Rzeczywistość po wyroku Schrems II – wytyczne EROD

Rzeczywistość po wyroku Schrems II – wytyczne EROD

W związku z unieważnieniem przez TSUE w wyroku w sprawie Schrems II decyzji 2016/1250 Komisji Europejskiej, „Tarcza Prywatności”[1] już nie obowiązuje. Z tego powodu w dniu 10 listopada 2020 r. Europejska Rada Ochrony Danych wydała rekomendacje w sprawie środków, które uzupełniają narzędzia transferu, aby zapewnić zgodność z unijnym poziomem ochrony danych osobowych. W poniższym artykule opisujemy ww. rekomendacje.

  1. Rekomendacje 01/2020 w sprawie środków, które uzupełniają narzędzia transferu w celu zapewnienia zgodności z unijnym poziomem ochrony danych osobowych

Rekomendacje 01/2020 przyjęte przez Europejską Radę Ochrony Danych (dalej jako: „ERPD”) w dniu 10 listopada 2020 r. wprowadzają ogólne wytyczne w zakresie środków bezpieczeństwa, które powinny zostać powzięte przez eksporterów danych osobowych do państw trzecich. Wytyczne te zostały określone mapą drogową (roadmap) stosowania zasady odpowiedzialności za transfery danych w praktyce. Wyszczególniono 6 głównych kroków do zapewnienia bezpiecznego przekazywania danych poza obszar EOG.

  1. Krok pierwszy: poznaj swoje transfery (Know your transfers)

W ramach tego kroku rekomenduje się określenie transferów danych mających miejsce w danej organizacji i zweryfikowanie czy posiadane dane są niezbędne do celów w jakich są używane i przekazywane. Eksporterzy danych powinni być świadomi gdzie przekazują dane, czy dane te są przekazywane do państw trzecich i co to są za państwa. Aby uzyskać pełną świadomość swoich transferów, eksporter danych może opierać się na rejestrach czynności przetwarzania, do których prowadzenia może być zobowiązany jako administrator lub podmiot przetwarzający zgodnie z art. 30 RODO. Należy również wziąć pod uwagę dalsze transfery, w tym czy podmioty przetwarzające poza EOG przekazują powierzone im dane osobowe do podwykonawcy w innym państwie trzecim lub w tym samym państwie trzecim. Ponadto zgodnie z zasadą „minimalizacji danych” RODO, należy sprawdzić, czy przesyłane dane są adekwatne, stosowne i ograniczone do tego, co jest konieczne do celów, w których są przekazywane i przetwarzane w państwie trzecim. Czynności te należy wykonać przed wykonaniem jakiegokolwiek transferu i zaktualizować przed wznowieniem transferu, po zawieszeniu operacji przenoszenia danych. W tym celu należy posiadać wiedzę gdzie eksportowane dane osobowe mogą być zlokalizowane lub przetwarzane przez importerów (mapa miejsc docelowych). Należy również pamiętać, że zdalny dostęp z kraju trzeciego lub przechowywanie w chmurze znajdującej się poza EOG również uważa się za przeniesienie danych. Jeśli eksporter danych korzysta z międzynarodowej infrastruktury chmury, należy ocenić, czy dane zostaną przesłane do krajów trzecich i gdzie, chyba że dostawca usług w chmurze wyraźnie stwierdza w umowie, że dane nie będą przetwarzane w państwach trzecich.

  1. Krok drugi: Weryfikacja narzędzi i podstaw do transferowania danych

W tej rekomendacji EROD odnosi się do decyzji w sprawie adekwatności ochrony danych dotyczących państw trzecich[2]. Komisja Europejska może uznać poprzez swoje decyzje (adequacy decisions) odpowiedni stopień ochrony w odniesieniu do niektórych lub wszystkich państw trzecich. Decyzje dotyczące adekwatności mogą dotyczyć całego kraju lub ograniczać się do jego części. Jeżeli transfer danych następuje do państw objętych decyzjami adekwatności, rekomendacje nie dotyczą tych eksporterów, ale mimo to i tak trzeba monitorować czy decyzje wciąż są ważne.

