EROD publikuje rekomendacje dotyczące przekazywania danych osobowych poza UE

clock 3m 51s

Europejska Rada Ochrony Danych opublikowała 11 listopada 2020 roku wytyczne dotyczące transferu danych osobowych poza granice Unii Europejskiej. Rekomendacje powstały w celu rozwiania wątpliwości w związku z wyrokiem TSUE z lipca br. unieważniającym Tarczę Prywatności UE-USA. Na wytyczne czekali prawnicy oraz administratorzy i podmioty przetwarzające dane osobowe.

10 listopada 2020 roku podczas 41. posiedzenia plenarnego EROD przyjął dwa dokumenty powstałe w konsekwencji wyroku TSUE w sprawie Schrems II [1]. W ten sposób EROD chce zapewnić zgodność stosowania RODO i wyroku Trybunał Sprawiedliwości Unii Europejskiej w całym EOG.

Pierwszy dokument nosi nazwę „Rekomendacje 01/2020 w sprawie środków, które uzupełniają narzędzia transferu w celu zapewnienia zgodność z unijnym poziomem ochrony danych osobowych”. Uwagi do niego można zgłaszać do 30 listopada. Drugi wiążącym dokumentem są „Rekomendacje 2/2020 w zakresie europejskich gwarancji podstawowych dotyczących środków nadzoru”.

Przewodnicząca EROD – Andrea Jelinek – zaznaczyła: „EROD doskonale zdaje sobie sprawę z wpływu wyroku w sprawie Schrems II na tysiące przedsiębiorstw z UE oraz dużej odpowiedzialności, jaką nakłada na podmioty przekazujące dane. EROD ma nadzieję, że zalecenia pomogą podmiotom przekazującym dane w określaniu i wdrażaniu skutecznych środków uzupełniających tam, gdzie są one potrzebne. Naszym celem jest umożliwienie zgodnego z prawem przekazywania danych osobowych do państw trzecich, przy jednoczesnym zagwarantowaniu, że przekazywane dane są objęte stopniem ochrony merytorycznie równoważnym temu gwarantowanemu w EOG.”[2]

EROD zaproponował plan działań, zgodnie z którym powinni postępować administratorzy danych, wybierając odpowiednie narzędzie transferowania danych osobowych do krajów spoza UE. Plan ten, nazwany w pierwszej rekomendacji "roadmapą", zawiera sześć kroków:

  1. Określenie transferów danych mających miejsce w organizacji (i zweryfikowanie czy posiadane dane są niezbędne do celów w jakich są używane i przekazywane).
  2. Weryfikacja narzędzi i podstaw do transferowania danych (w przypadku danych przekazywanych do USA postawą nie jest już Tarcza Prywatności EU-USA [3]).
  3. Dokonanie oceny czy w prawie lub praktyce państwa trzeciego istnieje coś, co może naruszać skuteczność zabezpieczeń narzędzi transferu (narzędzia do przekazywania danych, o których mowa w art. 46 RODO nie zawsze są wystarczające).
  4. Określenie i przyjęcie dodatkowych środków niezbędnych do podniesienia poziomu ochrony przekazywanych danych oraz procedur utrudniających do nich dostęp (np. szyfrowanie lub korzystanie z dodatkowego importera danych).
  5. Podjęcie wszystkich formalnych kroków proceduralnych w związku z przyjęciem dodatkowych procedur zabezpieczających (np. klauzule ochronne, klauzule umowne, reguły korporacyjne).
  6. Monitorowanie zmian w przepisach państw spoza UE i ponowna ocena poziomu ochrony przekazywania danych.

Dodatkowy komentarz EROD w sprawie przekazywania danych osobowych poza UE

Jak czytamy w informacji prasowej EROD: podmioty transferujące dane będą odpowiedzialne za dokonanie konkretnej oceny w kontekście przekazywania danych, prawa państw spoza UE i wybranych narzędzi przekazywania danych. Zgodnie z zasadą rozliczalności RODO, to na podmiotach przekazujących dane będzie spoczywał obowiązek należytej staranności przy transferowaniu danych i prowadzeniu dokładnej dokumentacji związanej z przetwarzanymi przez nich danymi. EROD dodaje, że podmioty transferujące dane powinni być świadomi, że nie w każdym przypadku możliwe będzie wdrożenie wystarczających środków uzupełniających.

Czy rekomendacje EROD są wystarczające?

