Po pięciu miesiącach od wyroku w TSUE w sprawie Schrems II Europejska Rada Ochrony Danych (EROD) opublikowała dwa ważne i wyczekiwane przez prawników i przedsiębiorców dokumenty. Jeden to projekt Rekomendacji 01/2020 w sprawie środków, które uzupełniają narzędzia transferu w celu zapewnienia zgodność z unijnym poziomem ochrony danych osobowych - uwagi do niego można zgłaszać do 30 listopada. Drugi to już wiążące Rekomendacje 2/2020 w zakresie europejskich gwarancji podstawowych dotyczących środków nadzoru (EEG). Czy rozwiążą one problemy przesyłających dane osobowe do państw trzecich? Wydaje się, że bez pomocy prawnika lub Urzędu Ochrony Danych Osobowych – nie.
Czytaj również: Pięć polskich firm i blisko 100 innych unijnych oskarżonych o przekazywanie danych do USA >>
Wyrok TSUE zmienił zasady przekazywania danych do USA
Od 16 lipca 2020 roku za sprawą wyroku Trybunału Sprawiedliwości UE (sygn. C-318/18) nie ma systemowego rozwiązania legalizującego przekazywanie danych osobowych z Unii Europejskiej do USA. TSUE z jednej strony unieważnił decyzję Komisji Europejskiej (KE) 2016/1250 w sprawie adekwatności ochrony zapewnianej danym osobowym przekazywanym do USA przez Tarczę Prywatności UE–USA, a z drugiej - utrzymał w mocy decyzje KE 2010/87/UE oraz 2016/2297 w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom w państwach trzecich, wskazując jednak zasady stosowania klauzul w praktyce. W efekcie przedsiębiorcy, którzy chcą stosować standardowe klauzule umowne ochrony danych, muszą samodzielnie oceniać, czy przesyłanie danych do państw trzecich jest bezpieczne. Dokonanie właściwej oceny mają im ułatwić wytyczne przygotowane przez Europejską Radę Ochrony Danych.
– Doskonale zdajemy sobie sprawę z wpływu orzeczenia Schrems II na tysiące przedsiębiorstw w UE oraz dużej odpowiedzialności, jaką nakłada ono na eksporterów danych – mówi Andrea Jelinek, przewodnicząca EROD. - Mam nadzieję, że zaproponowane zalecenia pomogą eksporterom danych w zidentyfikowaniu i wdrożeniu skutecznych dodatkowych środków tam, gdzie są one potrzebne. Naszym celem jest umożliwienie zgodnego z prawem przekazywania danych osobowych do krajów trzecich, przy jednoczesnym zagwarantowaniu, że przekazywane dane są objęte poziomem ochrony zasadniczo równoważnym z poziomem ochrony gwarantowanym w EOG – podkreśla Jelinek. Co proponuje Rada?
Sześciopunktowa mapa drogowa EROD dla przekazujących dane
Jak wyjaśnia Piotr Liwszic, ekspert od ochrony danych osobowych i autor bloga jawneprzezpoufne.pl, EROD wskazuje mapę drogową składającą się z sześciu kroków jakie administrator danych musi podjąć, aby wybrać odpowiednie narzędzie przekazywania danych osobowych do państw trzecich oraz móc wykazać zastosowanie wystarczających środków ochrony praw osób, których dane są w ten sposób przekazywane. W skrócie można je opisać tak:
- Określenie wszystkich transferów danych zachodzących w danej firmie.
- Weryfikacja podstawy przekazywania danych - w przypadku USA za sprawą wyroku Schrems II nie może być nią już Tarcza Prywatności.
- Ocena systemu prawnego danego państwa, w tym w szczególności dostępu do danych osobowych przez organy publiczne – tutaj pomocne mają być właśnie wytyczne w zakresie europejskich gwarancji podstawowych, przykładowo w danym państwie musi funkcjonować niezależny mechanizm nadzoru nad służbami uprawnionymi do dostępu do danych).
- Określenie dodatkowych środków technicznych wzmacniających ochronę i utrudniających dostęp do danych przez władze państwa trzeciego, np. szyfrowanie.
- Określenie dodatkowych środków, procedur zabezpieczających, np. dodatkowe klauzule ochronne.
- Monitorowanie zmian w przepisach państw trzecich i ponowna ocena przekazywania danych.
O ile pierwsze pięć kroków nie budzi dużych wątpliwości ekspertów, to ostatni szósty - już tak.
Dobra wskazówka dla przekazujących dane do państw trzecich
- Usystematyzowanie i opisanie poszczególnych kroków, jakie należy wykonać to dobra wskazówka dla administratora – przedsiębiorcy – przekazującego dane osobowe - ocenia dr hab. Jan Byrski, adwokat i partner w kancelarii TKP Traple Konarski Podrecki & Wspólnicy. - Dokument nie ma charakteru rewolucyjnego, ale zawiera m. in. przykłady dodatkowych środków technicznych takich jak odpowiednie szyfrowanie danych, jak również środków umownych i organizacyjnych, które można wziąć pod uwagę - mówi. I dodaje, że analiza według wskazówek wynikających z wytycznych EROD będzie zapewne pomocna, przy czym wszelkie rozwiązania muszą być dostosowane do konkretnych okoliczności faktycznych, m.in. wolumenu i kategorii przekazywanych danych osobowych.
W przypadku pierwszego kroku, zdaniem Piotra Liwszica, brakuje jednak definicji przekazywania danych do państw trzecich, mimo że załącznik do rekomendacji definiuje pewne pojęcia. - Należy bowiem pamiętać, że przekazywaniem danych jest również umożliwienie zdalnego dostępu do danych podmiotowi z państwa trzeciego – wyjaśnia. To jednak nie jest największy mankament mapy drogowej EROD. Tak naprawdę najtrudniejszy do wykonania jest krok 6.
Potrzebny prawnik do monitorowania zmian w prawie
- To co łatwo napisać, a trudniej zrobić, to wskazana przez EROD konieczność dokonywania, w rozsądnych odstępach czasu, oceny wyboru narzędzia transferu danych oraz dodatkowych zabezpieczeń – ocenia Piotr Liwszic. I dodaje, że wszystkich czeka dużo pracy polegającej na pozyskiwaniu informacji o ustawodawstwie poszczególnych państw trzecich. Jak bowiem zaznacza EROD, ostatecznie to eksporterzy danych są odpowiedzialni za dokonanie konkretnej oceny w kontekście przekazania, prawa państwa trzeciego i narzędzia do przekazywania, na którym polegają. - Eksporterzy danych muszą postępować z należytą starannością i rzetelnie dokumentować swój proces, gdyż będą rozliczani z decyzji, które podejmą na tej podstawie, zgodnie z zasadą rozliczalności RODO - podkreśla EROD. Zdaniem Piotra Liwszica w śledzeniu zmian polskim przedsiębiorcom mógłby pomóc Urząd Ochrony Danych Osobowych. - Europejskim przedsiębiorcom pomagają ich organu nadzorcze tworząc rozbudowane poradniki czy zestawy najważniejszych pytań i odpowiedzi. Dlatego trzeba trzymać kciuki za krajowe organy nadzorcze, aby w swoich działaniach skupiły się na tak ważnych zagadnieniach jak przekazywanie danych do państw trzecich, a nie zajmowały się zasadnością udzielaniem informacji przez ośrodki pomocy społecznej innym podmiotom publicznym - podsumowuje Liwszic.
