EROD publikuje rekomendacje dotyczące przekazywania danych osobowych poza UE

calendar 16 listopada 2020
clock 3m 51s

Europejska Rada Ochrony Danych opublikowała 11 listopada 2020 roku wytyczne dotyczące transferu danych osobowych poza granice Unii Europejskiej. Rekomendacje powstały w celu rozwiania wątpliwości w związku z wyrokiem TSUE z lipca br. unieważniającym Tarczę Prywatności UE-USA. Na wytyczne czekali prawnicy oraz administratorzy i podmioty przetwarzające dane osobowe.

10 listopada 2020 roku podczas 41. posiedzenia plenarnego EROD przyjął dwa dokumenty powstałe w konsekwencji wyroku TSUE w sprawie Schrems II [1]. W ten sposób EROD chce zapewnić zgodność stosowania RODO i wyroku Trybunał Sprawiedliwości Unii Europejskiej w całym EOG.

Pierwszy dokument nosi nazwę „Rekomendacje 01/2020 w sprawie środków, które uzupełniają narzędzia transferu w celu zapewnienia zgodność z unijnym poziomem ochrony danych osobowych”. Uwagi do niego można zgłaszać do 30 listopada. Drugi wiążącym dokumentem są „Rekomendacje 2/2020 w zakresie europejskich gwarancji podstawowych dotyczących środków nadzoru”.

Przewodnicząca EROD – Andrea Jelinek – zaznaczyła: „EROD doskonale zdaje sobie sprawę z wpływu wyroku w sprawie Schrems II na tysiące przedsiębiorstw z UE oraz dużej odpowiedzialności, jaką nakłada na podmioty przekazujące dane. EROD ma nadzieję, że zalecenia pomogą podmiotom przekazującym dane w określaniu i wdrażaniu skutecznych środków uzupełniających tam, gdzie są one potrzebne. Naszym celem jest umożliwienie zgodnego z prawem przekazywania danych osobowych do państw trzecich, przy jednoczesnym zagwarantowaniu, że przekazywane dane są objęte stopniem ochrony merytorycznie równoważnym temu gwarantowanemu w EOG.”[2]

EROD zaproponował plan działań, zgodnie z którym powinni postępować administratorzy danych, wybierając odpowiednie narzędzie transferowania danych osobowych do krajów spoza UE. Plan ten, nazwany w pierwszej rekomendacji „roadmapą”, zawiera sześć kroków:

  1. Określenie transferów danych mających miejsce w organizacji (i zweryfikowanie czy posiadane dane są niezbędne do celów w jakich są używane i przekazywane).
  2. Weryfikacja narzędzi i podstaw do transferowania danych (w przypadku danych przekazywanych do USA postawą nie jest już Tarcza Prywatności EU-USA [3]).
  3. Dokonanie oceny czy w prawie lub praktyce państwa trzeciego istnieje coś, co może naruszać skuteczność zabezpieczeń narzędzi transferu (narzędzia do przekazywania danych, o których mowa w art. 46 RODO nie zawsze są wystarczające).
  4. Określenie i przyjęcie dodatkowych środków niezbędnych do podniesienia poziomu ochrony przekazywanych danych oraz procedur utrudniających do nich dostęp (np. szyfrowanie lub korzystanie z dodatkowego importera danych).
  5. Podjęcie wszystkich formalnych kroków proceduralnych w związku z przyjęciem dodatkowych procedur zabezpieczających (np. klauzule ochronne, klauzule umowne, reguły korporacyjne).
  6. Monitorowanie zmian w przepisach państw spoza UE i ponowna ocena poziomu ochrony przekazywania danych.

Dodatkowy komentarz EROD w sprawie przekazywania danych osobowych poza UE

Jak czytamy w informacji prasowej EROD: podmioty transferujące dane będą odpowiedzialne za dokonanie konkretnej oceny w kontekście przekazywania danych, prawa państw spoza UE i wybranych narzędzi przekazywania danych. Zgodnie z zasadą rozliczalności RODO, to na podmiotach przekazujących dane będzie spoczywał obowiązek należytej staranności przy transferowaniu danych i prowadzeniu dokładnej dokumentacji związanej z przetwarzanymi przez nich danymi. EROD dodaje, że podmioty transferujące dane powinni być świadomi, że nie w każdym przypadku możliwe będzie wdrożenie wystarczających środków uzupełniających.

