Echa wyroku Schrems II – nowe wytyczne w sprawie przekazywania danych osobowych poza EOG
Europejska Rada Ochrony Danych („EROD”) opublikowała niedawno wytyczne dla przedsiębiorców przesyłających dane osobowe poza Europejski Obszar Gospodarczy. Wytyczne są odpowiedzią na wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie Schrems II, a ich celem jest pomoc przedsiębiorcom w określeniu obowiązków związanych z przetwarzaniem danych osobowych.
Przede wszystkim EROD podkreśliła, że prawo do ochrony danych ma charakter aktywny. Wymaga zatem od eksporterów i importerów danych (niezależnie od tego, czy są administratorami czy podmiotami przetwarzającymi), aby wykraczali poza bierne przestrzeganie prawa. Muszą oni dążyć do zapewnienia zgodności z przepisami w sposób aktywny i ciągły, wdrażając środki prawne, techniczne i organizacyjne zapewniające ich skuteczność.
Zalecenia w sprawie uzupełniających środków przetwarzania danych odnoszą się do tzw. zasady rozliczalności w ramach przekazywania danych (oznacza ona, że administrator powinien być w stanie wykazać, że podejmowane przez niego kroki w związku z ochroną danych są skuteczne).
EROD wskazała, że zasada rozliczalności powinna być stosowana z uwzględnieniem poniższych kroków:
- znajomości czynności przetwarzania danych (kluczowe jest, aby administrator pozostawał świadomy czynności przetwarzania, jakich dokonuje na danych. Pomóc może w tym rejestrowanie i mapowanie wszystkich transferów danych. Znajomość czynności przetwarzania obejmuje także dalsze transfery danych do państw trzecich dokonywane przez podmioty przetwarzające);
- określenie mechanizmu przekazywania danych, na którym należy się oprzeć – EROD wskazała trzy możliwości:
- decyzja w sprawie odpowiedniego poziomu ochrony;
- artykuł 46 RODO (standardowe klauzule umowne ochrony danych (SCC); wiążące reguły korporacyjne (BCR); kodeksy postępowania; mechanizmy certyfikacji; klauzule umowne ad hoc);
- wyjątki z artykułu 49 RODO (należy jednak pamiętać, aby dokonać oceny czy spełnione są kryteria pozwalające na ich zastosowanie);
- ocena skuteczności przyjętego mechanizmu (innymi słowy, mechanizm taki musi zapewniać, że transfer danych nie podważa poziomu ochrony gwarantowanego przez RODO);
- przyjęcie środków uzupełniających (jeśli okaże się, że przyjęty mechanizm przekazywania danych nie zapewnia odpowiedniego stopnia ochrony), jak np.:
- środki techniczne;
- środki umowne;
- środki organizacyjne.
W załączniku nr 2 do zaleceń EROD znajduje się lista przykładowych mechanizmów w ramach środków wymienionych w punktach powyżej, które mogą być wykorzystane przez podmioty przekazujące dane;
- po określeniu skutecznych środków uzupełniających podjęcie kroków proceduralnych (implementacja środków), związanych z konkretnym mechanizmem przekazywania danych;
- monitorowanie i ponowna ocena w odpowiednich odstępach czasu (zgodnie z artykułem 5 ust. 2 RODO rozliczalność jest zobowiązaniem ciągłym). W ramach obowiązku monitorowania i ponownej oceny EROD wskazał, że podmiot przesyłający dane powinien zapewnić odpowiednie mechanizmy, pozwalające na natychmiastowe zawieszenie lub zakończenie transferu, jeśli:
- odbiorca danych naruszył lub nie jest w stanie wywiązać się z zobowiązań, które podjął w ramach obowiązującego mechanizmu służącego do przekazywania danych, zgodnego z artykułem 46 RODO; lub
- zastosowane środki dodatkowe nie są już skuteczne w tym państwie trzecim;
Należy także zaznaczyć, że zgodnie ze wskazaniami EROD właściwy organ nadzorczy może zawiesić lub zakończyć przekazywanie danych osobowych do państwa trzeciego, jeżeli ochrona przekazywanych danych, której wymaga prawo UE, w szczególności art. 45 i 46 RODO oraz Karta praw podstawowych, nie jest zapewniona.
Pełną treść stanowiska EROD mogą Państwo znaleźć tutaj.