Dnia 18 czerwca 2021 r. Europejska Rada Ochrony Danych (EROD) przyjęła, po konsultacjach publicznych, ostateczną wersję Zaleceń 1/2020 dotyczących środków uzupełniających narzędzia przekazywania w celu zapewnienia zgodności z unijnym stopniem ochrony danych osobowych (dalej: „Zalecenia”). Zalecenia mają kluczowe znaczenie dla dokonywania transferów danych do państwa trzeciego po wyroku TSUE w sprawie C-311/18 (Schrems II).

Pierwsza wersja Zaleceń została przyjęta w listopadzie 2020 r. w następstwie wyroku TSUE w sprawie Schrems II i poddana konsultacjom publicznym. O tej wersji Zaleceń pisaliśmy w numerze newslettera z listopada 2020 r.

Dokument ten w założeniu ma pomóc administratorom i podmiotom przetwarzającym dane (eksporterom danych) w ich obowiązku określenia i wdrożenia odpowiednich środków uzupełniających, jeżeli są one niezbędne do zapewnienia merytorycznie równoważnego stopnia ochrony danych przekazywanych do państw trzecich.

Ostateczna wersja Zaleceń zawiera kilka zmian w stosunku do pierwotnej wersji. Zostały one przyjęte w związku z uwagami zgłaszanymi podczas konsultacji publicznych. Do głównych zmian należą:

  • podkreślenie znaczenia badania praktyki organów publicznych państw trzecich w ramach oceny prawnej dokonywanej przez eksporterów w celu ustalenia, czy ustawodawstwo lub praktyki państwa trzeciego rzutują – w praktyce – na skuteczność mechanizmu transferowego z art. 46 RODO[1];
  • możliwość uwzględnienia przez eksportera w swojej ocenie m.in. praktycznego doświadczenia importera (z pewnymi zastrzeżeniami);
  • wyjaśnienie, że ustawodawstwo państwa trzeciego umożliwiające jego organom dostęp do przekazywanych danych, nawet bez interwencji importera, może również wpływać na skuteczność narzędzia transferu.

Zalecenia zawierają plan działań (mapę drogową), jakie muszą podjąć eksporterzy danych, aby ustalić, czy potrzebne jest wdrożenie środków uzupełniających w celu przesyłania danych poza EOG zgodnie z prawem UE. W ostatecznej wersji Zaleceń zachowano sześcioetapowy proces oceny przedstawiony w wersji skierowanej do publicznych konsultacji.
Krok Wyjaśnienie
Rozpoznanie przeprowadzanych operacji przekazywania Rozpoznanie („zmapowanie”) przeprowadzanych operacji transferowych, z uwzględnieniem wszystkich zaangażowanych podmiotów – importerów danych (tutaj w szczególności: Facebook Inc.). Należy także sprawdzić, czy dane, jakie zostaną przekazane, są adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przekazywane i przetwarzane w państwie trzecim.
Określenie wykorzystywanych narzędzi (instrumentów) transferowych Weryfikacja wykorzystywanych instrumentów (mechanizmów) transferowych, o których mowa w rozdziale V RODO, w odniesieniu do poszczególnych operacji transferowych, zidentyfikowanych w ramach pierwszego kroku.
Ocena, czy wykorzystywane narzędzie przekazywania z art. 46 RODO jest skuteczne w świetle wszystkich okoliczności przekazywania Przeprowadzenie oceny skuteczności zabezpieczeń wynikających z przyjętego na podstawie art. 46 RODO instrumentu transferowego, tj. sprawdzenie, czy w prawie lub praktyce państwa trzeciego funkcjonuje cokolwiek, co w kontekście danej operacji przekazywania mogłoby negatywnie wpłynąć na skuteczność odpowiednich zabezpieczeń wykorzystywanych narzędzi przekazywania. Ocena powinna skupiać się przede wszystkim na przepisach państwa trzeciego, które znajdują zastosowanie do danej operacji przetwarzania i do wykorzystywanego narzędzia przetwarzania z art. 46 RODO, a które może doprowadzić do zmniejszenia stopnia jego ochrony.
Przyjęcie środków uzupełniających Jeśli ocena przeprowadzona w trzecim kroku wykazała, że wybrane narzędzie przekazywania z art. 46 RODO nie jest skuteczne, konieczne jest rozważenie, w stosownych przypadkach we współpracy z importerem danych, czy dostępne są jakiekolwiek środki uzupełniające, które po dodaniu do zabezpieczeń zawartych już w narzędziach przekazywania mogłyby zapewnić, że przekazywane dane są objęte w państwie trzecim stopniem ochrony merytorycznie równoważnym temu gwarantowanemu w UE.
Podjęcie kroków proceduralnych w przypadku, gdy zidentyfikowano skuteczne środki uzupełniające Podjęcie wszelkich formalnych kroków proceduralnych, jakich może wymagać przyjęcie środka uzupełniającego w zależności od wykorzystywanego narzędzia przekazywania z art. 46 RODO. W szczególności jest to wystąpienie do właściwego organu nadzorczego o zezwolenie na planowany transfer danych (zgodnie z art. 46 ust. 3 RODO) oraz powiadomienie właściwego organu nadzorczego o sytuacji, w której eksporter danych ustali, że importer nie jest w stanie wywiązać się ze zobowiązań wynikających z przyjętego instrumentu transferowego, a mimo to eksporter nie rezygnuje z transferu danych.
Ponowna ocena w odpowiednich odstępach czasu Konieczność dokonywania okresowej oceny stopnia ochrony danych przekazywanych do państw trzecich i monitorowanie, czy wystąpiły lub wystąpią jakiekolwiek zmiany w tym zakresie. Zasada rozliczalności (art. 5 ust. 2 RODO) wymaga zachowania stałej czujności w odniesieniu do stopnia ochrony danych osobowych.

