Rzeczywistość po wyroku Schrems II – wytyczne EROD

W związku z unieważnieniem przez TSUE w wyroku w sprawie Schrems II decyzji 2016/1250 Komisji Europejskiej, „Tarcza Prywatności”1 już nie obowiązuje. Z tego powodu w dniu 10 listopada 2020 r. Europejska Rada Ochrony Danych wydała rekomendacje w sprawie środków, które uzupełniają narzędzia transferu, aby zapewnić zgodność z unijnym poziomem ochrony danych osobowych. W poniższym artykule opisujemy ww. rekomendacje.

I. Rekomendacje 01/2020 w sprawie środków, które uzupełniają narzędzia transferu w celu zapewnienia zgodności z unijnym poziomem ochrony danych osobowych

Rekomendacje 01/2020 przyjęte przez Europejską Radę Ochrony Danych (dalej jako: „ERPD”) w dniu 10 listopada 2020 r. wprowadzają ogólne wytyczne w zakresie środków bezpieczeństwa, które powinny zostać powzięte przez eksporterów danych osobowych do państw trzecich. Wytyczne te zostały określone mapą drogową (roadmap) stosowania zasady odpowiedzialności za transfery danych w praktyce. Wyszczególniono 6 głównych kroków do zapewnienia bezpiecznego przekazy-wania danych poza obszar EOG.

1. Krok pierwszy: poznaj swoje transfery (Know your transfers)

W ramach tego kroku rekomenduje się określenie transferów danych mających miejsce w danej organizacji i zweryfikowanie czy posiadane dane są niezbędne do celów w jakich są używane i prze-kazywane. Eksporterzy danych powinni być świadomi gdzie przekazują dane, czy dane te są przekazywane do państw trzecich i co to są za państwa. Aby uzyskać pełną świadomość swoich transferów, eksporter danych może opierać się na rejestrach czynności przetwarzania, do których prowa-dzenia może być zobowiązany jako administrator lub podmiot przetwarzający zgodnie z art. 30 RO-DO. Należy również wziąć pod uwagę dalsze transfery, w tym czy podmioty przetwarzające poza EOG przekazują powierzone im dane osobowe do podwykonawcy w innym państwie trzecim lub w tym samym państwie trzecim. Ponadto zgodnie z zasadą „minimalizacji danych” RODO, należy sprawdzić, czy przesyłane dane są adekwatne, stosowne i ograniczone do tego, co jest konieczne do celów, w których są przekazywane i przetwarzane w państwie trzecim. Czynności te należy wy-konać przed wykonaniem jakiegokolwiek transferu i zaktualizować przed wznowieniem transferu, po zawieszeniu operacji przenoszenia danych. W tym celu należy posiadać wiedzę gdzie eksporto-wane dane osobowe mogą być zlokalizowane lub przetwarzane przez importerów (mapa miejsc docelowych). Należy również pamiętać, że zdalny dostęp z kraju trzeciego lub przechowywanie w chmurze znajdującej się poza EOG również uważa się za przeniesienie danych. Jeśli eksporter da-nych korzysta z międzynarodowej infrastruktury chmury, należy ocenić, czy dane zostaną przesłane do krajów trzecich i gdzie, chyba że dostawca usług w chmurze wyraźnie stwierdza w umowie, że dane nie będą przetwarzane w państwach trzecich.

2. Krok drugi: Weryfikacja narzędzi i podstaw do transferowania danych

W tej rekomendacji EROD odnosi się do decyzji w sprawie adekwatności ochrony danych dotyczą-cych państw trzecich2. Komisja Europejska może uznać poprzez swoje decyzje (adequacy decisions) odpowiedni stopień ochrony w odniesieniu do niektórych lub wszystkich państw trzecich. Decyzje dotyczące adekwatności mogą dotyczyć całego kraju lub ograniczać się do jego części. Jeżeli transfer danych następuje do państw objętych decyzjami adekwatności, rekomendacje nie dotyczą tych eksporterów, ale mimo to i tak trzeba monitorować czy decyzje wciąż są ważne.

