Koniec Privacy Shield – Opinia EROD dotycząca wyroku TSUE w sprawie Schrems II
29.07.2020
Autor: Ewa Boboli
W ostatnim artykule pisaliśmy o zapadłym w dniu 16 lipca 2020 r. orzeczeniu Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w sprawie C-311/18 – Data Protection Commissioner przeciwko Facebook Ireland Ltd i Maximillianowi Schremsowi (Schrems II).
Wyrok unieważnił Tarczę Prywatności – mechanizm dotychczas legalizujący znaczną część transferów danych osobowych do USA – pozostawiając biznes z pytaniem jak dalej działać. Odpowiedzi można szukać w nowym stanowisku przygotowanym przez Europejską Radę Ochrony Danych (EROD) w formie FAQ.
W opublikowanym stanowisku EROD potwierdziła:
Możliwość stosowania SCC czy BCR zależeć będzie od wyniku każdorazowej oceny transferu dokonanej przez podmiot transferujący dane. Oznacza to także nałożenie na uczestników rynku konieczności wdrożenia ewentualnych dodatkowych środków, które zapewnią, że prawodawstwo państwa trzeciego (np. USA) nie będzie miało negatywnego wpływu na odpowiedni stopień ochrony przesyłanych danych. Jednocześnie EROD nie wskazuje jakie to mogłyby być środki, i tak jak w przypadku całego RODO to po stronie administratora danych pozostaje zastosowanie takich zabezpieczeń i mechanizmów, które zapewnią danym odpowiedni stopień ochrony. Można uznać, że ocenie powinny podlegać w szczególności:
Prawodawstwo państwa trzeciego
Dokonując tej analizy prawodawstwa podmioty te powinny mieć na uwadze chociażby poszanowanie takich wartości jak praworządność, prawa człowieka i podstawowe wolności. Analiza powinna obejmować zarówno ustawodawstwo ogólne, jak i sektorowe – w tym w dziedzinie bezpieczeństwa publicznego, obrony, bezpieczeństwa narodowego i prawa karnego oraz dostępu organów publicznych do danych osobowych, istnienie i skuteczne działanie co najmniej jednego niezależnego organu nadzorczego zapewniającego i egzekwującego przestrzeganie przepisów o ochronie danych czy międzynarodowe zobowiązania zaciągnięte przez państwo trzecie.
Rodzaj transferowanych danych i zastosowanych zabezpieczeń
Legalność transferu i ewentualna modyfikacja jego parametrów zależeć będzie od konkretnych przypadków, począwszy od stosowania zaawansowanych metod szyfrowania po ograniczenie do minimum zakresu przetwarzania danych osobowych w państwach trzecich.
Po ogłoszeniu wyroku Maximillian Schrems stwierdził, że „ Jeśli amerykańskie przedsiębiorstwa będą chciały nadal odgrywać ważną rolę na rynku UE, to jest oczywiste, że USA będą musiały poważnie zmienić swoje przepisy dotyczące nadzoru” [1]. Jednak wbrew temu, wypowiedzi EROD sugerują, że na ten moment to nie na administracji USA, a na spółkach unijnych ciąży odpowiedzialność za znalezienie takich środków, które sprawią, że transferowane dane będą odpowiednio zabezpieczone. Przeprowadzanie takiej weryfikacji to ogromne wyzwanie organizacyjne i finansowe dla podmiotów europejskich.
Źrodła:
https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118_en.pdf
https://www.uodo.gov.pl/pl/138/1614
[1] Wypowiedź Maximilliana Schremsa z 16.07.2020 opublikowana https://noyb.eu/pl/node/189 [dostęp dnia 28.07.2020]
Autor
Ewa Boboli
Prawnik, aplikantka przy Okręgowej Izbie Radców Prawnych w Warszawie. Doświadczenie zdobywała w warszawskich kancelariach prawnych oraz spółkach. Doradzała spółkom w zakresie prawa ochrony danych osobowych, e-commerce, sporządzała dokumentację wymaganą przepisami RODO oraz ustawy o świadczeniu usług drogą elektroniczną. Obecnie prowadzi audyty zgodności z RODO, a także pełni funkcję Inspektora Ochrony Danych.
Kategorie
Dołącz do listy mailingowej i otrzymuj od nas zawsze aktualne informcje!