Przy ocenie ryzyka transferu istotne jest m.in.:

  • uwzględnienie wszystkich uczestników ekosystemu i tego, czy będzie dochodziło do dalszych transferów (onward transfers);
  • uwzględnienie konkretnych kategorii danych, które będą przekazywane, konkretnych okoliczności przekazania oraz obowiązujących przepisów prawa i praktyki – w szczególności Zalecenia wyjaśniają, że praktyka stosowania przepisów może podważyć zabezpieczenia zapewniane przez prawo państwa docelowego lub może wykazać, iż prawo to nie jest stosowane do kategorii przekazywanych danych;
  • odwoływanie się do standardów określonych w Zaleceniach EROD 02/2020 dotyczących niezbędnych gwarancji europejskich dla środków nadzoru z dnia 10 listopada 2020 r.;
  • poleganie na źródłach informacji, które są istotne, obiektywne, wiarygodne, weryfikowalne i publicznie dostępne lub możliwe do oceny w inny sposób.

Zalecenia zawierają również otwarty katalog przykładowych środków uzupełniających (dodatkowych zabezpieczeń), które podzielone są na trzy rodzaje:

  • środki techniczne, np. szyfrowanie danych (z uwzględnieniem szczegółowych wymogów określonych przez EROD), transfer danych poddanych pseudonimizacji, odpowiednie rozdzielenie danych między odrębnych importerów danych (data splitting, multi-party processing);
  • dodatkowe środki umowne,np. wprowadzenie do umowy transferowej dodatkowych zobowiązań po stronie importera danych w związku z realizacją wniosków o dostęp do danych kierowanych przez organy publiczne państwa trzeciego;
  • środki organizacyjne, np. dodatkowe wewnętrzne polityki importera danych, powołanie odpowiedniego zespołu do obsługi wniosków organów publicznych.

Dokument jest szczególnie istotny dla firm, które przy dokonywaniu transferu danych do państwa trzeciego polegają na standardowych klauzulach umownych, wiążących regułach korporacyjnych lub innych „odpowiednich zabezpieczeniach” z art. 46 ust. 2 RODO.

Źródło:

https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en; https://edpb.europa.eu/news/news/2021/edpb-adopts-final-version-recommendations-supplementary-measures-letter-eu_en.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).