Dokumenty opublikowane przez EROD są naprawdę obszerne. Wydaje się jednak, że przy rozstrzyganiu wątpliwych kwestii, rekomendacje te nie będą wystarczające. Przedsiębiorcy zapewne będą musieli korzystać z porad prawników, wykwalifikowanych w tym zakresie specjalistów lub zasięgać rady Urzędu Ochrony Danych Osobowych. Być może w przyszłej, wiążącej wersji pierwszego dokumentu znajdzie się więcej precyzyjnych wytycznych (dokument został przedłożony do konsultacji społecznych).

Dokumenty EROD, o których mowa:

Jeśli potrzebujesz wsparcia w zakresie bezpieczeństwa danych osobowych i RODO, napisz do nas na adres kontakt@resilia.pl lub sprawdź nasze usługi (kliknij, aby zobaczyć jak możemy pomóc Twojej firmie.)

 

Przypisy

[1] Dokładniej sprawa "Data Protection Commissioner przeciwko Facebook Ireland Ltd., Maximillian Schrems (C-311/18)"

[2] Tłumaczenie za: https://uodo.gov.pl/pl/185/1766

[3] EU-US Privacy Shield

Skontaktuj się z nami
Resilia Sp. z o.o.
Resilia Sp. z o.o.
ul. Żurawia 43 lok. 205
00-680 Warszawa
KRS 0000379789
NIP 5222972858
REGON 142839818
Wyrażam zgodę na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących Administratora danych zgodnie z ustawą z dnia 16 lipca 2004 roku Prawo telekomunikacyjne (Dz.U. z 2017 r. poz. 1907 j.t.z późn. zm.)
Uzupełnienie powyższego pola oznacza zgodę na otrzymywanie od RESILIA Sp. z o.o. (RESILIA) informacji dotyczących oferty RESILIA drogą e-mailową. Zgodę można wycofać w każdym czasie bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem. Administratorem danych osobowych jest RESILIA Sp. z o.o. z siedzibą w Warszawie przy ul. Żurawiej 43 lok. 205, 00-680 Warszawa. Dane osobowe osób korzystających z formularza kontaktowego przetwarzane są w celu identyfikacji nadawcy oraz obsługi zapytania przesłanego przez udostępniony formularz . Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu uprawnieniach, znajduje się w naszej Polityce przetwarzania danych osobowych.
Administratorem danych osobowych jest RESILIA Sp. z o.o. z siedzibą w Warszawie przy ul. Żurawiej 43 lok. 205 , 00-680 Warszawa. Dane osobowe osób korzystających z formularza kontaktowego przetwarzane są w celu identyfikacji nadawcy oraz obsługi zapytania przesłanego przez udostępniony formularz . Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu uprawnieniach, znajduje się w naszej Polityce przetwarzania danych osobowych.
Dziękujemy za przesłanie formularza z pytaniem. Postaramy się jak najszybciej na nie odpowiedzieć!
Niestety formularza nie udało się wysłać. Proszę spróbować ponownie później lub skontaktować się z nami bezpośrednio.

    Wyrażam zgodę na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących Administratora danych zgodnie z ustawą z dnia 16 lipca 2004 roku Prawo telekomunikacyjne (Dz.U. z 2017 r. poz. 1907 j.t.z późn. zm.)

    Uzupełnienie powyższego pola oznacza zgodę na otrzymywanie od RESILIA Sp. z o.o. (RESILIA) informacji dotyczących oferty RESILIA drogą e-mailową. Zgodę można wycofać w każdym czasie bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem. Administratorem danych osobowych jest RESILIA Sp. z o.o. z siedzibą w Warszawie przy ul. Żurawiej 43 lok. 205, 00-680 Warszawa. Dane osobowe osób korzystających z formularza kontaktowego przetwarzane są w celu identyfikacji nadawcy oraz obsługi zapytania przesłanego przez udostępniony formularz . Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu uprawnieniach, znajduje się w naszej Polityce przetwarzania danych osobowych.

    Administratorem danych osobowych jest RESILIA Sp. z o.o. z siedzibą w Warszawie przy ul. Żurawiej 43 lok. 205 , 00-680 Warszawa. Dane osobowe osób korzystających z formularza kontaktowego przetwarzane są w celu identyfikacji nadawcy oraz obsługi zapytania przesłanego przez udostępniony formularz . Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu uprawnieniach, znajduje się w naszej  Polityce przetwarzania danych osobowych.