Dane osobowe | styczeń 2021

Transfer danych osobowych poza UE

| 7 minut

Transfer danych osobowych poza UE

Wytyczne związane z transferem danych poza EOG – np. do USA

W sierpniu informowaliśmy o wyroku TSUE (sprawa Schrems II), który unieważnił decyzję Komisji Europejskiej dotyczącą Tarczy Prywatności UE-USA. Z powodu tego orzeczenia Tarcza przestała obowiązywać, a tym samym zniknęły podstawy do przekazywania danych do USA (zapraszam do zapoznania się z całym wpisem na ten temat tutaj).

Trybunał uznał, że postanowienia Tarczy nie dawały gwarancji ochrony danych na takim poziomie jak wymaga tego RODO.

Wtedy też Europejska Rada Ochrony Danych zobowiązała się do przygotowania wytycznych, które miały być pomocne w znalezieniu właściwej, zgodnej z RODO drogi do przekazywania danych do USA.

W październiku br. opublikowano i przedstawiono do konsultacji projekt Zaleceń nr 01/2020 Europejskiej Rady Ochrony Danych (EROD) w sprawie środków, które uzupełniają narzędzia transferu w celu zapewnienia zgodność z unijnym poziomem ochrony danych osobowych.

W skrócie – zastosowanie tych wytycznych i środków uzupełniających ma zagwarantować właściwe przetwarzanie danych np. w USA – i tym samym umożliwić przekazywanie danych osobowych do USA w ramach współpracy z np. tamtejszymi firmami.
 

Co należy zrobić żeby przekazywać dane do USA?

W związku z powyższym, przestawiam kroki, które firma przekazująca dane poza EOG powinna zastosować, by ocenić czy ochrona danych w tym kraju będzie spełniała wymogi RODO.

Poniżej wskazuję też kilka przykładów „środków uzupełniających”, które można wdrożyć w celu zwiększenia poziomu ochrony transferowanych danych i spełnić europejskie wymagania ochrony danych. Są to takie środki:

1. Identyfikacja transferów danych

Firma przekazująca powinna rejestrować dane i identyfikować wszystkie operacje przekazywania danych, które mają miejsce w organizacji. Działania te trzeba podejmować przed każdym przekazaniem i aktualizować przed ponownym podjęciem operacji przekazywania danych po ich zawieszeniu.

Ta cześć wydaje się technicznie łatwa, można to robić dzięki określonym narzędziom jak choćby www.rodobox.pl

Korzystać można też z np. rejestrów czynności przetwarzania danych (o ile ktoś je prowadzi zgodnie z art. 30 RODO) czy wcześniejszych informacji na temat operacji przekazywania danych osobowych do państw trzecich przekazywane osobom, których dane te dotyczą.

Uwaga: zdalny dostęp z państwa trzeciego i/lub przechowywanie w chmurze znajdującej się poza EOG uznawany jest również za przekazywanie danych osobowych.

2. Weryfikacja/określenie podstaw przekazywania danych

Ważne jest na jakiej podstawie są przekazywane dane osobowe.

RODO dopuszcza transfery do państw trzecich między innymi na podstawie decyzji Komisji Europejskiej potwierdzającej, że dane państwo trzecie zapewnia odpowiedni stopień ochrony. Uchylona Tarcza Prywatności UE-USA stanowiła właśnie taką podstawę.

Gdy dojdzie do takiej sytuacji jak teraz (a więc nie ma takiej podstawy) możliwe jest zastosowanie narzędzi wymienionych w art. 46 RODO, które stanowią zastępstwo dla konkretnych norm.

Te narzędzia to np. wiążące reguły korporacyjne czy też standardowe klauzule ochrony danych przyjęte przez KE. Ważne, że trzeba upewnić się, że te narzędzia dają odpowiednie prawa osobom, których dane dotyczą i skuteczne środki ochrony prawnej (taki sam stopień ochrony jaki gwarantuje RODO).

