Europejska Rada Ochrony Danych (EROD) ogłosiła 20 listopada 2020 r. wytyczne 01/2020 w sprawie środków wspomagających narzędzia przekazywania danych w celu zapewnienia zgodności z unijnymi standardami. Dokument przekazano do publicznych konsultacji.

wytyczna EROD

EROD przyjęła te zalecenia, aby pomóc eksporterom (administratorom lub podmiotom przetwarzającym, podmiotom prywatnym lub organom publicznym, przetwarzającym dane osobowe w zakresie stosowania RODO) w złożonym zadaniu oceny państw trzecich i określeniu odpowiednich środków uzupełniających, w razie potrzeby.

W zaleceniach przedstawiono szereg działań, które należy wykonać, potencjalne źródła informacji oraz przykłady dodatkowych środków, które można zastosować.


Poniższy artykuł prezentuje proponowane przez EROD techniczne, organizacyjne i prawne środki bezpieczeństwa zapewniające zgodność z RODO transferu danych do państw trzecich oraz przykłady sytuacji, dla których nie istnieją narzędzia pozwalające uznać transfer za bezpieczny.

Środki techniczne:
scenariusze, dla których można znaleźć skuteczne środki ochrony

Przykład I
Przechowywanie danych w celu tworzenia kopii zapasowych i innych celów, które nie wymagają dostępu do danych

Administrator może korzystać z usług hostingowych w państwie trzecim w celu przechowywania kopii zapasowych, jeśli:

  1. dane osobowe są przetwarzane przy użyciu silnego szyfrowania przed transmisją,
  2. algorytm szyfrowania i jego parametryzacja (np. długość klucza, tryb działania) są zgodne z najnowszym stanem wiedzy technicznej i można je uznać za odporne na kryptoanalizę wykonywaną przez władze publiczne w kraju odbiorcy, biorąc pod uwagę dostępne im zasoby i możliwości techniczne (np. moc obliczeniową do ataków siłowych),
  3. siła szyfrowania uwzględnia określony czasu, przez który poufność zaszyfrowanych danych osobowych musi zostać zachowana,
  4. algorytm szyfrowania jest bezbłędnie wdrażany przez odpowiednio utrzymywane oprogramowanie, którego zgodność ze specyfikacją wybranego algorytmu została zweryfikowana, np. poprzez certyfikację,
  5. klucze są rzetelnie zarządzane (generowane, administrowane, przechowywane, w stosownych przypadkach, powiązane z tożsamością zamierzonego odbiorcy i w odpowiednim czasie wycofywane),
  6. klucze są zatrzymywane wyłącznie pod kontrolą przekazującego dane lub innych podmiotów, którym powierzono to zadanie, które mają siedzibę w Europejskim Obszarze Gospodarczym (EOG) lub państwie trzecim, terytorium lub jednym lub kilku określonych sektorach w państwie trzecim lub w organizacji międzynarodowej, w odniesieniu do której Komisja ustaliła zgodnie z art. 45 RODO, że zapewniony jest odpowiedni poziom ochrony.

Przykład II
Przekazywanie danych z nadanym pseudonimem

Podmiot przekazujący dane najpierw nadaje pseudonim posiadanym przez siebie danym, a następnie przekazuje je do państwa trzeciego w celu analizy, np. do celów badawczych, jeśli:

  1. przekazujący dane przekazuje dane osobowe w taki sposób, że nie można ich już przypisać konkretnej osobie, której dane dotyczą, ani wykorzystać ich do wyodrębnienia osoby, której dane dotyczą bez wykorzystania dodatkowych informacji,
  2. te dodatkowe informacje są w posiadaniu wyłącznie przekazującego dane i są przechowywane oddzielnie w państwie członkowskim lub w państwie trzecim, wobec którego Komisja ustaliła zgodnie z art.45 RODO, że zapewniony jest odpowiedni poziom ochrony,
  3. ujawnieniu lub nieuprawnionemu wykorzystaniu tych dodatkowych informacji zapobiegają odpowiednie zabezpieczenia techniczne i organizacyjne,
  4. administrator ustalił poprzez dokładną analizę przedmiotowych danych, biorąc pod uwagę wszelkie informacje, które mogą posiadać organy publiczne kraju otrzymującego, że danych osobowych z nadanym pseudonimem nie można przypisać zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Przykład III
Transfer danych przez państwa trzecie

