17 listopada 2020 w Blog

Echa wyroku Schrems II – nowe wytyczne w sprawie przekazywania danych osobowych poza EOG

Europejska Rada Ochrony Danych („EROD”)  opublikowała niedawno wytyczne dla przedsiębiorców przesyłających dane osobowe poza Europejski Obszar Gospodarczy. Wytyczne są odpowiedzią na wyrok Trybunału Sprawiedliwości Unii Europejskiej  w sprawie Schrems II, a ich celem jest pomoc przedsiębiorcom w określeniu obowiązków związanych z przetwarzaniem danych osobowych.

Przede wszystkim EROD podkreśliła, że prawo do ochrony danych ma charakter aktywny. Wymaga zatem od eksporterów i importerów danych (niezależnie od tego, czy są administratorami  czy podmiotami przetwarzającymi), aby wykraczali poza bierne przestrzeganie prawa. Muszą oni dążyć do zapewnienia zgodności z przepisami w sposób aktywny i ciągły, wdrażając środki prawne, techniczne i organizacyjne zapewniające ich skuteczność.

Zalecenia w sprawie uzupełniających środków przetwarzania danych odnoszą się do tzw. zasady rozliczalności w ramach przekazywania danych (oznacza ona, że administrator powinien być w stanie wykazać, że podejmowane przez niego kroki w związku z ochroną danych są skuteczne).

EROD wskazała, że zasada rozliczalności powinna być stosowana z uwzględnieniem poniższych kroków:

  1. znajomości czynności przetwarzania danych (kluczowe jest, aby administrator pozostawał świadomy czynności przetwarzania, jakich dokonuje na danych. Pomóc może w tym rejestrowanie i mapowanie wszystkich transferów danych. Znajomość czynności przetwarzania obejmuje także dalsze transfery danych do państw trzecich dokonywane przez podmioty przetwarzające);
  2. określenie mechanizmu przekazywania danych, na którym należy się oprzeć – EROD wskazała trzy możliwości:
    • decyzja w sprawie odpowiedniego poziomu ochrony;
    • artykuł 46 RODO (standardowe klauzule umowne ochrony danych (SCC); wiążące reguły korporacyjne (BCR); kodeksy postępowania; mechanizmy certyfikacji; klauzule umowne ad hoc);
    • wyjątki z artykułu 49 RODO (należy jednak pamiętać, aby dokonać oceny czy spełnione są kryteria pozwalające na ich zastosowanie);
  3. ocena skuteczności przyjętego mechanizmu (innymi słowy, mechanizm taki musi  zapewniać, że transfer danych nie podważa poziomu ochrony gwarantowanego przez RODO);
  4. przyjęcie środków uzupełniających (jeśli okaże się, że przyjęty mechanizm przekazywania danych nie zapewnia odpowiedniego stopnia ochrony), jak np.:
    • środki techniczne;
    • środki umowne;
    • środki organizacyjne.

W załączniku nr 2 do zaleceń EROD znajduje się lista przykładowych mechanizmów w ramach środków wymienionych w punktach powyżej, które mogą być wykorzystane przez podmioty przekazujące dane;

  1. po określeniu skutecznych środków uzupełniających podjęcie kroków proceduralnych (implementacja środków), związanych z konkretnym mechanizmem przekazywania danych;
  2. monitorowanie i ponowna ocena w odpowiednich odstępach czasu (zgodnie z artykułem 5 ust. 2 RODO rozliczalność jest zobowiązaniem ciągłym). W ramach obowiązku monitorowania i ponownej oceny EROD wskazał, że podmiot przesyłający dane powinien zapewnić odpowiednie mechanizmy, pozwalające na natychmiastowe zawieszenie lub zakończenie transferu, jeśli:
    • odbiorca danych naruszył lub nie jest w stanie wywiązać się z zobowiązań, które podjął w ramach obowiązującego mechanizmu służącego do przekazywania danych, zgodnego z artykułem 46 RODO; lub
    • zastosowane środki dodatkowe nie są już skuteczne w tym państwie trzecim;

Należy także zaznaczyć, że zgodnie ze wskazaniami EROD właściwy organ nadzorczy może zawiesić lub zakończyć przekazywanie danych osobowych do państwa trzeciego, jeżeli ochrona przekazywanych danych, której wymaga prawo UE, w szczególności art. 45 i 46 RODO oraz Karta praw podstawowych, nie jest zapewniona.

Pełną treść stanowiska EROD mogą Państwo znaleźć tutaj.

Materiały zamieszczone na stronie internetowej Kancelarii Prawnej SQUARE mają charakter informacyjny i nie stanowią porady prawnej. Kancelaria Prawna SQUARE, ani jej pracownicy, nie ponoszą odpowiedzialności za ewentualne błędy lub braki w zamieszczonych materiałach oraz ewentualne działania podjęte w oparciu o takie materiały.
Osoby zainteresowane uzyskaniem porady prawnej lub informacji dotyczących kwestii poruszonych na stronie proszone są o skontaktowanie się bezpośrednio z Kancelarią Prawną SQUARE poprzez formularz kontaktowy, wiadomość e-mail lub telefonicznie na numer wskazany w stopce.

The materials and information posted on the SQUARE Legal website are provided for general information purposes only and do not constitute legal advice. SQUARE Legal and its employees are not responsible for any errors or deficiencies in the posted materials or information, and any actions taken based thereon.
Should you be interested in obtaining legal advice or information on issues discussed on the SQUARE Legal website, do not hesitate to contact us directly via phone, online contact form or e-mail.