3. Ocena prawa lub praktyki państwa trzeciego oraz ocena jaki wpływ ma to prawo na ochronę danych osobowych

Wybrane przez firmę narzędzie z art. 46 RODO (opisane powyżej) musi zapewniać stopień ochrony gwarantowany przez RODO, co oznacza że narzędzie ochrony musi być skuteczne w praktyce, możliwe do zastosowania i wyegzekwowania.

Podmiot przetwarzający musi więc przeprowadzić analizę prawa i praktyki państwa trzeciego oraz ocenić jego wpływ na skuteczność wybranego narzędzia przekazywania (!).

W przypadku transferów do USA, w związku z tym co zostało wskazane w wyroku TSUE, można mieć jednak poważne wątpliwości co do funkcjonowania niezależnego mechanizmu nadzoru nad służbami uprawnionymi do dostępu do danych.

Taka ocena powinna dotyczyć wszystkich podmiotów uczestniczących w przekazywaniu danych, w tym również podpowierzających. Podmiot przekazujący musi zapoznać się z charakterystyką każdego przekazania i określić w jaki sposób krajowy porządek prawny państwa, do którego dane są przekazywane, ma zastosowanie do tego przekazania.

Ważne przy tej ocenie będzie m.in. określenie:

  1. Celu, w jakim transfer jest przeprowadzany (np. marketing, HR, przechowywanie, IT);
  2. Rodzaju podmiotów zaangażowanych w przetwarzanie (administrator/podmiot przetwarzający; podmiot publiczny/prywatny);
  3. Sektora, w którym następuje przekazanie danych;
  4. Kategorii przekazywanych danych osobowych (np. dane osobowe dotyczących dzieci, które mogą znaleźć się w zakresie szczegółowego prawodawstwa w państwie trzecim);
  5. Tego czy dane będą przechowywane w kraju trzecim, czy też transfer będzie opierać się tylko na zdalnym dostępie do danych przechowywanych na terenie UE/EOG;
  6. Formatu przesyłanych danych (tj. zwykły tekst/pseudonimowane lub zaszyfrowane dane – co do ostatniego należy mieć świadomość, że pewne kraje nie zezwalają na przekazanie na ich terytorium danych w formie zaszyfrowanej);
  7. Tego czy dane mogą być przekazywane dalej z państwa trzeciego do innego państwa trzeciego.

 

Masz dodatkowe pytania lub wątpliwości?

Napisz do nas!

Kontakt

 

4. Zidentyfikowanie i przyjęcie środków uzupełniających

Jeśli ocena przeprowadzona z kroku 3 wykazała, że wybrane narzędzia przekazywania danych (te z art. 46 RODO) nie są skuteczne, podmiot przekazujący musi we współpracy z podmiotem odbierającym sprawdzić czy istnieją środki uzupełniające, które mogłyby zapewnić danym przekazywanym poza EOG poziom ochrony równy temu gwarantowanemu przez RODO.

Najprościej więc będzie określić z partnerem handlowym z np. USA w jaki sposób on te dane zabezpieczy i w jaki sposób będzie je przetwarzał, żeby wypełnić wymogi RODO.

Śródki uzupełniające mogą mieć charakter np. umowny, techniczny lub organizacyjny. Na ogół nie są one w stanie rozwiązać problemu dostępu do danych przez organy państwa trzeciego ale za to mogą utrudniać lub uniemożliwiać tym organom skuteczny do nich dostęp, w szczególności w celach nadzoru.

Poniżej wskazuję niektóre z przykładowych środków uzupełniających z zastrzeżeniem, że ich wykorzystanie zależne jest oczywiście od specyfiki konkretnego przetwarzania:

  1. Stosowanie silnego szyfrowania danych uniemożliwiającego ich odczytanie przez organy nadzoru w państwie trzecim – brzmi strasznie ale można to osiągnąć przez np. stosowanie szyfrowania oferowanego przez odpowiednie oprogramowanie,
  2. Przechowywanie kluczy kryptograficznych pod wyłączną kontrolą podmiotu przekazującego lub zaufanych podmiotów z terytorium EOG (w przypadku przekazywania danych do ich przechowywania w kraju trzecim bez konieczności dostępu do tych danych);
  3. Stosowanie pseudonimizacji, poprzez zastosowanie odpowiednich zabezpieczeń o charakterze techniczno-organizacyjnym uniemożliwiającym ujawnienie lub nieuprawniony dostęp do danych oraz uniemożliwiających powiązanie przekazywanych danych ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną – także można osiągnąć to przy zastosowaniu odpowiedniego oprogramowania.
  4. Podział danych na poszczególne części, z których każda z nich jest przekazywana innemu podmiotowi znajdującemu się w różnych jurysdykcjach, w taki sposób, że dane z każdej z tej części nie mogą być przypisane konkretnej osobie, której dane dotyczą bez użycia dodatkowych informacji, przy jednoczesnym stosowaniu dodatkowych działań m.in. zapewnienia że organy nadzoru w tych krajach nie mogą współpracować w celu uzyskania dostępu do wszystkich tych części danych,
  5. „Tranzyt” zaszyfrowanych danych przez państwo trzecie, który docelowo ma doprowadzić do przekazania danych do kraju zapewniającego odpowiednią ochronę, a dane przepływają przez państwo trzecie tylko celem tranzytu, przy konieczności zapewnienia  wysokiego poziomu szyfrowania, bezpieczeństwa i uniemożliwienia odszyfrowania danych w państwie trzecim.

5. Podjęcie działań proceduralnych wymaganych do przyjęcia środków uzupełniających

Działania proceduralne, o których mowa, różnić się będą w zależności od narzędzia przekazywania danych z art. 46 RODO.

Zalecenia 01/2020 wskazują te kroki w sposób obszerny w zależności czy stosowane są:

  1. Standardowe klauzule ochronne – SCCs – z art. 46 ust. 2 lit. c i lit. d RODO;
  2. Wiążące reguły korporacyjne – BCRs – z art. 46 ust. 2 lit. b RODO;
  3. Klauzule umowne między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim – z art. 46 ust. 3 lit. a RODO,

dlatego też nie będę ich tu opisywał.

6. Dokonywanie ponownej oceny stopnia ochrony danych w odpowiednich odstępach czasu

Jeżeli tych wymogów wciąż jest mało, to mogę jeszcze dodać, że podmiot przekazujący musi stale monitorować rozwój stanu prawnego mającego wpływ na stopień ochrony danych w państwie do którego przekazuje te dane.

A więc przekazując dane do USA, powinniśmy kontrolować zmiany w miejscowym prawie, a następnie oceniać czy te zmiany nie wpływają negatywnie na poziom ochrony danych.

Ponadto, zgodnie z wytycznymi podmiot przekazujący powinien wprowadzić mechanizmy pozwalające na szybkie zawieszenie lub zakończenie przekazywania danych do takiego kraju, jeżeli sytuacji w nim powoduje ryzyko braku odpowiedniej ochrony danych osobowych.
 

Podsumowanie

W myśl projektu Zaleceń nr 01/2020 Europejskiej Rady Ochrony Danych (EROD) w sprawie środków, które uzupełniają narzędzia transferu w celu zapewnienia zgodność z unijnym poziomem ochrony danych osobowych podmiot przekazujący będzie odpowiedzialny za analizę i ocenę dotyczącą przekazywania danych, prawa państw spoza EOG i wybranych przez nich narzędzi przekazywania danych.

Podmiot przekazujący dane będzie zobowiązany do zachowania należytej staranności przy przekazywaniu danych i sporządzania szczegółowej dokumentacji dotyczącej przetwarzanych przez niego danych. Powinien być przy tym świadomy, że nie w każdym przypadku możliwe jest wdrożenie wystarczających środków uzupełniających. Najbardziej obciążające może być dla organizacji stałe monitorowanie przepisów prawa państwa spoza EOG, do którego przekazuje dane, co nie będzie mogło bardzo często odbyć bez pomocy profesjonalnego działu prawnego np. miejscowej kancelarii.

Artykuł to za mało?

Jeśli wciąż nie znalazłeś odpowiedzi na swoje pytania lub potrzebujesz konsultacji - skorzystaj z bezpłatnej porady prawnej!

Wypełnij formularz kontaktowy, porozmawiajmy

Skontaktuj się

Proponowane artykuły