Transfer danych osobowych – rekomendacje Europejskiej Rady Ochrony Danych po wyroku Schrems II

Trybunału Sprawiedliwości Unii Europejskiej w wyroku z dnia 16 lipca 2020 r. ws. C-311/18, znanym jako Schrems II (pisaliśmy o tym wyroku pod linkiem: rodoradar.pl) nie tylko usunął mechanizm legalizujący transfer danych osobowych do USA, czyli Tarczę Prywatności, lecz także zwrócił uwagę, że wykorzystywanie innych mechanizmów legalizujących transfer, np. Standardowych Klauzul Umownych, wymaga zagwarantowania, że dane osobowe przekazywane poza obszar Europejskiego Obszaru Gospodarczego będą chronione co najmniej w równym stopniu jak na terenie EOG. Wspomniane uwagi TSUE wywołały spore zaniepokojenie wśród podmiotów dokonujących transferu danych z uwagi na fakt, że wyrok nie precyzuje, z jakich dodatkowych środków można korzystać, aby transfer oparty na mechanizmach przewidzianych w RODO mógł zostać uznany za bezpieczny.

Europejska Rada Ochrony Danych (EROD) wydała rekomendacje, w których został przedstawiony modelowy sposób dokonywania transferu danych oraz wskazano przykładowe  środki, które mogą wspomóc przewidziane w RODO narzędzia legalizujące przesyłanie danych osobowych poza EOG, aby zapewnić odpowiedni poziom ochrony danych w kraju trzecim.

EROD przypomniała, że do transferu danych nie jest konieczne, aby poziom ochrony danych w kraju trzecim był identyczny jak w EOG, lecz aby był istotnie równoważny poziomowi ochrony w EOG. W przypadku, gdy prawo lub praktyka działalności w kraju trzecim powoduje, że dane po transferze byłyby chronione w mniejszym stopniu, niż przewidują to mechanizmy legalizujące transfer („odpowiednie zabezpieczenia” wskazane w art. 46 ust. 2 oraz 3 RODO), potrzebne jest skorzystanie z dodatkowych środków, niwelujących lukę w ochronie danych w kraju trzecim. Wśród okoliczności, które mogą stanowić o niższym poziomie ochrony w kraju trzecim, EROD wymienia m.in. możliwość dostępu do danych przez organy publiczne czy niejasność lub brak upublicznienia regulacji dotyczących przetwarzania danych osobowych.

W rekomendacjach została określona mapa drogowa, która ma obrazować właściwą ścieżkę postępowania w przypadku transferu danych do państw trzecich.

1. Podmiot eksportujący dane powinien dokładnie zidentyfikować wszystkie transfery, a także zweryfikować zakres transferowanych danych pod kątem zasady minimalizacji.

2. Następnym krokiem jest wybór odpowiedniego mechanizmu legalizującego transfer, jednego z określonych w rozdziale V RODO.

3. Trzecim krokiem jest ocena, czy wybrany do konkretnego transferu mechanizm legalizujący będzie mógł być w pełni przestrzegany. Taka ocena uzależniona jest m.in. od tego, czy przepisy kraju trzeciego:

  • Uniemożliwiają realizację praw podmiotów danych.
  • Nie przyznają organom publicznym zbyt szerokiego i dowolnego dostępu do danych (punktem odniesienia może być art. 47 oraz 52 Karty Praw Podstawowych).
  • Nie stoją na przeszkodzie zabezpieczeniom przewidzianym w wybranym mechanizmie legalizującym transfer.

Istotnym czynnikiem przy takiej ocenie jest okoliczność, czy dany kraj:

  • Posiada niezależne organy właściwe ds. ochrony danych.
  • Uchwalił przepisy dotyczące ochrony danych.
  • Oraz czy przystąpił do międzynarodowych instrumentów czy porozumień związanych z danymi osobowymi (przykładem może być Konwencja nr 108 Rady Europy).

4. Jeśli w wyniku oceny eksporter dojdzie do wniosku, że w konkretnym kraju trzecim nie będzie    zapewniony równoważny poziom ochrony jak w EOG, zgodnie z wybranym mechanizmem legalizującym transfer, w celu kontynuowania transferu konieczne będzie zapewnienie środków uzupełniających.

5. Dodatkowe środki zabezpieczające transfer mogą mieć charakter umowny, techniczny lub organizacyjny. Istotne jest, że nie można wskazać uniwersalnych środków, ponieważ ich wybór powinien być w każdym przypadku dostosowany do konkretnych okoliczności w kraju trzecim, które osłabiają poziom ochrony danych. Przykładowo, w przypadku zbyt szerokiego oraz nieuzasadnionego dostępu do danych przez organy publiczne w kraju trzecim, dodatkowe środki umowne nie będą efektywne, ale techniczne już tak, np. silne zaszyfrowanie danych. Wśród potencjalnych środków uzupełniających EROD wymienia także pseudonimizację, rozdzielenie transferowanych danych na kilku odbiorców w różnych krajach, wybór na odbiorcę podmiot o specjalnym statusie w kraju trzecim, zapewniającym ochronę przed dostępem służb, dodatkowe umowne zobowiązanie importera do stosowania specjalnych środków bezpieczeństwa równoważących poziom ochrony danych do poziomu ochrony w EOG, np. w postaci dodatkowych obowiązków dokumentacyjnych, informacyjnych, zwiększonej przejrzystości, rozliczalności czy minimalizacji danych.

6. Ostatnim etapem na mapie EROD jest systematyczne dokonywanie oceny legalności transferu. Zasada rozliczalności wymaga, aby ocena, o której mowa powyżej, nie była jednorazowo dokonywana jedynie przed transferem, ponieważ eksporter danych powinien stale czuwać nad tym, czy jest zapewniany odpowiedni poziom ochrony danych w kraju trzecim.

Mimo kilku przydatnych wskazówek zamieszczonych w wytycznych EROD mamy jednak obawy, że transfer danych osobowych do krajów trzecich będzie budził nadal wątpliwości, zwłaszcza w zakresie obowiązku dokonywania oceny stanu prawnego kraju trzeciego. Najbardziej pożądanym krokiem byłoby wypracowanie na poziomie unijnym rozwiązań, które przeniosłyby ten obowiązek na Komisję bądź organy nadzorcze, aby jednolicie na poziomie wszystkich krajów członkowskich było jasne, jakie kraje trzecie posiadają prawodawstwo, które obniża poziom ochrony danych przewidziany w mechanizmach legalizujących transfer.

Źródło:

https://edpb.europa.eu/

Autor

Michał Madecki

Certyfikowany Inspektor Ochrony Danych. Doświadczenie zawodowe zdobywał podczas pracy w Urzędzie Ochronie Danych Osobowych oraz kancelariach prawnych specjalizujących się w prawie ochrony danych osobowych, e-privacy, prawie własności intelektualnej, e-commerce, prawie pracy oraz obsłudze prawnej spółek handlowych. Brał udział w opiniowaniu projektów aktów prawnych z punktu widzenia przepisów dotyczących ochrony danych osobowych.