EROD publikuje rekomendacje dotyczące przekazywania danych osobowych poza UE

clock 3m 51s

Europejska Rada Ochrony Danych opublikowała 11 listopada 2020 roku wytyczne dotyczące transferu danych osobowych poza granice Unii Europejskiej. Rekomendacje powstały w celu rozwiania wątpliwości w związku z wyrokiem TSUE z lipca br. unieważniającym Tarczę Prywatności UE-USA. Na wytyczne czekali prawnicy oraz administratorzy i podmioty przetwarzające dane osobowe.

10 listopada 2020 roku podczas 41. posiedzenia plenarnego EROD przyjął dwa dokumenty powstałe w konsekwencji wyroku TSUE w sprawie Schrems II [1]. W ten sposób EROD chce zapewnić zgodność stosowania RODO i wyroku Trybunał Sprawiedliwości Unii Europejskiej w całym EOG.

Pierwszy dokument nosi nazwę „Rekomendacje 01/2020 w sprawie środków, które uzupełniają narzędzia transferu w celu zapewnienia zgodność z unijnym poziomem ochrony danych osobowych”. Uwagi do niego można zgłaszać do 30 listopada. Drugi wiążącym dokumentem są „Rekomendacje 2/2020 w zakresie europejskich gwarancji podstawowych dotyczących środków nadzoru”.

Przewodnicząca EROD – Andrea Jelinek – zaznaczyła: „EROD doskonale zdaje sobie sprawę z wpływu wyroku w sprawie Schrems II na tysiące przedsiębiorstw z UE oraz dużej odpowiedzialności, jaką nakłada na podmioty przekazujące dane. EROD ma nadzieję, że zalecenia pomogą podmiotom przekazującym dane w określaniu i wdrażaniu skutecznych środków uzupełniających tam, gdzie są one potrzebne. Naszym celem jest umożliwienie zgodnego z prawem przekazywania danych osobowych do państw trzecich, przy jednoczesnym zagwarantowaniu, że przekazywane dane są objęte stopniem ochrony merytorycznie równoważnym temu gwarantowanemu w EOG.”[2]

EROD zaproponował plan działań, zgodnie z którym powinni postępować administratorzy danych, wybierając odpowiednie narzędzie transferowania danych osobowych do krajów spoza UE. Plan ten, nazwany w pierwszej rekomendacji "roadmapą", zawiera sześć kroków:

  1. Określenie transferów danych mających miejsce w organizacji (i zweryfikowanie czy posiadane dane są niezbędne do celów w jakich są używane i przekazywane).
  2. Weryfikacja narzędzi i podstaw do transferowania danych (w przypadku danych przekazywanych do USA postawą nie jest już Tarcza Prywatności EU-USA [3]).
  3. Dokonanie oceny czy w prawie lub praktyce państwa trzeciego istnieje coś, co może naruszać skuteczność zabezpieczeń narzędzi transferu (narzędzia do przekazywania danych, o których mowa w art. 46 RODO nie zawsze są wystarczające).
  4. Określenie i przyjęcie dodatkowych środków niezbędnych do podniesienia poziomu ochrony przekazywanych danych oraz procedur utrudniających do nich dostęp (np. szyfrowanie lub korzystanie z dodatkowego importera danych).
  5. Podjęcie wszystkich formalnych kroków proceduralnych w związku z przyjęciem dodatkowych procedur zabezpieczających (np. klauzule ochronne, klauzule umowne, reguły korporacyjne).
  6. Monitorowanie zmian w przepisach państw spoza UE i ponowna ocena poziomu ochrony przekazywania danych.

Dodatkowy komentarz EROD w sprawie przekazywania danych osobowych poza UE

Jak czytamy w informacji prasowej EROD: podmioty transferujące dane będą odpowiedzialne za dokonanie konkretnej oceny w kontekście przekazywania danych, prawa państw spoza UE i wybranych narzędzi przekazywania danych. Zgodnie z zasadą rozliczalności RODO, to na podmiotach przekazujących dane będzie spoczywał obowiązek należytej staranności przy transferowaniu danych i prowadzeniu dokładnej dokumentacji związanej z przetwarzanymi przez nich danymi. EROD dodaje, że podmioty transferujące dane powinni być świadomi, że nie w każdym przypadku możliwe będzie wdrożenie wystarczających środków uzupełniających.

