PL
PL
June 2022

Transfer danych osobowych poza UE

7 minut
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Contents

Przekazywanie danych osobowych do USA – 6 kroków zgodnych z RODO po wyroku Schrems II

Po unieważnieniu Tarczy Prywatności UE-USA przez TSUE (sprawa Schrems II) zniknęła dotychczasowa podstawa przekazywania danych do USA. Europejska Rada Ochrony Danych (EROD) wydała Zalecenia nr 01/2020, które określają środki uzupełniające i konkretne kroki do legalnego transferu danych poza EOG. Poniżej znajdziesz 6 kroków, które Twoja firma powinna wdrożyć, jeśli przekazuje dane do USA lub innego państwa trzeciego.

Dlaczego Tarcza Prywatności przestała obowiązywać

W sierpniu 2020 r. TSUE wydał wyrok w sprawie Schrems II, który unieważnił decyzję Komisji Europejskiej dotyczącą Tarczy Prywatności UE-USA. Trybunał uznał, że postanowienia Tarczy nie gwarantowały ochrony danych na poziomie wymaganym przez RODO.

Więcej o samym wyroku przeczytasz tutaj.

Co zrobiła EROD

  • Zobowiązała się do przygotowania wytycznych umożliwiających legalne przekazywanie danych do USA.
  • W październiku 2020 r. opublikowała projekt Zaleceń nr 01/2020 w sprawie środków, które uzupełniają narzędzia transferu w celu zapewnienia zgodności z unijnym poziomem ochrony danych osobowych.
  • Zalecenia te zostały sfinalizowane i przyjęte w ostatecznej wersji.

Zastosowanie tych wytycznych i środków uzupełniających ma zagwarantować właściwe przetwarzanie danych np. w USA – i umożliwić legalny transfer w ramach współpracy z tamtejszymi firmami.

6 kroków do legalnego przekazywania danych poza EOG

Krok 1. Zidentyfikuj transfery danych

Zanim przekażesz jakiekolwiek dane, zarejestruj i zidentyfikuj wszystkie operacje przekazywania danych w Twojej organizacji. Rób to:

  • przed każdym przekazaniem danych,
  • przed wznowieniem operacji przekazywania po ich zawieszeniu.

Skąd wziąć informacje o transferach:

Uwaga: Zdalny dostęp z państwa trzeciego i przechowywanie w chmurze znajdującej się poza EOG to również przekazywanie danych osobowych.

Krok 2. Zweryfikuj podstawę prawną przekazywania danych

Sprawdź, na jakiej podstawie przekazujesz dane osobowe. RODO dopuszcza transfery do państw trzecich m.in. na podstawie decyzji Komisji Europejskiej potwierdzającej odpowiedni stopień ochrony w danym państwie. Uchylona Tarcza Prywatności była właśnie taką podstawą.

Jeśli brak odpowiedniej decyzji KE – zastosuj narzędzia z art. 46 RODO:

  • Wiążące reguły korporacyjne (BCRs)
  • Standardowe klauzule ochrony danych przyjęte przez KE

Upewnij się, że wybrane narzędzie daje osobom, których dane dotyczą, odpowiednie prawa i skuteczne środki ochrony prawnej – na tym samym poziomie co RODO.

Standardowe klauzule umowne (od 27 czerwca 2021 r.)

Od 27 czerwca 2021 r. obowiązuje decyzja Komisji Europejskiej nr 2021/914 w sprawie standardowych klauzul umownych. Odnoszą się one do czterech scenariuszy:

  1. Przekazywanie danych pomiędzy administratorami
  2. Przekazywanie danych przez administratora podmiotowi przetwarzającemu w państwie trzecim
  3. Przekazywanie między podmiotami przetwarzającymi
  4. Przekazywanie danych przez podmiot przetwarzający administratorowi w państwie trzecim

Treść decyzji KE: link do decyzji

Ważne: Zastosowanie klauzul z tej decyzji nie zwalnia Cię z oceny transferu pod kątem wyroku Schrems II ani z wdrożenia dodatkowych środków uzupełniających.

Krok 3. Oceń prawo i praktykę państwa trzeciego

Narzędzie z art. 46 RODO, które wybrałeś, musi być skuteczne w praktyce – możliwe do zastosowania i wyegzekwowania. Dlatego przeprowadź analizę prawa i praktyki państwa trzeciego oraz oceń ich wpływ na skuteczność wybranego narzędzia.

W przypadku transferów do USA – po wyroku Schrems II istnieją poważne wątpliwości co do funkcjonowania niezależnego nadzoru nad służbami uprawnionymi do dostępu do danych.

Taka ocena powinna obejmować wszystkie podmioty uczestniczące w przekazywaniu danych, w tym podpowierzających.

