Co zmienił wyrok TSUE w sprawie Schrems II?
W zakresie transferu danych do państw trzecich, powołany wyrok TSUE odnosi do trzech zasadniczych kwestii:
1. uchylenia tzw. Tarczy Prywatności (Privacy Shield), na podstawie której dokonywano transferu danych osobowych do Stanów Zjednoczonych;
2. utrzymania w mocy standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (decyzja Komisji Europejskiej z 5.2.2010 r. notyfikowana jako dokument nr C(2010) 593);
3. konieczności podejmowania przez administratorów danych dodatkowych środków, w zależności od poziomu ochronnych danych w danym państwie trzecim.
TSUE nie sprecyzował jednak, jakie „dodatkowe środki” mają podejmować podmioty dokonujące przekazania danych poza obszar unijny. Pomocne mają być tu omawiane wytyczne Europejskiej Rady Ochrony Danych.
Co zawiera projekt wytycznych EROD?
Z dokumentu wynika, że wytyczne zostały przyjęte w celu pomocy eksporterom danych w złożonym procesie oceny poziomu ochrony danych w państwie trzecim i identyfikacji dodatkowych środków niezbędnych do zapewnienia odpowiedniego poziomu ochrony przekazywanych danych. EROD określiła sześć podstawowych kroków, jakie powinny zostać podjęte:
Krok 1: Identyfikacja wszystkich dokonywanych transferów danych osobowych do państw trzecich
W praktyce sprowadza się to przede wszystkim do zweryfikowania prowadzonych rejestrów czynności przetwarzania, kategorii czynności przetwarzania oraz obowiązków informacyjnych realizowanych względem podmiotów danych.
Krok 2: Weryfikacja podstawy przekazywania danych
Mogą to być decyzje stwierdzające odpowiedni poziom ochrony danych przyjmowane przez Komisję Europejską w trybie art. 45 RODO, przekazywanie danych z zastrzeżeniem odpowiednich zabezpieczeń, o których mowa w art. 46 RODO lub odstępstwa wymienione w przepisie art. 49 RODO.
Krok 3: Ocena legislacji i praktyki w danym państwie trzecim w zakresie danych osobowych (w tym w szczególności pod kątem dostępu do danych przez organy publiczne)
Należy przy tym odwołać się do wszelkich dostępnych źródeł i informacji dotyczących państwa, do którego mają zostać przekazane dane oraz przyjętych w nim rozwiązań prawnych, które mogą mieć zastosowanie do czynności transferu danych. W załączniku do wytycznych wymieniono przykładowe źródła informacji, w tym m.in. orzecznictwo krajowe lub decyzje podjęte przez niezależne organy sądowe lub administracyjne właściwe w zakresie prywatności i ochrony danych w państwach trzecich, raporty instytucji akademickich, organizacji pozarządowych, stowarzyszeń branżowych.
Krok 4: Identyfikacja i przyjęcie dodatkowych środków koniecznych, aby poziom ochrony przekazywanych danych osiągnął unijny standard
W załączniku do wytycznych wymienione zostały przykłady dodatkowych środków ochrony danych, które mogą być stosowane przez podmioty przekazujące dane do państw trzecich, a wśród nich:
– środki techniczne, np. anonimizacja, szyfrowanie danych
– środki organizacyjne, jak np. procedury wewnętrzne,
– środki umowne, tj. uwzględnianie w umowach dotyczących transferu danych odpowiednich klauzul ochronnych.
Krok 5: Podjęcie kroków formalnych i proceduralnych w celu przyjęcia dodatkowego środka ochrony danych
Możliwe jest w tym zakresie zastosowanie standardowych klauzul ochrony danych przyjętych przez Komisję (art. 46 ust. 2 lit. c i d RODO), wiążących reguł korporacyjnych (art. 46 ust. 2 lit. b RODO), jak również klauzul umownych między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej pod warunkiem uzyskania zezwolenia właściwego organu nadzorczego (art. 46 ust. 3 lit. a RODO).
Krok 6: Monitorowanie sytuacji w państwach trzecich (w tym zmian w prawie) oraz weryfikowanie przyjętych wcześniej środków ochrony danych
Wszystkie powyższe kroki powinny być podejmowane przy uwzględnieniu ogólnych zasad ochrony danych wynikających z RODO, przede wszystkim zasady zgodności z prawem, zasady adekwatności i zasady rozliczalności. Zarówno sposób oceny, czy dodatkowe środki powinny zostać zastosowane, jak również sposób ich wyboru i wdrożenia będzie musiał zostać odpowiednio udokumentowany. Takiej dokumentacji może oczekiwać właściwy organ nadzorczy podczas ewentualnej kontroli.
W dokumencie zwrócono szczególną uwagę na rolę organów nadzorczych, które wykonują swoje uprawnienia w zakresie monitorowania stosowania RODO i jego egzekwowania. Z wytycznych wynika, że organy nadzorcze powinny zwracać szczególną uwagę na działania podejmowane przez eksporterów danych w celu zapewnienia, że przekazywane przez nich dane objęte są odpowiednim poziomem ochrony. W przypadkach stwierdzenia, iż taki poziom ochrony nie został zapewniony, mają obowiązek wstrzymać lub zakazać przekazywania danych.
Europejska Rada Ochrony Danych została powołana na mocy przepisów RODO w celu zapewnienia spójnego stosowania rozporządzenia. Jednym z jej zadań jest wydawanie wytycznych, zaleceń oraz określania najlepszych praktyk, aby doprecyzować ogólne zapisy RODO. Wydaje się jednak, że w niniejszym przypadku także wytyczne EROD wymagają interpretacji.
Wątpliwości budzi przede wszystkim nałożenie obowiązku monitorowania zmian w prawie, jakie zachodzą w państwach spoza Unii, do których przekazywane są określone dane osobowe. Cel, któremu ma to służyć, należy uznać za uzasadniony, jednakże w praktyce może to okazać się trudne do wykonania. Samo wejście w życie przepisów RODO wiązało się dla wielu podmiotów z koniecznością poniesienia znacznych środków na przygotowanie odpowiednich procedur, wdrożenie odpowiednich środków technicznych czy dostosowanie istniejących dokumentacji z zakresu ochrony danych osobowych do nowych przepisów. Na podstawie niniejszych wytycznych może okazać się, że z transfer danych do państwa trzeciego wymagać będzie korzystania z usług tamtejszych prawników, czy specjalistów z zakresu ochrony danych osobowych.
Mimo tego, dokument z pewnością należy ocenić jako pomocny, bowiem wyznacza pewne standardy działań, które powinny być podejmowane przez administratorów danych przekazujących dane poza Unię Europejską i potwierdza, że praktyki podejmowane już przez wiele podmiotów są prawidłowe i wystarczające, aby uznać je za spełniające wymogi RODO.
