Zapisz się do newslettera!

Chcesz być zawsze na bieżąco z tematyką bloga? Interesuje Cię praktyczna wiedza i jej źródła? Raz w miesiącu przesyłam informację o nowych wpisach z bloga oraz o praktycznych rozwiązaniach pojawiających się problemów. Żadnych obcych reklam.

Share this:

12 listopada 2020

Rekomendacje EROD po Schrems II

w kategorii RODO

Europejska Rada Ochrony Danych (EROD) opublikowała wczoraj projekt Rekomendacji 01/2020 w sprawie środków, które uzupełniają narzędzia transferu w celu zapewnienia zgodność z unijnym poziomem ochrony danych osobowych. Rekomendacje zostały przyjęte przedwczoraj (10.11.2020 r.), a termin do nadsyłania uwag upływa z końcem listopada.

 

Rekomendacje te są odpowiedzią EROD na konsekwencje wyroku TSUE z 16.07.2020 r. w sprawie C‑311/18 Data Protection Commissioner przeciwko Facebook Ireland Ltd, Maximillian Schrems, w którym stwierdzono nieważność decyzji wykonawczej Komisji (UE) 2016/1250 z dnia 12 lipca 2016 r. (Privacy Shield).

 

Czym są narzędzia transferu danych?

Narzędzia, czy też środki, które gwarantują odpowiednie zabezpieczenie przekazywanych danych osobowych do państw trzecich zostały wskazane w art. 46 ust. 2 RODO i składają się z:

  • wiążących reguł korporacyjnych zgodnie z art. 47 RODO;
  • standardowych klauzul ochrony danych przyjętych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2 RODO;
  • standardowych klauzul ochrony danych przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2 RODO;
  • zatwierdzonego kodeksu postępowania zgodnie z art. 40 wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą; lub
  • zatwierdzonego mechanizmu certyfikacji zgodnie z art. 42 wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.

 

Mapa drogowa – sześć kroków do wdrożenia zasady odpowiedzialności za transfer danych. 

EROD wskazuje mapę drogową składającą się z sześciu kroków jakie administrator danych musi podjąć, aby wybrać odpowiednie narzędzie przekazywania danych osobowych do państw trzecich oraz móc wykazać zastosowanie wystarczających środków ochrony praw osób, których dane są w ten sposób przekazywane:

 

 

Krok 1 –  znaj transfery danych zachodzące w swojej organizacji.

Ten krok jest kluczowy dla zbudowania wiedzy dotyczącej transferów danych osobowych poza EOG. W tym zakresie niestety nadal nie wskazano definicji samego przekazywania danych – zabrakło jej w załączniku numer 1 do omawianej rekomendacji ERODu oraz nie ma jej w samym RODO (art. 4 nie zawiera definicji przekazywania danych osobowych do państw trzecich). W znanym już nam kierunku idzie informacja ERODu przekazana w przypisie 22 omawianej rekomendacji – należy pamiętać o tym, że przekazywaniem danym jest również umożliwienie zdalnego dostępu do danych, znajdujących się w EOG, podmiotowi z państwa trzeciego.

 

Krok 2 – zidentyfikuj narzędzie umożliwiające transfer danych w Twoim przypadku. 

Na początku wpisu wskazałem katalog narzędzi za pomocą, których można stwierdzić odpowiednie zabezpieczenie przekazywanych danych osobowych. Katalog tych narzędzi został wskazany nie tylko w art. 46 ust. 2 RODO, ale także w art. 45 RODO. Ostatni przepis mówi o przekazywaniu danych osobowych na podstawie decyzji stwierdzającej odpowiedni (adekwatny) stopień ochrony danych osobowych. Właśnie taka decyzja została uznana za nieważną w wyroku Schrems II.

 

Krok 3 – dokonaj oceny wybrane narzędzia wskazanego w art. 46 RODO.