Co uwzględnić w ocenie:

  1. Cel transferu – np. marketing, HR, przechowywanie, IT
  2. Rodzaj podmiotów zaangażowanych w przetwarzanie – administrator/podmiot przetwarzający, podmiot publiczny/prywatny
  3. Sektor, w którym następuje przekazanie danych
  4. Kategorie danych osobowych – np. dane dzieci, które mogą podlegać szczególnym regulacjom w państwie trzecim
  5. Sposób przechowywania – dane przechowywane w kraju trzecim czy zdalny dostęp do danych na terenie UE/EOG
  6. Format danych – zwykły tekst, pseudonimizowane, zaszyfrowane (uwaga: niektóre kraje nie zezwalają na przekazanie danych zaszyfrowanych)
  7. Dalsze przekazywanie – czy dane mogą trafić z państwa trzeciego do kolejnego państwa trzeciego

Krok 4. Zidentyfikuj i wdróż środki uzupełniające

Jeśli ocena z kroku 3 wykazała, że narzędzia z art. 46 RODO nie zapewniają wystarczającej ochrony – musisz we współpracy z podmiotem odbierającym ustalić środki uzupełniające, które wyrównają poziom ochrony do standardu RODO.

W praktyce: ustal z partnerem handlowym z USA, w jaki sposób zabezpieczy dane i jak będzie je przetwarzał, żeby wypełnić wymogi RODO.

Środki uzupełniające mogą mieć charakter umowny, techniczny lub organizacyjny. Nie zawsze rozwiążą problem dostępu organów państwa trzeciego do danych, ale mogą ten dostęp utrudnić lub uniemożliwić.

Przykładowe środki uzupełniające:

  1. Silne szyfrowanie danych – uniemożliwiające odczytanie przez organy nadzoru w państwie trzecim. Możesz to osiągnąć stosując szyfrowanie oferowane przez odpowiednie oprogramowanie.
  2. Kontrola kluczy kryptograficznych – przechowywanie kluczy pod wyłączną kontrolą podmiotu przekazującego lub zaufanych podmiotów z terytorium EOG (przy przechowywaniu danych w kraju trzecim bez konieczności dostępu do nich).
  3. Pseudonimizacja – zastosowanie zabezpieczeń techniczno-organizacyjnych uniemożliwiających powiązanie przekazywanych danych ze zidentyfikowaną osobą fizyczną. Możliwe do wdrożenia przy odpowiednim oprogramowaniu.
  4. Podział danych na części – każda część przekazywana innemu podmiotowi w innej jurysdykcji, tak aby żadna z części nie pozwalała zidentyfikować konkretnej osoby bez dodatkowych informacji. Warunek: organy nadzoru w tych krajach nie mogą współpracować w celu uzyskania dostępu do wszystkich części.
  5. Tranzyt zaszyfrowanych danych – dane przepływają przez państwo trzecie wyłącznie w celu tranzytu do kraju zapewniającego odpowiednią ochronę. Wymagany wysoki poziom szyfrowania i brak możliwości odszyfrowania w państwie tranzytowym.

Krok 5. Podejmij wymagane działania proceduralne

Działania proceduralne będą różne w zależności od wybranego narzędzia z art. 46 RODO. Zalecenia 01/2020 szczegółowo opisują te kroki dla:

  1. Standardowych klauzul ochronnych (SCCs) – art. 46 ust. 2 lit. c i d RODO
  2. Wiążących reguł korporacyjnych (BCRs) – art. 46 ust. 2 lit. b RODO
  3. Klauzul umownych między administratorem lub podmiotem przetwarzającym a odbiorcą danych w państwie trzecim – art. 46 ust. 3 lit. a RODO

Sprawdź treść Zaleceń, żeby dobrać procedurę do swojego scenariusza.

Krok 6. Monitoruj i oceniaj ochronę danych na bieżąco

Twoja firma musi stale monitorować stan prawny w państwie, do którego przekazuje dane. Przekazując dane do USA:

  • Śledź zmiany w miejscowym prawie dotyczącym ochrony danych i nadzoru
  • Oceniaj, czy te zmiany nie obniżają poziomu ochrony danych osobowych
  • Przygotuj mechanizm szybkiego zawieszenia lub zakończenia transferu, jeśli sytuacja w danym kraju zacznie zagrażać ochronie danych

Podsumowanie – co musisz wiedzieć

Zgodnie z Zaleceniami EROD 01/2020 to Ty jako podmiot przekazujący odpowiadasz za:

  • analizę i ocenę transferu danych,
  • zbadanie prawa państw spoza EOG,
  • dobór właściwych narzędzi przekazywania danych,
  • wdrożenie środków uzupełniających.

