lub usunięciu przez odbierającego dane.

Krok 4. Przyjmij dodatkowe środki

  • Jeżeli mechanizmy legalizujące transfer wymienione w art. 46 RODO nie zapewniają odpowiedniego poziomu ochrony danych osobowych to w ocenie EROD podmioty przekazujące dane powinny zastosować dodatkowe środki uzupełniające, aby wzmocnić ochronę danych.
  • W Rekomendacjach zalecono następujące środki dodatkowe, z podziałem na:
  • a) techniczne (np. szyfrowanie czy pseudonimizacja),
  • b) dodatkowe środki umowne (np. kontraktowe zobowiązanie do wdrożenia odpowiednich środków bezpieczeństwa),
  • c) organizacyjne (np. opracowanie odpowiednich polityk i procedur w zakresie przekazywania danych).

Krok 5. Wprowadź konkretne mechanizmy zabezpieczające transfer danych do państwa trzeciego w danej organizacji

  • Wdróż wybrany mechanizm przekazywania danych do państwa trzeciego.
  • Określ dodatkowe procedury zabezpieczające, np. dodatkowe klauzule ochronne.

Krok 6. Spełnij wymóg rozliczalności przy transferze danych do państwa trzeciego

  • EROD podkreślił znaczenie wyrażonej w art. 5 ust. 2 RODO zasady rozliczalności.
  • Obowiązek stałego monitorowania zmian w przepisach dotyczących ochrony danych osobowych w państwie odbiorcy.
  • Obowiązek wykonywania regularnej oceny poziomu ochrony danych osobowych przekazywanych do państw trzecich.

Wnioski:

Wytyczne EROD mają pomóc eksporterom danych w legalnym wykonywaniu transferów, np. do USA, przy jednoczesnym zagwarantowaniu standardów ochrony zapewnianych na terenie Europejskiego Obszaru Gospodarczego. Wydaje się jednak, że wytyczne, opublikowane pięć miesięcy po ogłoszeniu przez TSUE wyroku w sprawie Schrems II, nie rozwiążą problemów, z którymi aktualnie zmagają się podmioty przekazujące dane. Zastosowanie się do zaleceń EROD wymaga sporego wysiłku organizacyjnego i będzie generowało dodatkowe koszty po stronie administratorów danych. Jak na przykład zalecenie dotyczące znajomości i systematycznego monitorowania systemu prawnego kraju trzeciego, do którego chcemy przesyłać dane. Ponadto EROD wyraźnie wskazuje, że transferowanie danych do państw trzecich powinno się odbywać z wykorzystaniem dodatkowych środków o charakterze technicznym. Chodzi tu o szyfrowaniem danych. Wykonanie tego typu działań, przy relatywnie niskim prawdopodobieństwie naruszenia praw podmiotów danych, będzie sporym utrudnieniem dla małych i średnich przedsiębiorców.

Tutaj można się zapoznać z pełną treścią zaleceń EROD.

https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdfhttps://edpb.europa.eu/sites/edpb/files/files/file1/edpb_recommendations_202002_europeanessentialguaranteessurveillance_en.pdf

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_recommendations_202002_europeanessentialguaranteessurveillance_en.pdf