Co zmienił wyrok TSUE w sprawie Schrems II?

W zakresie transferu danych do państw trzecich, powołany wyrok TSUE odnosi do trzech zasadniczych kwestii:

1. uchylenia tzw. Tarczy Prywatności (Privacy Shield), na podstawie której dokonywano transferu danych osobowych do Stanów Zjednoczonych;

2. utrzymania w mocy standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (decyzja Komisji Europejskiej z 5.2.2010 r. notyfikowana jako dokument nr C(2010) 593);

3. konieczności podejmowania przez administratorów danych dodatkowych środków, w zależności od poziomu ochronnych danych w danym państwie trzecim.

TSUE nie sprecyzował jednak, jakie „dodatkowe środki” mają podejmować podmioty dokonujące przekazania danych poza obszar unijny. Pomocne mają być tu omawiane wytyczne Europejskiej Rady Ochrony Danych.

4 moduły Systemu Legalis z Bazą prawa i orzecznictwa od 150 zł netto/m-c Sprawdź

Co zawiera projekt wytycznych EROD?

Z dokumentu wynika, że wytyczne zostały przyjęte w celu pomocy eksporterom danych w złożonym procesie oceny poziomu ochrony danych w państwie trzecim i identyfikacji dodatkowych środków niezbędnych do zapewnienia odpowiedniego poziomu ochrony przekazywanych danych. EROD określiła sześć podstawowych kroków, jakie powinny zostać podjęte:

Krok 1: Identyfikacja wszystkich dokonywanych transferów danych osobowych do państw trzecich

W praktyce sprowadza się to przede wszystkim do zweryfikowania prowadzonych rejestrów czynności przetwarzania, kategorii czynności przetwarzania oraz obowiązków informacyjnych realizowanych względem podmiotów danych.

Krok 2: Weryfikacja podstawy przekazywania danych

Mogą to być decyzje stwierdzające odpowiedni poziom ochrony danych przyjmowane przez Komisję Europejską w trybie art. 45 RODO, przekazywanie danych z zastrzeżeniem odpowiednich zabezpieczeń, o których mowa w art. 46 RODO lub odstępstwa wymienione w przepisie art. 49 RODO.

Krok 3: Ocena legislacji i praktyki w danym państwie trzecim w zakresie danych osobowych (w tym w szczególności pod kątem dostępu do danych przez organy publiczne)

Należy przy tym odwołać się do wszelkich dostępnych źródeł i informacji dotyczących państwa, do którego mają zostać przekazane dane oraz przyjętych w nim rozwiązań prawnych, które mogą mieć zastosowanie do czynności transferu danych. W załączniku do wytycznych wymieniono przykładowe źródła informacji, w tym m.in. orzecznictwo krajowe lub decyzje podjęte przez niezależne organy sądowe lub administracyjne właściwe w zakresie prywatności i ochrony danych w państwach trzecich, raporty instytucji akademickich, organizacji pozarządowych, stowarzyszeń branżowych.

Krok 4: Identyfikacja i przyjęcie dodatkowych środków koniecznych, aby poziom ochrony przekazywanych danych osiągnął unijny standard

W załączniku do wytycznych wymienione zostały przykłady dodatkowych środków ochrony danych, które mogą być stosowane przez podmioty przekazujące dane do państw trzecich, a wśród nich:

– środki techniczne, np. anonimizacja, szyfrowanie danych

– środki organizacyjne, jak np. procedury wewnętrzne,

– środki umowne, tj. uwzględnianie w umowach dotyczących transferu danych odpowiednich klauzul ochronnych.

Krok 5: Podjęcie kroków formalnych i proceduralnych w celu przyjęcia dodatkowego środka ochrony danych

Możliwe jest w tym zakresie zastosowanie standardowych klauzul ochrony danych przyjętych przez Komisję (art. 46 ust. 2 lit. c i d RODO), wiążących reguł korporacyjnych (art. 46 ust. 2 lit. b RODO), jak również klauzul umownych między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej pod warunkiem uzyskania zezwolenia właściwego organu nadzorczego (art. 46 ust. 3 lit. a RODO).

Krok 6: Monitorowanie sytuacji w państwach trzecich (w tym zmian w prawie) oraz weryfikowanie przyjętych wcześniej środków ochrony danych

Wszystkie powyższe kroki powinny być podejmowane przy uwzględnieniu ogólnych zasad ochrony danych wynikających z RODO, przede wszystkim zasady zgodności z prawem, zasady adekwatności i zasady rozliczalności. Zarówno sposób oceny, czy dodatkowe środki powinny zostać zastosowane, jak również sposób ich wyboru i wdrożenia będzie musiał zostać odpowiednio udokumentowany. Takiej dokumentacji może oczekiwać właściwy organ nadzorczy podczas ewentualnej kontroli.

W dokumencie zwrócono szczególną uwagę na rolę organów nadzorczych, które wykonują swoje uprawnienia w zakresie monitorowania stosowania RODO i jego egzekwowania. Z wytycznych wynika, że organy nadzorcze powinny zwracać szczególną uwagę na działania podejmowane przez eksporterów danych w celu zapewnienia, że przekazywane przez nich dane objęte są odpowiednim poziomem ochrony. W przypadkach stwierdzenia, iż taki poziom ochrony nie został zapewniony, mają obowiązek wstrzymać lub zakazać przekazywania danych.

Europejska Rada Ochrony Danych została powołana na mocy przepisów RODO w celu zapewnienia spójnego stosowania rozporządzenia. Jednym z jej zadań jest wydawanie wytycznych, zaleceń oraz określania najlepszych praktyk, aby doprecyzować ogólne zapisy RODO. Wydaje się jednak, że w niniejszym przypadku także wytyczne EROD wymagają interpretacji.

Wątpliwości budzi przede wszystkim nałożenie obowiązku monitorowania zmian w prawie, jakie zachodzą w państwach spoza Unii, do których przekazywane są określone dane osobowe. Cel, któremu ma to służyć, należy uznać za uzasadniony, jednakże w praktyce może to okazać się trudne do wykonania. Samo wejście w życie przepisów RODO wiązało się dla wielu podmiotów z koniecznością poniesienia znacznych środków na przygotowanie odpowiednich procedur, wdrożenie odpowiednich środków technicznych czy dostosowanie istniejących dokumentacji z zakresu ochrony danych osobowych do nowych przepisów. Na podstawie niniejszych wytycznych może okazać się, że z transfer danych do państwa trzeciego wymagać będzie korzystania z usług tamtejszych prawników, czy specjalistów z zakresu ochrony danych osobowych.

Mimo tego, dokument z pewnością należy ocenić jako pomocny, bowiem wyznacza pewne standardy działań, które powinny być podejmowane przez administratorów danych przekazujących dane poza Unię Europejską i potwierdza, że praktyki podejmowane już przez wiele podmiotów są prawidłowe i wystarczające, aby uznać je za spełniające wymogi RODO.

Wszystkie aktualności n.ius® po zalogowaniu. Nie posiadasz dostępu? Przetestuj. Sprawdź