Od 25 maja 2018 roku, czyli dnia, w którym unijne kraje musiały zaczęły stosować RODO minęły już ponad dwa lata. Mimo to problematyka ochrony danych osobowych w dużej mierze dzięki pandemii, ale nie tylko, nie zeszła na drugi plan. Co więcej w tym roku wciąż jest wiele kwestii, które będą wyzwaniem w 2021 roku. Takie wnioski można wyciągnąć z dyskusji uczestników konferencji on-line pt. Ochrona Danych Osobowych – Wyzwania 2021” zorganizowanej przez kancelarię Lubasz i Wspólnicy, której Prawo.pl było patronemmedalnym. - Rok 2020 naznaczony był w zagadnieniami około pandemicznymi, kwestiami związanymi z przetwarzaniem danych o stanie zdrowia, mierzeniem temperatury, aplikacjami antycovidowymi, czy wreszcie zmianami organizacyjnymi związanymi z pracą zdalną – mówił dr Dominik Lubasz, współorganizator konferencji. Co będzie największym wyzwaniem tego roku?  Uczestnicy debaty zgodnie przyznali, że transfer danych do krajów trzecich.

 

Wyrok Schrems II nie daje spokoju

Od 16 lipca 2020 roku za sprawą wyroku Trybunału Sprawiedliwości UE (sygn. C-318/18) nie ma systemowego rozwiązania legalizującego przekazywanie danych osobowych z Unii Europejskiej do krajów trzecich, np. USA. TSUE z jednej strony unieważnił decyzję Komisji Europejskiej (KE) 2016/1250 w sprawie adekwatności ochrony zapewnianej danym osobowym przekazywanym do USA przez Tarczę Prywatności UE–USA, a z drugiej - utrzymał w mocy decyzje KE 2010/87/UE oraz 2016/2297 w sprawie standardowych klauzul umownych (z ang. standard contractual clauses, SCC) dotyczących przekazywania danych osobowych podmiotom w państwach trzecich, wskazując jednak zasady stosowania klauzul w praktyce. W efekcie przedsiębiorcy, którzy chcą stosować standardowe klauzule umowne ochrony danych, muszą samodzielnie oceniać, czy przesyłanie danych do państw trzecich jest bezpieczne.  Urszula Góral, dyrektor Departamentu Współpracy Międzynarodowej i Edukacji Urzędu Ochrony Danych Osobowych zauważyła, że to jest wyzwanie zarówno dla przedsiębiorców, jak i organów. - Podmiot przekazujący musi sprawdzić odbiorcę zlokalizowanego w państwie trzecim np. stopień stosowanych zabezpieczeń, krajową legislację, samodzielnie ocenić zgodność transferu z RODO. Z drugiej wyrok powinien być interpretowany jednolicie przez wszystkie organy nadzoru, w czym mają pomóc wytyczne Europejskiej Rady Ochrony Danych Osobowych nad którymi trwają prace. Trzeba też śledzić dialog Komisji Europejskiej z USA i nowe propozycje SCC – mówiła dyrektor Góral.

 


Wypracowanie nowych klauzul to zadanie Komisji Europejskiej

Dr Damian Karwala, radca prawny w kancelarii CMS, zauważył jednak, że propozycja EROD wskazuje, że w kwestii transferów dochodzimy do ściany. - Przerzucamy odpowiedzialność na podmioty prywatne i publiczne, aby to one zaradziły problemom transferowym. Analiza stanu prawnego w państwie trzecim jest zadaniem karkołomnym zarówno dla dużych korporacji, jak również MŚP. Nikt nie posiada kompetencji, środków osobowych i finansowych, aby tego rodzaju analizę prowadzić. Miejmy nadzieję, że spotkamy się ze stanowiskiem wykazującym większe zrozumienie. Takie podejście będzie godzić w harmonizację stanowisk w kwestii transferów danych do państw trzecich, ponieważ każdy eksporter danych może dojść do odmiennych wniosków– ocenił dr Karwala. Dlatego tak ważne jest wypracowanie nowych europejskich regulacji. Według dr hab. Grzegorza Sibigi z Instytutu Nauk Prawnych Polskiej Akademii Nauk, to będzie jedno z najważniejszych wyzwań. - Żyjemy w erze globalnych transferów, jeśli nowe SCC zaproponowane przez Komisję Europejską nie będą przystawać do realiów globalnych transferów to konieczne będzie wypracowanie kompletnie nowego modelu transferów. Zatem dużym wyzwaniem będzie zmiana paradygmatu, jeśli chodzi o globalny obrót danymi – podkreśla dr hab. Sibiga. Dr Karwala nie ma wątpliwości, ze to KE powinna zaproponować kompleksowe rozwiązanie, by nie paraliżować działalności przedsiębiorców. Eksperci zwrócili uwagę, że ten problem wkrótce dotknie też przesyłania danych do Wielkiej Brytanii, która nie jest państwem trzecim tylko do końca czerwca.

Za dużo papierologii, za mało standardów

Uczestnicy debaty zwrócili jednak uwagę na jeszcze inne problemy. Grzegorz Sibiga uważa, że należy dokonać przeglądu przepisów krajowych w zakresie ochrony danych. – Trzeba zweryfikować, czy ich poziom skomplikowania nie jest zbyt duży, np. tych dotyczących monitoring pracowniczy itp.). Mamy istotne problemy interpretacyjne, które dotyczą wielu aktów prawnych odnoszących się w różnym zakresie do ochrony danych osobowych – dodał mec. Sibiga. Rację przyznali mu pozostali uczestnicy debaty. Zwrócili uwagę, że są regulacje krajowe surowsze, które tylko komplikują regulację unijną, np. te dotyczące stosowania art. 172 prawa telekomunikacyjnego. Ponadto prawnicy muszą czasami pracować aż z ośmioma aktami prawnymi. Maciej Gawroński, radca prawny w kancelarii Gawroński & Partners, podkreślił, że potrzebne tez są „gotowce” w zakresie zgodności z RODO, dostosowane do  poszczególnych sektorów i skali prowadzonej działalności. – Obecnie przez brak modelowej dokumentacji mamy często do czynienia ze zbędną papierologią. Z kolei przez brak standaryzacji małe i średnie przedsiębiorstwa mają problem ze stosowaniem RODO mimo że jest stosowane już ponad dwa lata – podkreślił Mec. Gawroński.

Powinny to zmienić tzw. kodeksy branżowe. Do tej pory nie przyjęto jeszcze żadnego, choć propozycji jest dużo. Wszystko wskazuje, że w końcu pierwsze zostaną przyjęte. - Rok 2021 będzie rokiem „sprawdzam” – czy te kodeksy mają jakikolwiek wymiar praktyczny czy funkcjonują, czy będzie mechanizm monitorowania ich stosowania – mówił dr hab. Sibiga. - Zobaczymy wtedy, czy rzeczywiście jest to praktyczny mechanizm dla poszczególnych branż – dodał.

- Wyzwania w obszarze ochrony danych osobowych będą nam z pewnością towarzyszyć w kolejnych latach. Nasza dyskusja potwierdza, że dwuletnie doświadczenie stosowania RODO jest ciągle zbyt małe, żebyśmy z satysfakcją mogli uznać, że cele europejskiej reformy ochrony danych zostały osiągnięte w stopniu zadawalającym i administratorów, i osoby, których dane są przetwarzane - podsumowała dr Edyta Bielak-Jomaa z Uniwersytetu Łódzkiego, była prezes UODO,