  1. Krok trzeci: Dokonanie oceny narzędzi do przekazywania danych

W kroku trzecim należy ocenić czy w prawie lub praktyce państwa trzeciego  są przepisy lub czynniki, które mogą naruszać skuteczność zabezpieczeń narzędzi transferu – narzędzia do przekazywania danych, o których mowa w art. 46 RODO (standardowe klauzule umowne, wiążące reguły korporacyjne, codes of conduct, mechanizmy certyfikacji, klauzule kontraktowe ad hoc) nie zawsze są wystarczające. W wyjątkowych sytuacjach, gdy transfer danych jest niezbędny i osoba, której dane dotyczą została poinformowana o ryzyku, z którym wiąże się przekazanie danych, można przekazać dane nawet w przypadku niespełnienia wymogów dot. zabezpieczeń, o których mowa w art. 46 RODO. O wyjątkach tych stanowi art. 49 RODO, określający warunki, które muszą zostać spełnione, aby w razie braku decyzji stwierdzającej odpowiedni stopień ochrony określonej w art. 45 ust. 3 lub braku odpowiednich zabezpieczeń określonych w art. 46, w tym wiążących reguł korporacyjnych, jednorazowe lub wielokrotne przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej było dopuszczalne:

  • podmiot danych musi zostać powiadomiony o ryzyku, przekazanie danych jest niezbędne do zawarcia lub wykonania umowy,
  • ze względu na ważne względy interesu publicznego lub
  • gdy przekazanie jest niezbędna do ustalenia, dochodzenia lub ochrony roszczeń, lub
  • do ochrony żywotnych interesów osoby, których dane dotyczą, lub
  • przekazanie następuje z odpowiedniego rejestr.

W przypadku, gdy nie zachodzą wyjątki wskazane w art. 49 RODO, przekazanie do państwa trzeciego lub organizacji międzynarodowej może nastąpić wyłącznie, gdy przekazanie nie jest powtarzalne, dotyczy tylko ograniczonej liczby osób, których dane dotyczą, jest niezbędne ze względu na ważne prawnie uzasadnione interesy realizowane przez administratora, wobec których charakteru nadrzędnego nie mają interesy ani prawa i wolności osoby, której dane dotyczą a administrator ocenił wszystkie okoliczności przekazania danych i na podstawie tej oceny zapewnił odpowiednie zabezpieczenia w zakresie ochrony danych osobowych.

Ocena powinna uwzględniać wszystkie podmioty uczestniczące w przetwarzaniu. Im więcej zaangażowanych kontrolerów, podmiotów przetwarzających lub importerów, tym bardziej złożona będzie ocena. Należy również uwzględnić w ocenie wszelkie dalsze transfery. W tym celu eksporter danych będzie musiał przyjrzeć się charakterystyce każdego z przelewów i określić, w jaki ochronę danych zapewnia krajowy porządek prawny kraju, do którego dane są przekazywane (lub dalej przekazywane).

Mający zastosowanie kontekst prawny będzie zależał od okoliczności przekazania, w szczególności:

  • celów, w jakich dane są przekazywane i przetwarzane;
  • rodzajów podmiotów zaangażowanych w przetwarzanie (publiczny/prywatny; administrator/podmiot przetwarzający);
  • sektora, w którym następuje transfer;
  • kategorii przekazywanych danych osobowych;
  • czy dane będą przechowywane w kraju trzecim, czy tylko zdalnie zapewniony dostęp do danych przechowywanych na terenie UE / EOG;
  • formatu przesyłanych danych;
  • możliwości, że dane mogą być dalej przekazywane z państwa trzeciego do
  • innego państwa trzeciego.
  1. Krok czwarty: Określenie i przyjęcie dodatkowych środków ochrony

Należy określić środki ochronyniezbędne do podniesienia poziomu ochrony przekazywanych danych oraz procedur utrudniających do nich dostęp (np. szyfrowanie lub korzystanie z dodatkowego importera danych).

               Jeśli ocena przeprowadzona w kroku 3 wykazała, że ​​narzędzie do przesyłania danych zgodne z art.46 RODO nie jest skuteczne, należy rozważyć, w stosownych przypadkach, we współpracy z importerem, czy istnieją dodatkowe środki, które mogłyby zapewnić, że przekazywane dane będą objęte w państwie trzecim poziomem ochrony zasadniczo równoważnym gwarantowanym w UE. W poszczególnych przypadkach należy określić, które dodatkowe środki mogą być skuteczne w transferze do określonego państwa trzeciego w przypadku korzystania ze specjalnych narzędzi do przesyłania danych z artykułu 46 RODO.