Podmiot przekazujący dane chce przesłać dane do miejsca docelowego, uznanego za zapewniające odpowiednią ochronę w zgodnie z art. 45 RODO. Dane są przesyłane przez państwo trzecie, jeśli:

  1. dane transferowane są przez Internet do państwa zapewniającego należytą ochronę, a sam transfer danych odbywa się przez państwo trzecie, które nie zapewnia zasadniczo równoważnego poziomu ochrony,
  2. stosowane jest szyfrowanie transferu, dla którego zapewnia się, że stosowane protokoły szyfrowania są najnowocześniejsze i zapewniają skuteczną ochronę przed czynnymi i pasywnymi atakami przy użyciu zasobów, o których wiadomo, że są dostępne dla organów publicznych państwa trzeciego,
  3. deszyfrowanie jest możliwe tylko poza państwem trzecim,
  4. strony zaangażowane w komunikację uzgadniają wiarygodny urząd certyfikacji lub infrastrukturę klucza publicznego,
  5. stosowane są szczególne i najnowocześniejsze środki ochrony przeciwko aktywnym i pasywnym atakom na transferowane dane,
  6. w przypadku, gdy szyfrowanie transferu nie zapewnia samo w sobie odpowiedniego bezpieczeństwa ze względu na podatności infrastruktury lub używanego oprogramowania, dane osobowe są również szyfrowane end-to-end na warstwie aplikacji przy użyciu najnowocześniejszych metod szyfrowania,
  7. algorytm szyfrowania i jego parametryzacja (np. długość klucza, tryb pracy) są zgodne z najnowszym stanem wiedzy technicznej i można je uznać za odporne na kryptoanalizę wykonywaną przez władze publiczne w kraju tranzytu, biorąc pod uwagę dostępne im zasoby i możliwości techniczne (np. moc obliczeniową do ataków siłowych),
  8. siła szyfrowania uwzględnia określony okres czasu, w którym należy zachować poufność zaszyfrowanych danych osobowych,
  9. algorytm szyfrowania jest bezbłędnie realizowany przez odpowiednio utrzymywane oprogramowanie, którego zgodność ze specyfikacją wybranego algorytmu została zweryfikowany np. przez certyfikację,
  10. wykluczono istnienie backdoor-ów (w sprzęcie lub oprogramowaniu),
  11. klucze są rzetelnie zarządzane (generowane, administrowane, przechowywane, w razie potrzeby, powiązane z tożsamością zamierzonego odbiorcy i cofnięte), przez eksportera lub podmiot, któremu eksporter ufa.

Dr RODO

Przykład IV
Chroniony odbiorca

Dane przekazywane są do odbiorcy w państwie trzecim, który jest szczególnie chroniony prawem tego kraju, np. w celu leczenia pacjentów lub obsługi prawnej klientów, jeśli:

  1. prawo państwa trzeciego gwarantuje ochronę przekazywanych danych z tytułu obowiązku zachowania tajemnicy zawodowej, która ma zastosowanie do odbierającego dane,
  2. zwolnienie to obejmuje wszelkie informacje będące w posiadaniu odbierającego dane, które mogą zostać wykorzystane do obejścia ochrony informacji uprzywilejowanych (klucze kryptograficzne, hasła, inne dane uwierzytelniające itp.),
  3. odbierający dane nie korzysta z usług podmiotu przetwarzającego w sposób umożliwiający organom publicznym dostęp do danych będących w ich posiadaniu, ani nie przekazuje danych innemu podmiotowi, który nie jest chroniony,
  4. dane osobowe są szyfrowane przed przesłaniem metodą zgodną z najnowszym stanem wiedzy technicznej, co gwarantuje, że odszyfrowanie nie będzie możliwe bez znajomości klucza deszyfrującego (szyfrowanie end-to-end) przez cały okres ochrony danych,
  5. klucz deszyfrujący jest pod wyłączną opieką odbierającego dane i jest odpowiednio zabezpieczony przed nieuprawnionym użyciem lub ujawnieniem za pomocą środków technicznych i organizacyjnych, zgodnych z aktualnym stanem wiedzy technicznej,
  6. przekazujący dane w sposób wiarygodny ustalił, że klucz szyfrujący, którego zamierza użyć, odpowiada kluczowi odszyfrowywania posiadanemu przez odbiorcę.

