Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Nowe zalecenia transferowe EROD

21-01-2021 Autor: Damian Karwala

Sprawa Schrems II wzbudziła liczne kontrowersje m.in. z powodu wątpliwości związanych ze zgodnością rozstrzygnięcia TSUE z rodo. Projekt nowych zaleceń przygotowany i przyjęty przez EROD zamiast je niwelować generuje nowe. Ich skutkiem może być dalece utrudnione prowadzenie operacji na danych osobowych w skali międzynarodowej.

 

Europejska Rada Ochrony Danych (dalej: EROD), działając na podstawie art. 70 ust. 1 lit. e rodo, 10 listopada 2020 r. przyjęła projekt zaleceń 1/2020 w sprawie środków uzupełniających narzędzia przekazywania danych w celu zapewnienia zgodności ze stopniem ochrony danych osobowych UE. Dokument ten stanowi odpowiedź unijnych organów nadzorczych skupionych w EROD na głośny wyrok TSUE z 16 lipca 2020 r. w sprawie Schrems II (C-311/18). Odpowiedź, która może w istotny sposób wpłynąć na zasady rządzące operacjami przekazywania danych osobowych do państw trzecich (nie tylko do USA). Odpowiedź, która w pełni akceptuje rozstrzygnięcie TSUE, budzące pewne wątpliwości w kontekście zgodności z rodo, a w kilku punktach idzie nawet o krok dalej, sprawiając, iż przed wszystkimi zaangażowanymi w tego rodzaju operacje okres wytężonej pracy, dużych wyzwań i (nadal) sporej niepewności.


Sześć kroków na drodze do zgodności


Dokument zaprezentowany przez EROD ma w założeniach stanowić pomoc dla unijnych eksporterów danych (administratorów oraz podmiotów przetwarzających) w przygotowaniu i wdrożeniu odpowiednich środków uzupełniających w sytuacji, w której są one niezbędne dla zapewnienia „merytorycznie równoważnego” stopnia ochrony danych przekazywanych do państwa trzeciego (państw trzecich). Przypomnijmy, że zgodnie z wyrokiem TSUE w sprawie Schrems II możliwość dalszego korzystania z podstawowego dla obrotu instrumentu transferowego – standardowych klauzul umownych – uzależniona jest od spełnienia dodatkowych, daleko idących wymogów. Pierwszy z nich zakłada przeprowadzenie przez eksportera danych analizy prawa państwa trzeciego, w szczególności pod kątem warunków dostępu do przekazywanych danych ze strony organów władzy publicznej (np. służb specjalnych) państwa trzeciego. Drugi – przyjęcia dodatkowych zabezpieczeń (środków uzupełniających) ponad te wynikające z samych klauzul umownych. Biorąc zaś pod uwagę, że TSUE nie wskazał w uzasadnieniu swego rozstrzygnięcia, jakie miałyby być to środki, tym większa rola przypadła tu EROD.

 

EROD nie poprzestała na doprecyzowaniu wyłącznie powyższych kwestii. Zaprezentowała całościową metodologię, ujętą w sześciu punktach (krokach). Może ona stanowić istotne wsparcie w podejściu do operacji transferowych w ogóle, tj. nie tylko w sytuacji korzystania ze standardowych klauzul umownych. U jej podstaw leży wymóg zapewnienia ciągłości wysokiego poziomu ochrony przetwarzanych danych, bez względu na miejsce, w którym dochodzi do przetwarzania. Wymóg ten EROD ujęła następująco: „ochrona danych osobowych w Europejskim Obszarze Gospodarczym musi «podróżować» razem z danymi wszędzie tam, gdzie są one przekazywane. Przekazywanie danych osobowych do państw trzecich nie może być sposobem podważenia lub osłabienia ochrony zapewnianej w EOG”.

 

Ocena skuteczności instrumentu transferowego


EROD, zwracając się w swych zaleceniach bezpośrednio do eksporterów danych, wskazuje, że w ramach trzeciego kroku niezbędne jest przeprowadzenie oceny pod kątem tego, „czy w prawie lub praktyce państwa trzeciego istnieje cokolwiek, co może mieć wpływ na skuteczność odpowiednich zabezpieczeń narzędzi przekazywania, na których polegasz, w kontekście twojego konkretnego przekazywania danych”. Nie pozostawia przy tym wątpliwości, że ocena ta powinna koncentrować się przede wszystkim na przepisach państwa trzeciego, które są istotne dla konkretnej operacji przekazywania danych i które mogą skutkować tym, że importer danych nie będzie w stanie wywiązać się z zobowiązań wynikających z umowy transferowej (standardowych klauzul umownych). EROD, zdając sobie najwyraźniej sprawę z tego, że samo zadanie zidentyfikowania (odszukania) właściwych przepisów prawa obcego może nie być proste, podpowiada adresatom zaleceń (eksporterom danych), że to „podmiot odbierający dane powinien dostarczyć Ci odpowiednich źródeł i informacji dotyczących państwa trzeciego, w którym ma jednostkę organizacyjną, oraz przepisów mających zastosowanie do przekazywania danych”. Odpowiedzialność za wyniki analizy prawa państwa trzeciego ponosi jednak eksporter danych.
Projekt zaleceń zawiera listę kryteriów, które pozwalają na wyznaczenie ram prawnych (rzecz jasna, w obrębie prawa państwa trzeciego), których analiza jest niezbędna. Wśród kryteriów tych wymieniono m.in. cele przekazywania danych, rodzaj podmiotów zaangażowanych w przetwarzanie danych w państwie trzecim oraz sektor, w ramach którego dochodzi do przetwarzania (np. sektor finansowy, który w państwie trzecim może podlegać szczegółowej sektorowej regulacji). Co przy tym szczególnie istotne, kryteria te nie pozwalają na pominięcie kroku trzeciego i brak przeprowadzenia wymaganej analizy z uwagi np. na poziom ryzyka, jaki eksporter danych identyfikuje w związku z operacją transferową. Obowiązki ujęte w zaleceniach nie zostały bowiem w żaden sposób „wyskalowane” z uwzględnieniem np. charakteru przekazywanych danych, skali prowadzonych operacji transferowych, wielkości eksportera danych czy rozmiarów prowadzonej przez niego działalności. Tym samym też – jak należy odczytywać projekt zaleceń EROD – analiza prawa państwa trzeciego będzie wymagana zarówno w sytuacji przekazywania na masową skalę przez międzynarodową korporację danych wrażliwych (np. danych o stanie zdrowia), jak i przez mikroprzedsiębiorcę, który np. w związku z realizacją umowy dostawy swoich produktów zawiera z klientem z państwa trzeciego umowę, która obejmuje w swej treści podstawowe dane kontaktowe pracowników tego przedsiębiorcy. Rozwiązanie proponowane przez EROD niewiele ma tym samym wspólnego z podejściem opartym na ryzyku (risk-based approach), które – co kolejny już raz potwierdzają dokumenty EROD – pozostaje zasadą jedynie „na papierze”.

 

[...]

 

Autor jest doktorem nauk prawnych, radcą prawnym, członkiem zespołu Prawa Własności Intelektualnej i Nowych Technologii w kancelarii CMS.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.