Europejska Rada Ochrony Danych (EROD) – podmiot złożony z przedstawicieli europejskich organów ochrony danych – opublikowała na swojej stronie internetowej wytyczne dotyczące przekazywania danych osobowych poza obszar Unii Europejskiej (UE). W założeniu wytyczne te mają pomóc administratorom zapewnić odpowiedni poziom ochrony danych osobowych przekazywanych poza UE (w tym do USA) po unieważnieniu przez Trybunał Sprawiedliwości Unii Europejskiej (TSUE) tzw. Tarczy Prywatności.
Wyrok TSUE
Przypomnijmy, 16 lipca br. TSUE wydał orzeczenie w głośnej sprawie Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems (C-311/18). TSUE uznał w tym wyroku za nieważną decyzję wykonawczą Komisji Europejskiej (2016/1250) z 12 lipca 2016 r. w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA. Od dnia publikacji tego wyroku Tarcza Prywatności nie może już stanowić podstawy prawnej do przekazywania danych osobowych do USA.
Przekazywanie danych do USA ponownie pod znakiem zapytania – część III
Wskazówki EROD
Po ogłoszeniu wyroku TSUE administratorzy stanęli przed trudnym wyborem. Mogli oprzeć przeprowadzane transfery o tzw. standardowe klauzule umowne (SCC) albo zaprzestać przekazywania danych osobowych poza UE. Dla tych, którzy zdecydowali się na pierwszą z przedstawionych opcji, EROD sformułował kilka kluczowych wskazówek dotyczących transferu danych osobowych do państw trzecich, w tym w szczególności do USA.
W pierwszej kolejności EROD radzi w wytycznych, aby podmioty przekazujące dane osobowe poza UE określiły jurysdykcję krajową, pod którą dane osobowe będą podlegać po ich przekazaniu. SCC mają bowiem na celu zapewnienie, aby dane osobowe były przetwarzane – po transferze – zgodnie z RODO, niezależnie od miejsca gdzie się znajdują. W ocenie EROD, transfer danych osobowych do państw trzecich musi być zgodny z europejskimi przepisami prawa, a ciężar zapewnienia odpowiedniej ich ochrony spoczywa na administratorze.
Opinie EROD w sprawie przekazywania danych do Wielkiej Brytanii
EROD podkreślił w wytycznych, że kluczową kwestią dla administratora jest ustalenie dokąd trafiają przekazane przez niego dane osobowe. Świadomość tego faktu jest bowiem konieczna, aby móc skutecznie zapewnić równoważny poziom ochrony, niezależnie od faktycznego miejsca przetwarzania danych osobowych.
Zgodnie z wytycznymi EROD, administratorzy są zobowiązani do sprawdzenia w każdym przypadku, czy dane, które są transferowane poza UE są adekwatne, stosowne i ograniczone do tego, co jest konieczne w świetle celów w jakich są one przekazywane do państw trzecich. Administrator powinien także zapewnić, aby narzędzia którymi posługuje się do przekazywania danych były zgodne z przepisami RODO.
Jednocześnie – co w praktyce może rodzić spore problemy i dodatkowe koszty – EROD zaleca, aby administrator dokonał oceny przepisów obowiązujących w państwie trzecim w zakresie ochrony danych osobowych. Ocena ta powinna być dokonana z należytą starannością. Jednocześnie – w świetle wytycznych – administrator powinien dokładnie udokumentować przebieg tej oceny, z uwagi na to, że ponosi on pełną odpowiedzialność za swoje decyzje podjęte na jej podstawie. W sytuacji, gdy w wyniku przeprowadzonej oceny, administrator dojdzie do wniosku, że przepisy państwa trzeciego wpływają negatywnie na narzędzia do przekazywania danych, EROD zaleca przyjęcie dodatkowych środków w celu zapewnienia standardu ochrony danych osobowych obowiązującego w UE.
Rozliczalność
EROD szczególnie podkreślił w opublikowanych wytycznych doniosłość zasady rozliczalności, która wymaga stałego nadzoru nad poziomem ochrony danych osobowych. Administratorzy – zdaniem EROD – powinni dokonywać cyklicznej oceny poziomu ochrony danych osobowych przekazywanych poza UE, a obowiązek weryfikacji poprawności tych operacji spoczywa na unijnych organach nadzorczych.
Transfer UE-USA
Sprawne transfery danych osobowych są integralnym elementem utrzymywania współpracy gospodarczej na linii UE-USA, która nierozerwalnie związana jest z wzajemnym przekazywaniem danych osobowych. Po wyroku TSUE w tzw. sprawie Schrems II administratorzy po obu stronach Atlantyku pozbawieni zostali pewności co do legalności dokonywanych transferów danych osobowych.
Aktualnie nie trwają żadne poważniejsze prace mające na celu wypracowanie nowych ram prawnych ułatwiających dokonywanie transferów danych osobowych z UE do USA (na podobieństwo np. Tarczy Prywatności). Różnice w systemie prawnym oraz odmienne podejście UE i USA do kwestii ochrony prywatności dodatkowo komplikują tę kwestię.
Wysoce prawdopodobny jest wobec tego scenariusz, że SCC – które zasadniczo wymagają zapewnienia poziomu ochrony danych osobowych równoważnego do RODO – pozostaną przez najbliższy czas jedynym narzędziem prawnym umożliwiającym legalny transfer danych osobowych za ocean. Wytyczne EROD mogą bez wątpienia pomóc administratorom odnaleźć się w nowej rzeczywistości, niemniej ciężko oprzeć się wrażeniu, że niektóre z określonych w nich zaleceń mogą generować po stronie administratorów spore utrudnienia oraz dodatkowe koszty.
Pełna treść Wytycznych w j. angielskim:
Źródło:
https://digit.fyi/edpb-releases-guidance-for-eu-us-data-transfers/