Przykład V
Przetwarzanie dzielone lub wielostronne

Podmiot przekazujący dane życzy sobie, aby dane osobowe były przetwarzane wspólnie przez dwa lub więcej niezależnych podmiotów przetwarzających, zlokalizowanych w różnych jurysdykcjach bez ujawniania im treści danych. Przed transmisją dzieli dane w taki sposób, że ani jedna część, którą pojedynczy podmiot przetwarzający otrzyma, nie wystarczy do odtworzenia danych osobowych w całości lub w części. Podmiot przekazujący dane otrzymuje wynik przetwarzania niezależnie od każdego z podmiotów przetwarzających i łączy otrzymane fragmenty w celu uzyskania ostatecznego wyniku, który może stanowić dane osobowe, jeśli:

  1. podmiot przekazujący dane przetwarza dane osobowe w taki sposób, że są one podzielone na dwie lub więcej części, których nie można już zinterpretować lub przypisać konkretnej osobie, której dane dotyczą, bez wykorzystania dodatkowych informacji,
  2. każda z tych części jest przekazywane odrębnemu podmiotowi przetwarzającemu znajdującemu się w innej jurysdykcji,
  3. podmioty przetwarzające opcjonalnie przetwarzają dane łącznie, np. poprzez stosowanie bezpiecznych obliczeń wielostronnych,
  4. nie ma dowodów współpracy między organami publicznymi znajdującymi się w odpowiednich jurysdykcjach, w których znajduje się każdy z podmiotów przetwarzających, co umożliwiłoby im dostęp do wszystkich zbiorów danych osobowych będących w ich posiadaniu oraz umożliwiłoby im odtworzenie i wykorzystanie treści danych osobowych,
  5. administrator ustalił na podstawie dokładnej analizy przedmiotowych danych, biorąc pod uwagę wszelkie informacje, które mogą posiadać organy publiczne krajów otrzymujących, że organy te nie są w stanie zidentyfikować osób, których dane dotyczą na podstawie posiadanych przez siebie danych.

Środki techniczne:
scenariusze, dla których nie można znaleźć skutecznych środków ochrony

Przykład VI
Transfer do dostawców usług chmurowych lub innych podmiotów przetwarzających, które wymagają dostępu do danych

Administrator korzysta z usług dostawcy usług chmurowych lub innego podmiotu przetwarzającego w celu przetwarzania danych osobowych, jeśli:

  1. dostawca usług chmurowych lub inny podmiot przetwarzający potrzebuje dostępu do danych w celu wykonania zadania,
  2. uprawnienia władz publicznych kraju odbiorcy wykraczają poza to, co jest konieczne i proporcjonalne w społeczeństwie demokratycznym; w takim przypadku EROD, biorąc pod uwagę obecny stan wiedzy, przy takim dostępie do danych, nie znajduje skutecznego środka technicznego zapobiegającego naruszaniu praw osób, których dane dotyczą.

EROD nie wyklucza, że dalszy rozwój technologiczny może zaoferować środki, które pozwolą osiągnąć zamierzone cele biznesowe, bez konieczności dostępu do danych. W danych scenariuszach, w których niezaszyfrowane dane osobowe są technicznie niezbędne do świadczenia usługi przez podmiot przetwarzający, szyfrowanie transferu danych i szyfrowanie danych w spoczynku, nawet łącznie, nie stanowią dodatkowego środka zapewniającego zasadniczo równoważny poziom ochrony, jeżeli odbierający dane posiada klucze kryptograficzne.

Przykład VII
Zdalny dostęp do danych

Podmiot przekazujący dane udostępnia dane w celu realizacji wspólnych celów biznesowych. Typowy przykład może polegać na tym, że administrator lub podmiot przetwarzający, mający siedzibę na terytorium UE, przekazuje dane osobowe administratorowi lub podmiotowi przetwarzającemu w państwie trzecim, należącym do tej samej grupy przedsiębiorstw lub grupy przedsiębiorstw prowadzących wspólną działalność gospodarczą. Importer danych może na przykład wykorzystywać otrzymane dane do świadczenia usług HR, jeśli:

  1. przekazujący dane ujawnia (przekazuje) je w powszechnie używanym systemie informatycznym w taki sposób, który umożliwia importerowi bezpośredni dostęp do danych według własnego wyboru,
  2. importer wykorzystuje dane do własnych celów,
  3. uprawnienia przyznane władzom publicznym kraju odbiorcy do dostępu do przesłanych danych wykraczają poza to, co jest konieczne i proporcjonalne w społeczeństwie demokratycznym, dlatego przy takim dostępie do danych, EROD nie znajduje skutecznego środka technicznego w celu zapobieżenia naruszaniu praw osób, których dane dotyczą.