3. Krok trzeci: Dokonanie oceny narzędzi do przekazywania danych

W kroku trzecim należy ocenić czy w prawie lub praktyce państwa trzeciego są przepisy lub czynni-ki, które mogą naruszać skuteczność zabezpieczeń narzędzi transferu - narzędzia do przekazywania danych, o których mowa w art. 46 RODO (standardowe klauzule umowne, wiążące reguły korporacyjne, codes of conduct, mechanizmy certyfikacji, klauzule kontraktowe ad hoc) nie zawsze są wy-starczające. W wyjątkowych sytuacjach, gdy transfer danych jest niezbędny i osoba, której dane dotyczą została poinformowana o ryzyku, z którym wiąże się przekazanie danych, można przekazać dane nawet w przypadku niespełnienia wymogów dot. zabezpieczeń, o których mowa w art. 46 RODO. O wyjątkach tych stanowi art. 49 RODO, określający warunki, które muszą zostać spełnione, aby w razie braku decyzji stwierdzającej odpowiedni stopień ochrony określonej w art. 45 ust. 3 lub braku odpowiednich zabezpieczeń określonych w art. 46, w tym wiążących reguł korporacyjnych, jednorazowe lub wielokrotne przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej było dopuszczalne:

• podmiot danych musi zostać powiadomiony o ryzyku, przekazanie danych jest niezbędne do zawarcia lub wykonania umowy,

• ze względu na ważne względy interesu publicznego lub

• gdy przekazanie jest niezbędna do ustalenia, dochodzenia lub ochrony roszczeń, lub

• do ochrony żywotnych interesów osoby, których dane dotyczą, lub

• przekazanie następuje z odpowiedniego rejestr. W przypadku, gdy nie zachodzą wyjątki wskazane w art. 49 RODO, przekazanie do państwa trzecie-go lub organizacji międzynarodowej może nastąpić wyłącznie, gdy przekazanie nie jest powtarzal-ne, dotyczy tylko ograniczonej liczby osób, których dane dotyczą, jest niezbędne ze względu na ważne prawnie uzasadnione interesy realizowane przez administratora, wobec których charakteru nadrzędnego nie mają interesy ani prawa i wolności osoby, której dane dotyczą a administrator ocenił wszystkie okoliczności przekazania danych i na podstawie tej oceny zapewnił odpowiednie zabezpieczenia w zakresie ochrony danych osobowych.

Ocena powinna uwzględniać wszystkie podmioty uczestniczące w przetwarzaniu. Im więcej zaangażowanych kontrolerów, podmiotów przetwarzających lub importerów, tym bardziej złożona będzie ocena. Należy również uwzględnić w ocenie wszelkie dalsze transfery. W tym celu eksporter danych będzie musiał przyjrzeć się charakterystyce każdego z przelewów i określić, w jaki ochronę danych zapewnia krajowy porządek prawny kraju, do którego dane są przekazywane (lub dalej przekazywane).

Mający zastosowanie kontekst prawny będzie zależał od okoliczności przekazania, w szcze-gólności:

• celów, w jakich dane są przekazywane i przetwarzane;

• rodzajów podmiotów zaangażowanych w przetwarzanie (publiczny/prywatny; administra-tor/podmiot przetwarzający);

• sektora, w którym następuje transfer;

• kategorii przekazywanych danych osobowych;

• czy dane będą przechowywane w kraju trzecim, czy tylko zdalnie zapewniony dostęp do danych przechowywanych na terenie UE / EOG;

• formatu przesyłanych danych;

• możliwości, że dane mogą być dalej przekazywane z państwa trzeciego do

• innego państwa trzeciego.

