W sierpniu informowaliśmy o wyroku TSUE (sprawa Schrems II), który unieważnił decyzję Komisji Europejskiej dotyczącą Tarczy Prywatności UE-USA. Z powodu tego orzeczenia Tarcza przestała obowiązywać, a tym samym zniknęły podstawy do przekazywania danych do USA (zapraszam do zapoznania się z całym wpisem na ten temat tutaj).
Trybunał uznał, że postanowienia Tarczy nie dawały gwarancji ochrony danych na takim poziomie jak wymaga tego RODO.
Wtedy też Europejska Rada Ochrony Danych zobowiązała się do przygotowania wytycznych, które miały być pomocne w znalezieniu właściwej, zgodnej z RODO drogi do przekazywania danych do USA.
W październiku br. opublikowano i przedstawiono do konsultacji projekt Zaleceń nr 01/2020 Europejskiej Rady Ochrony Danych (EROD) w sprawie środków, które uzupełniają narzędzia transferu w celu zapewnienia zgodność z unijnym poziomem ochrony danych osobowych.
W skrócie – zastosowanie tych wytycznych i środków uzupełniających ma zagwarantować właściwe przetwarzanie danych np. w USA – i tym samym umożliwić przekazywanie danych osobowych do USA w ramach współpracy z np. tamtejszymi firmami.
W związku z powyższym, przestawiam kroki, które firma przekazująca dane poza EOG powinna zastosować, by ocenić czy ochrona danych w tym kraju będzie spełniała wymogi RODO.
Poniżej wskazuję też kilka przykładów „środków uzupełniających”, które można wdrożyć w celu zwiększenia poziomu ochrony transferowanych danych i spełnić europejskie wymagania ochrony danych. Są to takie środki:
Firma przekazująca powinna rejestrować dane i identyfikować wszystkie operacje przekazywania danych, które mają miejsce w organizacji. Działania te trzeba podejmować przed każdym przekazaniem i aktualizować przed ponownym podjęciem operacji przekazywania danych po ich zawieszeniu.
Ta cześć wydaje się technicznie łatwa, można to robić dzięki określonym narzędziom jak choćby www.rodobox.pl
Korzystać można też z np. rejestrów czynności przetwarzania danych (o ile ktoś je prowadzi zgodnie z art. 30 RODO) czy wcześniejszych informacji na temat operacji przekazywania danych osobowych do państw trzecich przekazywane osobom, których dane te dotyczą.
Uwaga: zdalny dostęp z państwa trzeciego i/lub przechowywanie w chmurze znajdującej się poza EOG uznawany jest również za przekazywanie danych osobowych.
Ważne jest na jakiej podstawie są przekazywane dane osobowe.
RODO dopuszcza transfery do państw trzecich między innymi na podstawie decyzji Komisji Europejskiej potwierdzającej, że dane państwo trzecie zapewnia odpowiedni stopień ochrony. Uchylona Tarcza Prywatności UE-USA stanowiła właśnie taką podstawę.
Gdy dojdzie do takiej sytuacji jak teraz (a więc nie ma takiej podstawy) możliwe jest zastosowanie narzędzi wymienionych w art. 46 RODO, które stanowią zastępstwo dla konkretnych norm.
Te narzędzia to np. wiążące reguły korporacyjne czy też standardowe klauzule ochrony danych przyjęte przez KE. Ważne, że trzeba upewnić się, że te narzędzia dają odpowiednie prawa osobom, których dane dotyczą i skuteczne środki ochrony prawnej (taki sam stopień ochrony jaki gwarantuje RODO).
Warto dodać, że od 27 czerwca 2021 r. 27 czerwca 2021 r. weszła w życie decyzja Komisji Europejskiej nr 2021/914 w sprawie standardowych klauzul umownych dotyczących przekazania danych osobowych do państw trzecich. Standardowe klauzule umowne odnoszą się m. in. do:
Link do decyzji KE znajduje się pod adresem: https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32021D0914&from=PL
Podkreślić należy, że zastosowanie klauzul z ww. decyzji nie zwalnia z koniczności oceny transferu danych pod kątem zgodności z wyrokiem w TSUE w sprawie Schrems II czy wdrożenia dodatkowych środków uzupełniających standardowe klauzule umowne.