W podanych scenariuszach, w których niezaszyfrowane dane osobowe są technicznie niezbędne do świadczenia usługi przez podmiot przetwarzający, szyfrowanie transferu danych i szyfrowanie danych w spoczynku, nawet łącznie, nie stanowią dodatkowego środka zapewniającego zasadniczo równoważny poziom ochrony, jeżeli odbierający dane posiada klucze kryptograficzne.

Usługa DPIA

Dodatkowe środki umowne

Zapisy o przejrzystości

  1. Eksporter danych może dodać klauzule, zgodnie z którymi importer danych zaświadcza, że:
    1. nie stworzył celowo „backdoor’ów” lub podobnego oprogramowania, które mogłoby być wykorzystane do uzyskania dostępu do systemu i / lub danych osobowych,
    2. celowo nie utworzył ani nie zmienił swoich procesów biznesowych w sposób ułatwiający dostęp do danych osobowych lub systemów oraz
    3. że prawo krajowe nie wymaga od importera tworzenia lub utrzymywania „backdoor’ów” lub ułatwiania dostępu do danych osobowych lub systemów, ani też aby importer był w posiadaniu lub przekazywał klucz szyfrowania.
  2. Eksporter może wzmocnić swoje uprawnienia do przeprowadzania audytów lub inspekcji infrastruktury przetwarzania danych importera, na miejscu i /lub zdalnie, w celu sprawdzenia, czy dane zostały ujawnione organom publicznym i na jakich warunkach (dostęp nie wykraczający poza to, co jest konieczne i proporcjonalne w społeczeństwie demokratycznym), na przykład poprzez zapewnienie krótkich terminów i mechanizmów zapewniających szybką interwencję organów kontrolnych i wzmocnienie autonomii eksportera w wyborze organów kontrolnych.
  3. Jeżeli prawo i praktyka państwa trzeciego zostały wstępnie ocenione i uznano, że zapewniają zasadniczo równoważny poziom ochrony danych przekazywanych przez eksportera w UE, eksporter może wzmocnić obowiązek odbierającego dane w zakresie informowania niezwłocznie o jego niezdolności do wywiązania się z zobowiązań umownych, a co za tym idzie, do spełnienia wymaganego standardu „zasadniczo równoważnego poziomu ochrony danych”.
  4. O ile jest to dozwolone przez prawo krajowe w państwie trzecim, umowa mogłaby wzmocnić zobowiązania importera w zakresie przejrzystości poprzez wprowadzenie metody warrant canary, zgodnie z którą importer zobowiązuje się do regularnego publikowania (np. co najmniej w cyklu 24-godzinnym) wiadomości podpisanej kryptograficznie, w której informowałby eksportera, że od określonego dnia i godziny nie otrzymał żadnego nakazu ujawnienia danych osobowych itp. Brak aktualizacji tego powiadomienia wskaże eksporterowi, że importer mógł otrzymać takie polecenie.

Zobowiązania do podjęcia określonych działań

  1. Importer mógłby zobowiązać się do sprawdzenia, zgodnie z lokalnym prawem, legalności każdego nakazu ujawnienia danych, w szczególności tego, czy pozostaje to w ramach uprawnień przyznanych wnioskującemu organowi publicznemu, oraz do zakwestionowania tego nakazu, jeśli po dokładnej ocenie stwierdza, że istnieją ku temu podstawy w prawie kraju przeznaczenia. Importer miałby obowiązek nie ujawniać żądanych danych osobowych, dopóki nie będzie to wymagane na mocy obowiązujących przepisów proceduralnych. Odbierający dane zobowiąże się również do podania minimalnej ilości informacji niezbędnych dla wnioskującego.
  2. W takiej samej sytuacji, jak opisana powyżej, importer mógłby zobowiązać się do poinformowania wzywającego organu publicznego o niezgodności jego wniosku z podstawą transferu danych (art. 46 RODO) oraz wynikającym z tego konflikcie obowiązków dla importera. Importer powiadomiłby jednocześnie tak szybko, jak to możliwe, eksportera i / lub właściwy organ nadzorczy z EOG, o ile jest to możliwe zgodnie z porządkiem prawnym państwa trzeciego.

