Projekt wytycznych Europejskiej Rady Ochrony Danych osobowych w sprawie transferu danych poza UE został opublikowany

Tematyka: Europejska Rada Ochrony Danych, EROD, wytyczne, transfer danych, państwa trzecie, TSUE, Schrems II, ochrona danych, RODO, standardowe klauzule umowne, dodatkowe środki ochrony, monitorowanie, organy nadzorcze

Europejska Rada Ochrony Danych 10.11.2020 r. opublikowała projekt wytycznych dotyczących
przekazywania danych do państw trzecich. Wytyczne zawierają wskazówki dla administratorów danych
w tym zakresie, wobec wątpliwości, jakie powstały w związku z wydaniem przez Trybunał Sprawiedliwości
Unii Europejskiej wyroku z 16.7.2020 r., Data Protection Commissioner przeciwko Facebook Ireland Limited
i Maximillianowi Schremsowi, C-311/18,
.
Co zmienił wyrok TSUE w sprawie Schrems II?
W zakresie transferu danych do państw trzecich, powołany wyrok TSUE odnosi do trzech zasadniczych kwestii:
1. uchylenia tzw. Tarczy Prywatności (Privacy Shield), na podstawie której dokonywano transferu danych osobowych
do Stanów Zjednoczonych;
2. utrzymania w mocy standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom
przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego
i Rady (decyzja Komisji Europejskiej z 5.2.2010 r. notyfikowana jako dokument nr C(2010) 593);
3. konieczności podejmowania przez administratorów danych dodatkowych środków, w zależności od poziomu
ochronnych danych w danym państwie trzecim.
TSUE nie sprecyzował jednak, jakie „dodatkowe środki” mają podejmować podmioty dokonujące przekazania danych
poza obszar unijny. Pomocne mają być tu omawiane wytyczne Europejskiej Rady Ochrony Danych.
Co zawiera projekt wytycznych EROD?
Z dokumentu wynika, że wytyczne zostały przyjęte w celu pomocy eksporterom danych w złożonym procesie oceny
poziomu ochrony danych w państwie trzecim i identyfikacji dodatkowych środków niezbędnych do zapewnienia
odpowiedniego poziomu ochrony przekazywanych danych. EROD określiła sześć podstawowych kroków, jakie
powinny zostać podjęte:
Krok 1: Identyfikacja wszystkich dokonywanych transferów danych osobowych do państw trzecich
W praktyce sprowadza się to przede wszystkim do zweryfikowania prowadzonych rejestrów czynności przetwarzania,
kategorii czynności przetwarzania oraz obowiązków informacyjnych realizowanych względem podmiotów danych.
Krok 2: Weryfikacja podstawy przekazywania danych
Mogą to być decyzje stwierdzające odpowiedni poziom ochrony danych przyjmowane przez Komisję Europejską
w trybie art. 45 RODO, przekazywanie danych z zastrzeżeniem odpowiednich zabezpieczeń, o których mowa w art.
46 RODO lub odstępstwa wymienione w przepisie art. 49 RODO.
Krok 3: Ocena legislacji i praktyki w danym państwie trzecim w zakresie danych osobowych (w tym
w szczególności pod kątem dostępu do danych przez organy publiczne)
Należy przy tym odwołać się do wszelkich dostępnych źródeł i informacji dotyczących państwa, do którego mają
zostać przekazane dane oraz przyjętych w nim rozwiązań prawnych, które mogą mieć zastosowanie do czynności
transferu danych. W załączniku do wytycznych wymieniono przykładowe źródła informacji, w tym m.in. orzecznictwo
krajowe lub decyzje podjęte przez niezależne organy sądowe lub administracyjne właściwe w zakresie prywatności
i ochrony danych w państwach trzecich, raporty instytucji akademickich, organizacji pozarządowych, stowarzyszeń
branżowych.
Krok 4: Identyfikacja i przyjęcie dodatkowych środków koniecznych, aby poziom ochrony przekazywanych
danych osiągnął unijny standard
W załączniku do wytycznych wymienione zostały przykłady dodatkowych środków ochrony danych, które mogą być
stosowane przez podmioty przekazujące dane do państw trzecich, a wśród nich:
- środki techniczne, np. anonimizacja, szyfrowanie danych
- środki organizacyjne, jak np. procedury wewnętrzne,