4. Krok czwarty: Określenie i przyjęcie dodatkowych środków ochrony

Należy określić środki ochrony niezbędne do podniesienia poziomu ochrony przekazywanych da-nych oraz procedur utrudniających do nich dostęp (np. szyfrowanie lub korzystanie z dodatkowego importera danych).Jeśli ocena przeprowadzona w kroku 3 wykazała, że narzędzie do przesyłania danych zgod-ne z art.46 RODO nie jest skuteczne, należy rozważyć, w stosownych przypadkach, we współpracy z importerem, czy istnieją dodatkowe środki, które mogłyby zapewnić, że przekazywane dane będą objęte w państwie trzecim poziomem ochrony zasadniczo równoważnym gwarantowanym w UE. W poszczególnych przypadkach należy określić, które dodatkowe środki mogą być skuteczne w trans-ferze do określonego państwa trzeciego w przypadku korzystania ze specjalnych narzędzi do prze-syłania danych z artykułu 46 RODO.

Zasadniczo dodatkowe środki mogą mieć charakter umowny, techniczny lub organizacyjny. Łączenie różnych działań wzajemnie się wspierających może podnieść poziom ochrony, a zatem może przyczynić się do osiągnięcia standardów UE.

5. Krok piąty: Podjęcie kroków proceduralnych w związku z przyjęciem dodatkowych proce-dur zabezpieczających

5.1. Standardowe klauzule ochrony danych

W przypadku zamiaru wprowadzenia dodatkowych środków wykraczających poza standardowe klauzule umowne (SKU), nie ma potrzeby zwracania się do właściwego organu nadzoru o upoważ-nienie do dodania tego rodzaju klauzul lub dodatkowych zabezpieczeń, o ile określone środki do-datkowe nie stoją w sprzeczności, bezpośrednio ani pośrednio ze SKU i są wystarczające, aby za-pewnić, że poziom ochrony gwarantowany przez RODO nie został naruszony. Podmiot przekazujący i importer danych muszą zapewnić, aby dodatkowe klauzule nie były w żaden sposób interpreto-wane jako ograniczające prawa i obowiązki w SKU lub w jakikolwiek inny sposób obniżające poziom ochrony danych. Eksporter danych powinien być w stanie to wykazać, w tym jednoznaczność wszystkich klauzul, zgodnie z zasadą rozliczalności i swoim obowiązkiem zapewnienia wystarczają-cego poziomu ochrony danych.

Właściwe organy nadzorcze są uprawnione do przeglądu tych dodatkowych klauzul, jeśli jest to wymagane (np. w przypadku skargi lub zapytania z własnej woli). Jeśli eksporter zamierza samodzielnie zmodyfikować standardowe klauzule ochrony danych lub gdy

dodatkowe środki stoją w sprzeczności - bezpośrednio lub pośrednio - do SKU, należy wystąpić o zezwolenie do właściwego organu nadzorczego, zgodnie z art. 46 ust. 3 lit. a) RODO.

5.2. Wiążące reguły korporacyjne (art. 46 ust. 2 lit. b RODO)

TSUE w wyroku w sprawie Schrems II podkreślił, że przekazujący i odbierający dane są od-powiedzialni za ocenę, czy poziom ochrony wymagany przez prawo UE jest przestrzegany w danym państwie trzecim, ustalenie, czy gwarancje udzielone przez SKU i wiążące reguły korporacyjne mo-gą być przestrzegane w praktyce. Jeśli tak nie jest, należy ocenić, czy można zapewnić dodatkowe środki dla osiągnięcia zasadniczo równoważnego poziomu ochrony, jaki zapewnia EOG, i jeżeli pra-wo lub praktyka państwa trzeciego nie będą kolidować z tymi dodatkowymi środkami, aby unie-możliwić ich skuteczność.

5.3. Klauzule umowne ad hoc (art. 46 ust. 3 lit. a RODO)

Wyrok w sprawie Schrems II ma również zastosowanie do innych instrumentów transfero-wych zgodnie z art. 46 ust. 2 RODO, ponieważ wszystkie te instrumenty mają zasadniczo charakter umowny, więc przewidziane gwarancje i zobowiązania podjęte przez ich strony nie mogą wiązać władz publicznych państwa trzeciego. Wyrok w sprawie Schrems II ma zatem znaczenie dla przeka-zywania danych osobowych w sprawie podstawowych klauzul umownych ad hoc, ponieważ przepisy państw trzecich mogą wpływać na ochronę zapewnianą przez takie instrumenty. Dokładny wpływ wyroku Schrems II na klauzule ad hoc jest nadal przedmiotem dyskusji.