Zasadniczo dodatkowe środki mogą mieć charakter umowny, techniczny lub organizacyjny. Łączenie różnych działań wzajemnie się wspierających może podnieść poziom ochrony, a zatem może przyczynić się do osiągnięcia standardów UE.

  1. Krok piąty: Podjęcie kroków proceduralnych w związku z przyjęciem dodatkowych procedur zabezpieczających 

5.1. Standardowe klauzule ochrony danych 

W przypadku zamiaru wprowadzenia dodatkowych środków wykraczających poza standardowe klauzule umowne (SKU), nie ma potrzeby zwracania się do właściwego organu nadzoru o upoważnienie do dodania tego rodzaju klauzul lub dodatkowych zabezpieczeń, o ile określone środki dodatkowe nie stoją w sprzeczności, bezpośrednio ani pośrednio ze SKU i są wystarczające, aby zapewnić, że poziom ochrony gwarantowany przez RODO nie został naruszony. Podmiot przekazujący i importer danych muszą zapewnić, aby dodatkowe klauzule nie były w żaden sposób interpretowane jako ograniczające prawa i obowiązki w SKU lub w jakikolwiek inny sposób obniżające poziom ochrony danych. Eksporter danych powinien być w stanie to wykazać, w tym jednoznaczność wszystkich klauzul, zgodnie z zasadą rozliczalności i swoim obowiązkiem zapewnienia wystarczającego poziomu ochrony danych.

Właściwe organy nadzorcze są uprawnione do przeglądu tych dodatkowych klauzul, jeśli jest to wymagane (np. w przypadku skargi lub zapytania z własnej woli). Jeśli eksporter zamierza samodzielnie zmodyfikować standardowe klauzule ochrony danych lub gdy

dodatkowe środki stoją w sprzeczności – bezpośrednio lub pośrednio – do SKU, należy wystąpić o zezwolenie do właściwego organu nadzorczego, zgodnie z art. 46 ust. 3 lit. a) RODO.

5.2. Wiążące reguły korporacyjne (art. 46 ust. 2 lit. b RODO)

TSUE w wyroku w sprawie Schrems II podkreślił, że przekazujący i odbierający dane są odpowiedzialni za ocenę, czy poziom ochrony wymagany przez prawo UE jest przestrzegany w danym państwie trzecim, ustalenie, czy gwarancje udzielone przez SKU i wiążące reguły korporacyjne mogą być przestrzegane w praktyce. Jeśli tak nie jest, należy ocenić, czy można zapewnić dodatkowe środki dla osiągnięcia zasadniczo równoważnego poziomu ochrony, jaki zapewnia EOG, i jeżeli prawo lub praktyka państwa trzeciego nie będą kolidować z tymi dodatkowymi środkami, aby uniemożliwić ich skuteczność.

5.3. Klauzule umowne ad hoc (art. 46 ust. 3 lit. a RODO)

Wyrok w sprawie Schrems II ma również zastosowanie do innych instrumentów transferowych zgodnie z art. 46 ust. 2 RODO, ponieważ wszystkie te instrumenty mają zasadniczo charakter umowny, więc przewidziane gwarancje i zobowiązania podjęte przez ich strony nie mogą wiązać władz publicznych państwa trzeciego. Wyrok w sprawie Schrems II ma zatem znaczenie dla przekazywania danych osobowych w sprawie podstawowych klauzul umownych ad hoc, ponieważ przepisy państw trzecich mogą wpływać na ochronę zapewnianą przez takie instrumenty. Dokładny wpływ wyroku Schrems II na klauzule ad hoc jest nadal przedmiotem dyskusji.

  1. Krok szósty: Monitorowanie zmian w przepisach państw spoza UE i ponowna ocena poziomu ochrony przekazywania danych.

Należy na bieżąco monitorować, a w stosownych przypadkach – we współpracy z importerami danych, zmiany w państwie trzecim, do którego przekazano dane osobowe, które mogą mieć wpływ na wstępną ocenę poziomu ochrony, i decyzje, które podjęto w sprawie transferów (art. 5 ust. 2 RODO).

Należy wprowadzić wystarczająco solidne mechanizmy, aby zapewnić natychmiastowe zawieszenie lub zakończenie transferów, w przypadku gdy:

– importer naruszył lub nie jest w stanie wywiązać się ze zobowiązań, które podjął w narzędziu do przekazywania danych z artykułu 46 RODO; lub

– dodatkowe środki nie są już skuteczne w tym państwie trzecim.