Obowiązki, o których nie możesz zapomnieć:

  • Zachowaj należytą staranność przy każdym przekazaniu danych
  • Sporządź szczegółową dokumentację dotyczącą przetwarzanych danych
  • Pamiętaj, że nie w każdym przypadku uda się wdrożyć wystarczające środki uzupełniające
  • Przygotuj się na stałe monitorowanie przepisów prawa państwa trzeciego – w praktyce często wymaga to wsparcia profesjonalnego działu prawnego lub miejscowej kancelarii

Najczęściej zadawane pytania

Jak po wyroku Schrems II legalnie przekazywać dane osobowe do USA zgodnie z RODO? Zgodnie z Zaleceniami EROD 01/2020 musisz przejść 6 kroków: zidentyfikować wszystkie transfery danych w organizacji, zweryfikować podstawę prawną przekazywania (np. standardowe klauzule umowne lub wiążące reguły korporacyjne), ocenić prawo i praktykę państwa trzeciego, wdrożyć środki uzupełniające (techniczne, organizacyjne, umowne), dopełnić wymaganych działań proceduralnych, a na koniec uruchomić stały monitoring zmian prawnych w kraju odbiorcy. To Ty jako podmiot przekazujący odpowiadasz za całą analizę, dobór narzędzi i wdrożenie zabezpieczeń.


Czy same standardowe klauzule umowne wystarczą, żeby zgodnie z RODO przekazywać dane do USA? Nie. Zastosowanie standardowych klauzul umownych (decyzja KE nr 2021/914) nie zwalnia Cię z oceny transferu pod kątem wyroku Schrems II ani z wdrożenia dodatkowych środków uzupełniających. Musisz zbadać, czy prawo i praktyka państwa trzeciego pozwalają na skuteczne egzekwowanie ochrony wynikającej z tych klauzul, a jeśli nie – ustalić z odbiorcą danych konkretne zabezpieczenia wyrównujące poziom ochrony do standardu RODO.


Co trzeba sprawdzić przy ocenie prawa i praktyki państwa trzeciego przed transferem danych? Oceń siedem elementów: cel transferu (np. marketing, HR, IT), rodzaj podmiotów zaangażowanych w przetwarzanie, sektor przekazania danych, kategorie danych osobowych (np. dane dzieci), sposób przechowywania (lokalnie w kraju trzecim czy zdalny dostęp), format danych (zwykły tekst, pseudonimizowane, zaszyfrowane) oraz to, czy dane mogą trafić dalej do kolejnego państwa trzeciego. Ocena powinna obejmować wszystkie podmioty uczestniczące w przekazywaniu, w tym podpowierzających.


Jakie środki uzupełniające można wdrożyć przy przekazywaniu danych do USA po Schrems II? Środki uzupełniające mogą mieć charakter techniczny, umowny lub organizacyjny. W praktyce obejmują m.in. silne szyfrowanie danych uniemożliwiające odczytanie przez organy państwa trzeciego, przechowywanie kluczy kryptograficznych wyłącznie pod kontrolą podmiotu z EOG, pseudonimizację uniemożliwiającą powiązanie danych ze zidentyfikowaną osobą, podział danych na części przekazywane do różnych jurysdykcji oraz tranzyt danych wyłącznie w formie zaszyfrowanej bez możliwości odszyfrowania w kraju tranzytowym.


Czy zdalny dostęp do danych z USA albo chmura poza EOG też są traktowane jako transfer danych osobowych? Tak. Zdalny dostęp z państwa trzeciego oraz przechowywanie danych w chmurze znajdującej się poza EOG to według Zaleceń EROD również przekazywanie danych osobowych. Oznacza to, że jeśli Twój zespół w USA loguje się do systemów z danymi osobowymi albo korzystasz z chmury zlokalizowanej poza EOG, musisz przejść pełną procedurę oceny transferu i wdrożyć odpowiednie zabezpieczenia.

Zostaw numer telefonu
Odezwiemy się najszybciej jak to możliwe.


    The administrator of your personal data is Sawaryn i Partnerzy sp. k. with its registered office in Warsaw (00-040), ul. Warecka 4/6 lok. 6. Your personal data will be processed in order to respond to the submitted inquiry and to archive the form. More information can be found in our
    Regulaminie
    and
    Polityce Prywatności.



    Share this article:
    Generic selectors
    Exact matches only
    Search in title
    Search in content
    Post Type Selectors
    Contents
    Suggested articles
    Jakie procedury ochrony danych w biurze wprowadzić, aby przestrzegać przepisów RODO?
    Bezpieczeństwo danych osobowych to priorytet, który dotyczy każdej firmy, niezależnie...
    10 najciekawszych kar RODO w 2025 roku *
    Zdarza się, że o ochronie danych myślimy wyłącznie w kategorii...
    Jak przygotować politykę prywatności i cookies zgodną z RODO?
    Ochrona danych osobowych to nie tylko kwestia odpowiednich procedur obowiązujących...
    1 2 3 9