Czy rekomendacje EROD są wystarczające?

Dokumenty opublikowane przez EROD są naprawdę obszerne. Wydaje się jednak, że przy rozstrzyganiu wątpliwych kwestii, rekomendacje te nie będą wystarczające. Przedsiębiorcy zapewne będą musieli korzystać z porad prawników, wykwalifikowanych w tym zakresie specjalistów lub zasięgać rady Urzędu Ochrony Danych Osobowych. Być może w przyszłej, wiążącej wersji pierwszego dokumentu znajdzie się więcej precyzyjnych wytycznych (dokument został przedłożony do konsultacji społecznych).

Dokumenty EROD, o których mowa:

Jeśli potrzebujesz wsparcia w zakresie bezpieczeństwa danych osobowych i RODO, napisz do nas na adres [email protected] lub sprawdź nasze usługi (kliknij, aby zobaczyć jak możemy pomóc Twojej firmie.)

 

Przypisy

[1] Dokładniej sprawa „Data Protection Commissioner przeciwko Facebook Ireland Ltd., Maximillian Schrems (C-311/18)”

[2] Tłumaczenie za: https://uodo.gov.pl/pl/185/1766

[3] EU-US Privacy Shield

Podobne wpisy
„Cyberbezpieczny Samorząd” – nowy termin naboru i zmiany w regulaminie
calendar 9 października 2023
clock 2m 21s

Dobra wiadomość dla wszystkich JST, które nie zdążyły aplikować o dotację w ramach programu „Cyberbezpieczny Samorząd”! Termin składania wniosków został wydłużony do 30 listopada! […]
Dotacje dla szpitali na poprawę cyberbezpieczeństwa w 2023 roku
calendar 31 maja 2023
clock 10m 0s

Szpitale i wybrane placówki medyczne w dalszym ciągu mogą ubiegać się o dofinansowanie na poprawę cyberbezpieczeństwa. Okres finansowania został przedłużony do 31 października 2023 roku. […]
Niechciane telefony z pożądaną zawartością – dane poufne w używanych telefonach
calendar 28 marca 2011
clock 1m 48s

Sprzedajesz stary telefon na aukcji lub w komisie? Najpierw wyczyść pamięć. W telefonie zostawiasz po sobie loginy, hasła i inne dane poufne, które mogą zostać […]

NIS2 podmioty objęte przepisami

SPRAWDŹ I UNIKNIJ KAR FINANSOWYCH

Skontaktuj się z nami
Resilia Sp. z o.o.
Resilia Sp. z o.o.
ul. Żurawia 43 lok. 205
00-680 Warszawa
KRS 0000379789
NIP 5222972858
REGON 142839818
telefon
+48 22 243 39 37
e-mail
[email protected]


    Wyrażam zgodę na przetwarzanie moich danych osobowych przez Resilia Sp. z o.o. w celu prowadzenia działań marketingowo-handlowych dotyczących produktów lub usług firmy w formie:


    Szczegóły dotyczące przetwarzania danych osobowych, wycofania wyrażonych zgód oraz administratora danych znajdują się w Polityce prywatności.

    Polityka prywatności
    Regulaminu świadczenia usług
    © Resilia Sp. z o.o. Wszelkie prawa zastrzeżone
    Projekt i realizacja Eager Dots
    Dziękujemy za przesłanie formularza z pytaniem. Postaramy się jak najszybciej na nie odpowiedzieć!
    Niestety formularza nie udało się wysłać. Proszę spróbować ponownie później lub skontaktować się z nami bezpośrednio.






      Wyrażam zgodę na przetwarzanie moich danych osobowych przez Resilia Sp. z o.o. w celu prowadzenia działań marketingowo-handlowych dotyczących produktów lub usług firmy w formie:


      Szczegóły dotyczące przetwarzania danych osobowych, wycofania wyrażonych zgód oraz administratora danych znajdują się w Polityce prywatności.

      Zgłoszenie zostało wysłane!