6. Krok szósty: Monitorowanie zmian w przepisach państw spoza UE i ponowna ocena po-ziomu ochrony przekazywania danych.

Należy na bieżąco monitorować, a w stosownych przypadkach - we współpracy z importerami da-nych, zmiany w państwie trzecim, do którego przekazano dane osobowe, które mogą mieć wpływ na wstępną ocenę poziomu ochrony, i decyzje, które podjęto w sprawie transferów (art. 5 ust. 2 RODO).

Należy wprowadzić wystarczająco solidne mechanizmy, aby zapewnić natychmiastowe zawieszenie lub zakończenie transferów, w przypadku gdy:

- importer naruszył lub nie jest w stanie wywiązać się ze zobowiązań, które podjął w narzędziu do przekazywania danych z artykułu 46 RODO; lub

- dodatkowe środki nie są już skuteczne w tym państwie trzecim.

Obowiązek monitorowania stanu prawnego w państwach trzecich oceniany jest jako zbyt daleko idące obciążenie eksporterów danych3. W celu dopełnienia tego obowiązku koniecznym może okazać się zatrudnienie odpowiedniego wsparcia prawnego.

II. Podsumowanie

Wyrok TSUE C-311/18 (Schrems II ) unieważnił decyzję Komisji Europejskiej 2016/1250 z 12 lipca 2016 r. w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności, na skutek czego Tarcza Prywatności już nie obowiązuje. W związku z tym, aby zapewnić adekwatny poziom ochrony da-nych przekazywanych poza obszar EOG, eksporter danych powinien przede wszystkim dokładnie poznać zakres swojego przekazywania. W przypadku, gdy samo narzędzie do przekazywania da-nych na podstawie art. 46 RODO nie zapewni poziomu ochrony zasadniczo równoważnego do ochrony w EOG, lukę mogą wypełnić dodatkowe środki. Wówczas transferu danych można dokonać gdy podmiot danych – poinformowany o grożącym ryzyku – wyrazi na do zgodę, przekazanie da-nych jest niezbędne do wykonania umowy pomiędzy podmiotem danych a ich administratorem, ze względu na ważne względy interesu publicznego, gdy jest niezbędne do ustalenia, dochodzenia, ochrony roszczeń lub do ochrony interesów podmiotu danych. W przypadku stwierdzenia nieade-kwatnej ochrony, należy niezwłocznie wstrzymać lub zakończyć przekazywanie danych osobowych. Na eksporterach danych spoczywa również obowiązek monitorowania stanu prawnego w pań-stwach trzecich przekazania danych, co może rodzić konieczność zapewnienia specjalistycznej ob-sługi prawnej w tym zakresie.

Marlena Wach - Radca Prawny
Małgorzata Puto - Prawnik

1 „Tarcza prywatności” (Privacy Shield) to ramy, które na podstawie obowiązującej do 16 lipca 2020 r. decyzji Komisji Europejskiej 2016/1250 z 12 lipca 2016 r. zgodnej z dyrektywą 95/46 / WE Parlamentu Europejskiego i Rady w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA, C (2016) 4176, regulowały transatlantycką wymianę danych osobowych w celach handlowych między Unią Europejską a Stanami Zjednoczonymi: zob. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2016.207.01.0001.01.ENG.
2 Zob. https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.
3 Zob. np. https://www.prawo.pl/biznes/wytyczne-erod-w-sprawie-przekazywania-danych-do-panstw-trzecich,504456.html.
4R. Susskind Koniec świata prawników, Warszawa 2013; R. Susskind Prawnicy przyszłości, A. Zienkiewicz Holizm Prawniczy z perspektywy Comprehensive Law Movement Warszawa 2018