               Obowiązek monitorowania stanu prawnego w państwach trzecich oceniany jest jako zbyt daleko idące obciążenie eksporterów danych[3]. W celu dopełnienia tego obowiązku koniecznym może okazać się zatrudnienie odpowiedniego wsparcia prawnego.

  1. Podsumowanie

Wyrok TSUE C-311/18 (Schrems II) unieważnił decyzję Komisji Europejskiej 2016/1250 z 12 lipca 2016 r. w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności, na skutek czego Tarcza Prywatności już nie obowiązuje. W związku z tym, aby zapewnić adekwatny poziom ochrony danych przekazywanych poza obszar EOG, eksporter danych powinien przede wszystkim dokładnie poznać zakres swojego przekazywania. W przypadku, gdy samo narzędzie do przekazywania danych na podstawie art. 46 RODO nie zapewni poziomu ochrony zasadniczo równoważnego do ochrony w EOG, lukę mogą wypełnić dodatkowe środki. Wówczas transferu danych można dokonać gdy podmiot danych – poinformowany o grożącym ryzyku – wyrazi na do zgodę, przekazanie danych jest niezbędne do wykonania umowy pomiędzy podmiotem danych a ich administratorem, ze względu na ważne względy interesu publicznego, gdy jest niezbędne do ustalenia, dochodzenia, ochrony roszczeń lub do ochrony interesów podmiotu danych. W przypadku stwierdzenia nieadekwatnej ochrony, należy niezwłocznie wstrzymać lub zakończyć przekazywanie danych osobowych. Na eksporterach danych spoczywa również obowiązek monitorowania stanu prawnego w państwach trzecich przekazania danych, co może rodzić konieczność zapewnienia specjalistycznej obsługi prawnej w tym zakresie.

Marlena Wach – Radca Prawny

Ekspert w zakresie danych osobowych, AML, prawa telekomunikacyjnego, IT, nowych technologii, prawa autorskiego, mediów, infrastruktury, cloud computing, sztucznej inteligencji, Internetu rzeczy, big data, prawa konkurencji i konsumentów. Doradza prawnie i biznesowo w sposób praktyczny, uwzględniając zawsze aspekty i specyfikę działalności danego podmiotu oraz otoczenie regulacyjne, kontraktowe i biznesowe Klienta. Ukończyła Wydział Prawa i Administracji UW, gdzie także obroniła swoją pracę doktorską. Dr Marlena Wach posiada ponad 10-letnie doświadczenie nabyte podczas pracy w sektorze finansowym (w tym transakcje walutowe), bankowym, a także energetycznym.

Małgorzata Puto – Prawnik

Małgorzata Puto jest absolwentką prawa na Wydziale Prawa i Administracji Uniwersytetu Mikołaja Kopernika w Toruniu oraz doktorantką w katedrze Prawa Europejskiego i Komparatystyki Prawniczej Wydziału Prawa i Administracji Uniwersytetu Gdańskiego. Specjalizuje się w prawie Unii Europejskiej, a swoją pracę doktorską przygotowuje pod kątem granic swobód traktatowych w orzecznictwie Trybunału Sprawiedliwości Unii Europejskiej. Małgorzata Puto ukończyła również Szkołę prawa chińskiego na Wydziale Prawa i Administracji Uniwersytetu Gdańskiego, a także program stypendialny na Pekińskim Uniwersytecie Technologicznym. Posiada doświadczenie zawodowe w obszarze AML, w JBW czynnie współpracuje przy projektach z zakresu zamówień publicznych.


[1] „Tarcza prywatności” (Privacy Shield) to ramy, które na podstawie obowiązującej do 16 lipca 2020 r. decyzji Komisji Europejskiej 2016/1250 z 12 lipca 2016 r. zgodnej z dyrektywą 95/46 / WE Parlamentu Europejskiego i Rady w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA, C (2016) 4176, regulowały transatlantycką wymianę danych osobowych w celach handlowych między Unią Europejską a Stanami Zjednoczonymi: zob. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2016.207.01.0001.01.ENG.

[2] Zob. https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.

[3] Zob. np. https://www.prawo.pl/biznes/wytyczne-erod-w-sprawie-przekazywania-danych-do-panstw-trzecich,504456.html.