Umożliwienie osobom, których dane dotyczą, wykonywania ich praw

  1. Umowa mogłaby zobowiązywać importera i/lub eksportera do niezwłocznego powiadomienia osoby, której dane dotyczą, o żądaniu lub wniosku otrzymanym od władz publicznych państwa trzeciego lub o niemożności wywiązania się przez importera ze zobowiązań umownych, aby umożliwić osobie, której dane dotyczą, poszukiwania informacji i skutecznego dochodzenia roszczeń (np. poprzez wniesienie pozwu do swojego właściwego organu nadzorczego lub organu sądowego).
  2. Umowa mogłaby zobowiązywać eksportera i importera do pomocy osobie, której dane dotyczą, w wykonywaniu jej praw w prawodawstwie państwa trzeciego poprzez mechanizmy zadośćuczynienia ad hoc i doradztwo prawne.

Środki organizacyjne

  1. Przyjęcie odpowiednich polityk wewnętrznych z jasnym podziałem odpowiedzialności za przekazywanie danych, kanały zgłaszania i standardowe procedury operacyjne w przypadkach niejawnych lub oficjalnych wniosków organów publicznych o dostęp do danych.
  2. Zwłaszcza w przypadku transferów między grupami przedsiębiorstw wskazane polityki mogą obejmować między innymi powołanie specjalnego zespołu, który powinien mieć siedzibę na terenie EOG, składającego się z ekspertów w zakresie informatyki, prawa ochrony danych i prywatności, do rozpatrywania wniosków, które dotyczą danych osobowych przekazywanych z UE.
  3. Powiadomienie kierownictwa oraz formalne kroki mające na celu kwestionowanie nieproporcjonalnych lub niezgodnych z prawem wniosków oraz udzielanie przejrzystych informacji osobom, których dane dotyczą.
  4. Dokumentowanie i rejestrowanie wniosków o dostęp otrzymanych od organów publicznych i udzieloną odpowiedź, wraz z uzasadnieniem. Zapisy te należy udostępnić przekazującemu dane, który z kolei powinien je przekazać osobom, których dane dotyczą w razie potrzeby.
  5. Regularne publikowanie raportów przejrzystości lub ich streszczeń dotyczących rządowych wniosków o dostęp do danych i rodzaju udzielonej odpowiedzi, o ile publikacja jest dozwolona przez lokalne prawo.
  6. Przyjęcie rygorystycznych polityk bezpieczeństwa i prywatności danych w oparciu o certyfikację UE lub kodeksy postępowania lub międzynarodowe standardy (np. normy ISO) i najlepsze praktyki (np. ENISA).
  7. Przyjęcie polityk wewnętrznych i ich regularny przegląd w celu oceny stosowności wdrożonych środków uzupełniających oraz określenia i wdrożenia dodatkowych lub alternatywnych rozwiązań, gdy jest to konieczne, aby zapewnić poziom ochrony danych równoważny z poziomem gwarantowanym w UE.

Jak to określiła EROD w omawianych Wytycznych, standardowe klauzule umowne i inne narzędzia transferu, o których mowa w art.46 RODO, nie działają w próżni. Administratorzy lub podmioty przetwarzające, działając jako eksporterzy, są odpowiedzialni za ich weryfikację, indywidualnie dla każdego przypadku i – w stosownych przypadkach – we współpracy z importerem w państwie trzecim pod kątem skuteczności odpowiednich zabezpieczeń. Trybunał pozostawia eksporterom otwartą możliwość wdrożenia dodatkowych środków, które wypełniają luki w ochronie danych, tak aby było to zgodne ze standardami UE, w tym także z zasadą rozliczalności określoną w art. 5 ust. 2 RODO, która wymaga, aby administratorzy odpowiednio udokumentowali przestrzeganie zasad RODO w zakresie przetwarzania danych osobowych.