EROD wskazuje, że nie zawsze wybranie narzędzia do przekazywania danych osobowych, o których mowa w art. 46 RODO jest wystarczające, a wręcz przeciwnie. Sposób zabezpieczenia danych osobowych obejmuje nie tylko wybranie odpowiedniego instrumentu prawnego pozwalającego na takie przekazanie danych, ale musi ono w sposób praktyczny zapewniać zachowanie poziomu ochrony danych osobowych gwarantowane przez RODO. W dokonaniu takiego praktycznego, skutecznego narzędzia należy dokonać przez pryzmat kontekstu prawnego i okoliczności samego przekazywania danych:

  • cele, w jakich dane są przekazywane i przetwarzane (np. marketing, HR, przechowywanie, wsparcie IT, badania kliniczne);
  • rodzaje podmiotów zaangażowanych w przetwarzanie (publiczny/ prywatny; administrator/podmiot przetwarzający);
  • sektor, w którym następuje transfer (np. telekomunikacja, finanse itp.);
  • kategorie przekazywanych danych osobowych (np. dane osobowe dotyczące dzieci mogą znaleźć się w zakresie szczegółowego prawodawstwa w państwie trzecim);
  • czy dane będą przechowywane w kraju trzecim, czy tylko przekazywanie będzie opierać się na zdalnym dostępie do danych przechowywanych na terenie UE/EOG;
  • format przesyłanych danych (tj. zwykły tekst/pseudonimowane lub zaszyfrowane – w ostatnim zakresie trzeba mieć świadomość, że pewne kraje nie zezwalają na przekazanie danych zaszyfrowanych na ich terytoria);
  • czy dane mogą być dalej przekazywane z państwa trzeciego do innego państwa trzeciego

 

Istotnym elementem dokonywanej oceny, w tym kroku, jest wykorzystanie Rekomendacji 2/2020 dotyczących Europejskich niezbędnych gwarancji dotyczących środków nadzoru (EEG), a wydanych także przez EROD.

 

Podejście ERODU w zakresie środków nadzoru (surveillance measures) opiera się na czterech gwarancjach:

  • A: przetwarzanie powinno się opierać na jasnych, precyzyjnych i przystępnych zasadach,
  • B: należy wykazać konieczność i proporcjonalność w odniesieniu do uzasadnionych celów środków nadzoru,
  • C: musi funkcjonować w państwie niezależny mechanizm nadzoru,
  • D: należy zapewnić osobie, której dane dotyczą prawa skutecznych środków ochrony prawnej.

W zakresie samego EEG napiszę kolejny wpis – rekomendacje przygotowane przez EROD wnoszą dużo ciekawych informacji.

 

Krok 4 – zastosuj dodatkowe środki ochrony 

Po analizie, z poprzednich kroków, jesteśmy wstanie wywnioskować, że model zabezpieczenia przekazywania danych do państw trzecich nie zawsze będzie skuteczny.  Należy wtedy rozważyć zastosowanie dodatkowych środków ochronnych.

EROD wskazuje, że same środki zabezpieczające, polegające wyłącznie na ogólnych postanowieniach umownych nie powstrzymają, w pewnych przypadkach, organów publicznych państw trzecich przed dostępem do danych osobowych.

Nadto mogą się zdarzyć takie przekazywania danych, w których tylko techniczne środki utrudnią lub uniemożliwią dostęp władz do danych osobowych. W takich sytuacjach EROD proponuje, aby narzędzia transferów danych zawierały także środki techniczne wzmacniające ogólny poziom ochrony np. tworząc przeszkody lub utrudniając próby uzyskania przez władze publiczne dostępu do danych osobowych.

Rekomendacje zawierają przykładowe środki wzmacniających bezpieczeństwo przekazywanych danych osobowych:

  • format danych, które mają być przesłane (tj. zwykły tekst/ dane w formie pseudonimizowanej lub zaszyfrowanej);
  • charakter danych;
  • długość i złożoność procesu przetwarzania danych, liczba aktorów (podmiotów) zaangażowanych w przetwarzanie i relacje między nimi (np. czy transfery obejmują wielu administratorów i podmiotów przetwarzających, lub zaangażowanie podmiotów przetwarzających, które będą przenosić dane od Ciebie do importera danych);
  • możliwość, że dane mogą podlegać dalszemu przekazywaniu w tym samym państwie trzecim lub nawet do innych krajów trzecich (np. zaangażowanie podprzetwarzających importera danych).