- środki umowne, tj. uwzględnianie w umowach dotyczących transferu danych odpowiednich klauzul ochronnych.
Krok 5: Podjęcie kroków formalnych i proceduralnych w celu przyjęcia dodatkowego środka ochrony danych
Możliwe jest w tym zakresie zastosowanie standardowych klauzul ochrony danych przyjętych przez Komisję (art. 46
ust. 2 lit. c i d RODO), wiążących reguł korporacyjnych (art. 46 ust. 2 lit. b RODO), jak również klauzul umownych
między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub
odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej pod warunkiem uzyskania
zezwolenia właściwego organu nadzorczego (art. 46 ust. 3 lit. a RODO).
Krok 6: Monitorowanie sytuacji w państwach trzecich (w tym zmian w prawie) oraz weryfikowanie przyjętych
wcześniej środków ochrony danych
Wszystkie powyższe kroki powinny być podejmowane przy uwzględnieniu ogólnych zasad ochrony danych
wynikających z RODO, przede wszystkim zasady zgodności z prawem, zasady adekwatności i zasady rozliczalności.
Zarówno sposób oceny, czy dodatkowe środki powinny zostać zastosowane, jak również sposób ich wyboru
i wdrożenia będzie musiał zostać odpowiednio udokumentowany. Takiej dokumentacji może oczekiwać właściwy
organ nadzorczy podczas ewentualnej kontroli.
W dokumencie zwrócono szczególną uwagę na rolę organów nadzorczych, które wykonują swoje uprawnienia
w zakresie monitorowania stosowania RODO i jego egzekwowania. Z wytycznych wynika, że organy nadzorcze
powinny zwracać szczególną uwagę na działania podejmowane przez eksporterów danych w celu zapewnienia, że
przekazywane przez nich dane objęte są odpowiednim poziomem ochrony. W przypadkach stwierdzenia, iż taki
poziom ochrony nie został zapewniony, mają obowiązek wstrzymać lub zakazać przekazywania danych.

Komentarz
Europejska Rada Ochrony Danych została powołana na mocy przepisów RODO w celu zapewnienia spójnego
stosowania rozporządzenia. Jednym z jej zadań jest wydawanie wytycznych, zaleceń oraz określania najlepszych
praktyk, aby doprecyzować ogólne zapisy RODO. Wydaje się jednak, że w niniejszym przypadku także wytyczne
EROD wymagają interpretacji.
Wątpliwości budzi przede wszystkim nałożenie obowiązku monitorowania zmian w prawie, jakie zachodzą
w państwach spoza Unii, do których przekazywane są określone dane osobowe. Cel, któremu ma to służyć, należy
uznać za uzasadniony, jednakże w praktyce może to okazać się trudne do wykonania. Samo wejście w życie
przepisów RODO wiązało się dla wielu podmiotów z koniecznością poniesienia znacznych środków na
przygotowanie odpowiednich procedur, wdrożenie odpowiednich środków technicznych czy dostosowanie
istniejących dokumentacji z zakresu ochrony danych osobowych do nowych przepisów. Na podstawie niniejszych
wytycznych może okazać się, że z transfer danych do państwa trzeciego wymagać będzie korzystania z usług
tamtejszych prawników, czy specjalistów z zakresu ochrony danych osobowych.
Mimo tego, dokument z pewnością należy ocenić jako pomocny, bowiem wyznacza pewne standardy działań, które
powinny być podejmowane przez administratorów danych przekazujących dane poza Unię Europejską i potwierdza,
że praktyki podejmowane już przez wiele podmiotów są prawidłowe i wystarczające, aby uznać je za spełniające
wymogi RODO.

Europejska Rada Ochrony Danych przyjęła wytyczne w celu pomocy eksporterom danych w ocenie poziomu ochrony danych i identyfikacji dodatkowych środków niezbędnych do zapewnienia odpowiedniego poziomu ochrony przekazywanych danych. Wytyczne określają sześć kroków, jakie powinny zostać podjęte, w tym identyfikację transferów danych, weryfikację podstaw przekazywania danych, ocenę legislacji państwa trzeciego oraz przyjęcie dodatkowych środków ochrony danych.