Czy rekomendacje EROD są wystarczające?

Dokumenty opublikowane przez EROD są naprawdę obszerne. Wydaje się jednak, że przy rozstrzyganiu wątpliwych kwestii, rekomendacje te nie będą wystarczające. Przedsiębiorcy zapewne będą musieli korzystać z porad prawników, wykwalifikowanych w tym zakresie specjalistów lub zasięgać rady Urzędu Ochrony Danych Osobowych. Być może w przyszłej, wiążącej wersji pierwszego dokumentu znajdzie się więcej precyzyjnych wytycznych (dokument został przedłożony do konsultacji społecznych).

Dokumenty EROD, o których mowa:

Jeśli potrzebujesz wsparcia w zakresie bezpieczeństwa danych osobowych i RODO, napisz do nas na adres kontakt@resilia.pl lub sprawdź nasze usługi (kliknij, aby zobaczyć jak możemy pomóc Twojej firmie.)

 

Przypisy

[1] Dokładniej sprawa "Data Protection Commissioner przeciwko Facebook Ireland Ltd., Maximillian Schrems (C-311/18)"

[2] Tłumaczenie za: https://uodo.gov.pl/pl/185/1766

[3] EU-US Privacy Shield

Skontaktuj się z nami
Resilia Sp. z o.o.
Resilia Sp. z o.o.
ul. Żurawia 43 lok. 205
00-680 Warszawa
KRS 0000379789
NIP 5222972858
REGON 142839818

Wyrażam zgodę na przetwarzanie moich danych osobowych w postaci imienia, nazwiska, adresu e-mail, nr telefonu przez Resilia Spółka z o.o. w celu prowadzenia działań marketingowych dotyczących jej produktów lub usług, w tym przesyłania informacji handlowych, w formie:



Podanie danych osobowych oraz wyrażenie zgody na ich przetwarzanie i/lub otrzymywanie newslettera jest dobrowolne.

Zgoda na przetwarzanie danych osobowych może zostać wycofana w dowolnym momencie przez złożenie oświadczenia – pisemnie – na adres Resilia sp. z o. o. ul. Żurawia 43 lok 205, 00-680 Warszawa lub elektronicznie – na adres kontakt@resilia.pl

Administratorem Pana/Pani danych osobowych jest Resilia Spółka z o.o. Więcej o przetwarzaniu danych osobowych w związku ze skorzystaniem z formularza kontaktowego oraz usługą newsletter w Polityce prywatności.

Dziękujemy za przesłanie formularza z pytaniem. Postaramy się jak najszybciej na nie odpowiedzieć!
Niestety formularza nie udało się wysłać. Proszę spróbować ponownie później lub skontaktować się z nami bezpośrednio.

    Wyrażam zgodę na przetwarzanie moich danych osobowych w postaci imienia,
    nazwiska, nr telefonu, adresu e-mail przez Resilia Spółka z o.o. w celu
    prowadzenia działań marketingowych dotyczących jej produktów lub usług, w
    tym przesyłania informacji handlowych, w formie:



    Podanie danych osobowych oraz wyrażenie zgody na ich przetwarzanie i/lub
    otrzymywanie newslettera jest dobrowolne.

    Zgoda na przetwarzanie danych osobowych może zostać wycofana w dowolnym
    momencie przez złożenie oświadczenia – pisemnie – na adres Resilia sp. z o.
    o. ul. Żurawia 43 lok 205, 00-680 Warszawa lub elektronicznie – na adres
    kontakt@resilia.pl

    Administratorem Pana/Pani danych osobowych jest Resilia Spółka z o.o. Więcej
    o przetwarzaniu danych osobowych w związku z zapisem na szkolenie lub
    webinar oraz usługą newsletter w Polityce prywatności.