We wpisie z kwietnia br. poruszałem zagadnienie pseudonimizacji, która jest trudnym technicznie procesem oraz wymaga zastosowania odpowiednich metod:

https://jawneprzezpoufne.pl/blog/jak-niebezpieczne-dla-prywatnosci-sa-zanonimizowane-zbiory-danych/ 

 

Załącznik numer 2 do Rekomendacji ERODu zawiera przykłady scenariuszy przekazywania danych oraz wykaz działań, które zapewniają oraz nie zapewniają skutecznych dodatkowych środków bezpieczeństwa.

Scenariuszy jest kilka, ale ten numer 4 wskazuje takie działania, których spełnienie, zdaniem ERODu, zapewni skuteczny dodatkowy środek bezpieczeństwa:

 

Rekomendacje zawierają także kilka przykładów postanowień umownych, których odpowiednie wprowadzenie do umowy łączącej eksportera z importerem zapewni stosowanie przez tego drugiego bezpiecznych środków technicznych.

 

Krok 5 – działania proceduralne w przypadku określenia skutecznych środków dodatkowych.

Środki uzupełniające, które powinny zostać wdrożone w organizacji, mogą się różnić w zależności od stosowania przez nią narzędzi transfer. Tutaj EROD wskazuje trzy ważne narzędzia:

  •  standardowe klauzule ochronne – SCCs – wskazane w art. 46 ust. 2 lit. c i lit. d RODO;
  • wiążące reguły korporacyjne – BCRs – wskazane w art. 46 ust. 2 lit. b RODO;
  • klauzule umowne między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim – wskazane w art. 46 ust. 3 lit. a RODO;

 

Krok 6 – dokonuj ponownej oceny w odpowiednich odstępach czasu.

To co łatwo napisać, a trudniej zrobić to wskazana przez EROD konieczność dokonywania, w rozsądnych odstępach czasu, ocena wyboru narzędzia transferu danych oraz dodatkowych zabezpieczeń. Jak wskazuje EROD administrator musi na bieżąco monitorować zmiany w przepisach prawa państw trzecich do których przekazuje dane osobowe, a ta odpowiedzialność wynika wprost z art. 5 ust. 2 RODO.

Jakikolwiek wybrany dodatkowy środek ochronny w zakresie bezpieczeństwa przekazywanych danych osobowych powinien zawierać solidne mechanizmy umożliwiający administratorowi natychmiastowe zawieszeni lub zakończenie przekazywania danych, gdy:

  • importer naruszył lub nie jest w stanie wywiązać się ze zobowiązań podjętych na podstawie art. 46 RODO albo
  • dodatkowe środki nie są już skuteczne w tym państwie trzecim.

 

Wnioski

Niestety w oczekiwanych rekomendacjach ERODu zabrakło wskazania definicji przekazywania danych do państw trzecich mimo tego, że wprowadzono załącznik z definicjami pewnych terminów. Nas wszystkich czego dużo pracy polegającej na pozyskiwaniu informacji o ustawodawstwie poszczególnych państw trzecich, a to może być prawie niemożliwe bez współpracy z importerem danych.

Trzeba trzymać kciuki za krajowe organy nadzorcze, aby w swoich działaniach skupiły się na tak ważnych zagadnieniach jak przekazywanie danych do państw trzecich, a nie zajmowały się pięć miesięcy po wydaniu wyroku w sprawie Schrems II zasadnością stałego dostępu miasta do bazy danych MPWIK czy też udzielaniem informacji przez ośrodki pomocy społecznej innym podmiotom publicznym.