Wybrane przez firmę narzędzie z art. 46 RODO (opisane powyżej) musi zapewniać stopień ochrony gwarantowany przez RODO, co oznacza że narzędzie ochrony musi być skuteczne w praktyce, możliwe do zastosowania i wyegzekwowania.
Podmiot przetwarzający musi więc przeprowadzić analizę prawa i praktyki państwa trzeciego oraz ocenić jego wpływ na skuteczność wybranego narzędzia przekazywania (!).
W przypadku transferów do USA, w związku z tym co zostało wskazane w wyroku TSUE, można mieć jednak poważne wątpliwości co do funkcjonowania niezależnego mechanizmu nadzoru nad służbami uprawnionymi do dostępu do danych.
Taka ocena powinna dotyczyć wszystkich podmiotów uczestniczących w przekazywaniu danych, w tym również podpowierzających. Podmiot przekazujący musi zapoznać się z charakterystyką każdego przekazania i określić w jaki sposób krajowy porządek prawny państwa, do którego dane są przekazywane, ma zastosowanie do tego przekazania.
Ważne przy tej ocenie będzie m.in. określenie:
Jeśli ocena przeprowadzona z kroku 3 wykazała, że wybrane narzędzia przekazywania danych (te z art. 46 RODO) nie są skuteczne, podmiot przekazujący musi we współpracy z podmiotem odbierającym sprawdzić czy istnieją środki uzupełniające, które mogłyby zapewnić danym przekazywanym poza EOG poziom ochrony równy temu gwarantowanemu przez RODO.
Najprościej więc będzie określić z partnerem handlowym z np. USA w jaki sposób on te dane zabezpieczy i w jaki sposób będzie je przetwarzał, żeby wypełnić wymogi RODO.
Śródki uzupełniające mogą mieć charakter np. umowny, techniczny lub organizacyjny. Na ogół nie są one w stanie rozwiązać problemu dostępu do danych przez organy państwa trzeciego ale za to mogą utrudniać lub uniemożliwiać tym organom skuteczny do nich dostęp, w szczególności w celach nadzoru.
Poniżej wskazuję niektóre z przykładowych środków uzupełniających z zastrzeżeniem, że ich wykorzystanie zależne jest oczywiście od specyfiki konkretnego przetwarzania:
Działania proceduralne, o których mowa, różnić się będą w zależności od narzędzia przekazywania danych z art. 46 RODO.
Zalecenia 01/2020 wskazują te kroki w sposób obszerny w zależności czy stosowane są:
dlatego też nie będę ich tu opisywał.
Jeżeli tych wymogów wciąż jest mało, to mogę jeszcze dodać, że podmiot przekazujący musi stale monitorować rozwój stanu prawnego mającego wpływ na stopień ochrony danych w państwie do którego przekazuje te dane.
A więc przekazując dane do USA, powinniśmy kontrolować zmiany w miejscowym prawie, a następnie oceniać czy te zmiany nie wpływają negatywnie na poziom ochrony danych.
Ponadto, zgodnie z wytycznymi podmiot przekazujący powinien wprowadzić mechanizmy pozwalające na szybkie zawieszenie lub zakończenie przekazywania danych do takiego kraju, jeżeli sytuacji w nim powoduje ryzyko braku odpowiedniej ochrony danych osobowych.
W myśl projektu Zaleceń nr 01/2020 Europejskiej Rady Ochrony Danych (EROD) w sprawie środków, które uzupełniają narzędzia transferu w celu zapewnienia zgodność z unijnym poziomem ochrony danych osobowych podmiot przekazujący będzie odpowiedzialny za analizę i ocenę dotyczącą przekazywania danych, prawa państw spoza EOG i wybranych przez nich narzędzi przekazywania danych.
Podmiot przekazujący dane będzie zobowiązany do zachowania należytej staranności przy przekazywaniu danych i sporządzania szczegółowej dokumentacji dotyczącej przetwarzanych przez niego danych. Powinien być przy tym świadomy, że nie w każdym przypadku możliwe jest wdrożenie wystarczających środków uzupełniających. Najbardziej obciążające może być dla organizacji stałe monitorowanie przepisów prawa państwa spoza EOG, do którego przekazuje dane, co nie będzie mogło bardzo często odbyć bez pomocy profesjonalnego działu prawnego np. miejscowej kancelarii.