Podsumowanie roku 2020 z perspektywy IOD

• 27.01.2021

• Autor: Ewa Boboli

• obowiązki administratora danych

Wielu ekspertów z zakresu ochrony danych osobowych przy okazji podsumowań roku 2019 wskazywało, że rok 2020 będzie okresem stabilizacji. W końcu z RODO byliśmy już za pan brat, poznaliśmy pierwszą decyzję ws. nałożenia kary administracyjnej przez polski organ nadzorczy i przebrnęliśmy przez ustawę wdrażającą RODO. Urząd Ochrony Danych Osobowych zaplanował szeroko zakrojone kontrole sektorowe, natomiast praktycy mieli skupiać się na nowych wytycznych Urzędu, uzasadnieniach wyroków sądów administracyjnych i doprowadzaniu stanu zgodności z RODO w spółkach do poziomu jeszcze bliższego perfekcji. I najpewniej tak by się stało gdyby nie…

COVID-19

O ile przed rokiem 2020 publikacje noszące wzniosłe tytuły „Ochrona danych w czasach pandemii” itp. można było włożyć do przegródki na wymyślne pomysły na prace magisterskie, o tyle w roku 2020 prawie każdy Inspektor Ochrony Danych mógł się poczuć ekspertem z zakresu ochrony danych osobowych ze specjalnością „wirusologia i choroby zakaźne”. Inspektorzy stanęli bowiem przed poważnym problemem pogodzenia praw podmiotów danych – osób fizycznych – z interesem publicznym.

Administratorzy danych zmagali się z szeregiem wątpliwości począwszy od mierzenia temperatury w miejscu pracy, informowania załogi o stanie zdrowia innego pracownika przez testowanie oraz implikacje uzyskania informacji o pozytywnym wyniku badania u pracownika/kontrahenta czy gościa wizytującego biuro. Z drugiej strony, szczególnej uwagi ze strony administratorów danych wymagała koordynacja pracy zdalnej, na którą musiało przejść wielu pracowników.

Na wszystkie te problemy administratorzy danych oczekiwali konkretnych odpowiedzi. Inspektor Ochrony Danych mógł poradzić sobie z trudnymi pytaniami tylko w jeden sposób – nie stawiać w swoich wypowiedziach praw jednostek do ochrony swoich danych osobowych w sprzeczności z interesem ogółu. Ostatecznie, przy sprawnej współpracy całej organizacji możliwe było wypracowanie alternatywnych rozwiązań, które spełniały założone cele.

Max Schrems

Gdy tylko zanotowaliśmy mniejsze przyrosty zachorowań na COVID-19, a co za tym idzie również mniejsze zainteresowanie przetwarzaniem danych osobowych w tym kontekście, Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał w dniu 16 lipca 2020 r. wyrok ws. C-311/18 dotyczący Tarczy Prywatności – mechanizmu legalizującego transfer danych osobowych do USA. TSUE uznał Tarczę Prywatności za nieważną, co spowodowało, że wszystkie transfery danych do Stanów Zjednoczonych oparte na tej podstawie, musiały zostać zastąpione innymi podstawami legalizującymi.

Jedną z takich podstaw może być stosowanie standardowych klauzul umownych (z ang. SCC) zatwierdzonych przez Komisję Europejską, jednak pod warunkiem dokonania przez transferującego dane analizy m.in. prawodawstwa państwa trzeciego i wdrożenia dodatkowych środków, które legalizowałyby taki transfer.

W listopadzie, Europejska Rada Ochrony Danych przyjęła długo wyczekiwane zalecenia w sprawie środków uzupełniających narzędzia przekazywania danych w celu zapewnienia zgodności ze stopniem ochrony danych osobowych UE, jak również zalecenia w sprawie niezbędnych gwarancji europejskich dla środków nadzoru. Zalecenia te nie zawierały odpowiedzi na wszystkie pytania administratorów danych, niemniej jednak wskazały kierunek działań, jakie muszą podjąć przy transferze danych poza Europejski Obszar Gospodarczy.

Temat transferu danych będzie jeszcze pewnie przedmiotem licznych skarg, decyzji i orzeczeń w nadchodzącym roku. Otwarta pozostaje nadal sprawa 101 skarg złożonych przez organizację Maxa Schrems`a  do właściwych organów nadzoru na jedne z największych europejskich spółek. W skargach tych  kwestionuje on legalność transferu danych do USA przez te podmioty po wyroku TSUE.

Brexit

Wraz z orzeczeniem TSUE dot. Tarczy Prywatności nie skończył się temat transferu danych przez administratorów z EOG. W momencie wystąpienia z Unii Europejskiej (UE) Wielka Brytania stała się „państwem trzecim” i od tego dnia zastosowanie mają przepisy UE dotyczące przekazywania danych osobowych do państw trzecich. Ze względu na zakres terytorialny RODO będzie stosowane do podmiotów brytyjskich przetwarzających dane osób przebywających w UE.

Ważną wiadomością dla administratorów danych jest informacja, że od 1 stycznia 2021 r. swobodny przepływ danych między EOG  a Zjednoczonym Królestwem zostanie utrzymany maksymalnie do 1 lipca 2021 r. Przewiduje to tzw. klauzula pomostowa zawarta w postanowieniach końcowych Umowy o handlu i współpracy między Unią Europejską  i Europejską Wspólnotą Energii Atomowej z jednej strony a Zjednoczonym Królestwem Wielkiej Brytanii i Irlandii Północnej z drugiej, która będzie regulowała przyszłe relacje między UE i Zjednoczonym Królestwem.

Niemniej jednak administratorzy danych już dziś powinni pomyśleć o przygotowaniu organizacji na II półrocze 2021. Choć Komisja Europejska (KE) w Deklaracji dotyczącej przyjęcia decyzji w sprawie odpowiedniego poziomu ochrony w odniesieniu do Zjednoczonego Królestwa zadeklarowała chęć szybkiego rozpoczęcia formalnej procedury w tym zakresie, to w przypadku gdyby jednak KE nie wydała w przewidzianym czasie decyzji w sprawie odpowiedniego poziomu ochrony, przekazywanie danych do Wielkiej Brytanii po upływie okresu przejściowego będzie wymagało zastosowania zabezpieczeń określonych w art. 46 RODO.

2021

Jeśli chodzi o obecny nowy rok, to administratorom danych oraz Inspektorom Ochrony Danych nie pozostaje nic innego, jak wyciągnąć wnioski z minionych 12 miesięcy i zgodnie z dewizą, że należy spodziewać się niespodziewanego, przewiedzieć w planach przestrzeń, która pozwoli na sprawną reakcję na zaskakujące wydarzenia.

Źrodła:

http://curia.europa.eu/

https://noyb.eu/en/101-complaints-eu-us-transfers-filed

https://noyb.eu/en/update-noybs-101-complaints-eu-us-data-transfers

https://www.uodo.gov.pl/pl/138/1810

Interesuje Cię kompleksowa oferta usługi Inspektor Ochrony Danych – Outsourcing?

Potrzebujesz więcej informacji?

Autor

Ewa Boboli

Prawnik, aplikantka przy Okręgowej Izbie Radców Prawnych w Warszawie. Doświadczenie zdobywała w warszawskich kancelariach prawnych oraz spółkach. Doradzała spółkom w zakresie prawa ochrony danych osobowych, e-commerce, sporządzała dokumentację wymaganą przepisami RODO oraz ustawy o świadczeniu usług drogą elektroniczną. Obecnie prowadzi audyty zgodności z RODO, a także pełni funkcję Inspektora Ochrony Danych.