Bezpieczeństwo danych jako podstawowa zasada
Współpraca z kontrahentami spoza Europejskiego Obszaru Gospodarczego (EOG) nie jest dziś niczym nadzwyczajnym, a korzystanie z usług cyfrowych całkowicie wymyka się poza ramy, jakie stanowią granice terytorialne państw. Dane osobowe mkną poza Europę z prędkością światła – czy to na skutek współpracy z dużym kontrahentem w Chinach, czy też w wyniku ulokowania strony firmowej małego zakładu fryzjerskiego na serwerze znajdującym się w USA.
Trybunał Sprawiedliwości Unii Europejskiej w wyroku w sprawie Shrems II podkreślił konieczność zagwarantowania, że transferowane dane osobowe będą przetwarzane zgodnie z poziomem ochrony określonym w przepisach UE. Zapewnienie bezpieczeństwa danych wymaga realizacji dodatkowych obowiązków prawnych.
Zakres obowiązków spoczywających na podmiocie transferującym dane poza EOG zależy zawsze od konkretnego przypadku. Dla przykładu transfer danych do USA będzie ułatwiony przez decyzję wykonawczą Komisji Europejskiej stwierdzającą odpowiedni stopień ochrony danych osobowych w ramach Data Privacy Framework. W takim przypadku należy przede wszystkim zweryfikować, czy podmiot z USA, który będzie odbiorcą danych, działa w ramach określonych tą decyzją.
Znacznie trudniej będzie w sytuacji, gdy dane mają być transferowane do państwa spoza EOG, wobec którego Komisja UE nie wydała podobnej decyzji. Wówczas można skorzystać z jednego z instrumentów, które przewidziano w art. 46 ust. 2 i 3 RODO, np. zawrzeć standardowe klauzule umowne (zob. artykuł o SKU). Dodatkowo należy przeprowadzić ocenę skutków transferu danych (ang. Transfer Impact Assessment – TIA). Polega ona na analizie przepisów prawa i praktyk stosowanych w państwie trzecim oraz ryzyka związanego z tym transferem. Do oszacowanego w ten sposób ryzyka powinny zostać dobrane odpowiednie uzupełniające środki bezpieczeństwa, które będą chronić dane osobowe (zob. kalkulator TIA przygotowany przez ODO 24).
Trudne zadanie ułatwione przez pomocne narzędzie CNIL
Ustalenie i wykonanie obowiązków niezbędnych do legalnego transferu danych jest trudnym i skomplikowanym procesem nawet dla specjalistów w dziedzinie ochrony danych. Należy pamiętać, że czynności podejmowane w trakcie tego procesu powinny być właściwie udokumentowane, aby w razie kontroli wykazać, że wykonano odpowiednie obowiązki.
Z pomocą przyszedł francuski CNIL, który w styczniu 2024 r. przygotował projekt narzędzia ułatwiającego wykonanie powyższych obowiązków. Jest to przewodnik, który wyjaśnia metodologię działania i zawiera podzieloną na etapy listę kontrolną. Lista ta uwzględnia poszczególne czynniki, które trzeba wziąć pod uwagę podczas przeprowadzania oceny skutków transferu danych.
CNIL jest organem nadzorczym w rozumieniu art. 51 RODO. To oznacza, że jest francuskim odpowiednikiem polskiego UODO, czyli organu odpowiedzialnego za nadzór nad przestrzeganiem RODO. Z uwagi na to, że treść RODO obowiązuje bezpośrednio zarówno w Polsce, jak i we Francji, stanowiska prezentowane przez CNIL są cennym źródłem informacji również dla polskich przedsiębiorców. Wskazują one, w jaki sposób należy wykonać obowiązki wynikające z unijnego rozporządzenia. W poniższym artykule przedstawiamy tłumaczenie tekstu francuskiego przewodnika.
Wstęp
Kontekst
Zagadnienie przekazywania danych dotyczy dużej liczby administratorów i podmiotów przetwarzających niezależnie od ich statusu (publiczny lub prywatny, nastawiony na zysk lub nie) lub ich wielkości (międzynarodowe korporacje lub średnie i małe przedsiębiorstwa, twórcy lub osoby prowadzące działalność na własny rachunek). Na skutek przenikania się sieci powiązań oraz rozwoju usług transgranicznych (w szczególności usług w chmurze) zwiększyła się liczba przypadków, gdy dane osobowe (zwane dalej także „danymi”) są przetwarzane w całości lub w części w państwach trzecich, które nie podlegają prawu Unii Europejskiej (UE), w szczególności RODO. W ten sposób dochodzi do transferu tych danych.
Zgodnie z zasadą ustanowioną w RODO w przypadku transferu dane muszą korzystać z takiego samego poziomu ochrony jak w kraju obowiązywania rozporządzenia. Motyw 101 RODO stanowi: „Przekazując dane osobowe z Unii administratorom, podmiotom przetwarzającym lub innym odbiorcom w państwach trzecich lub organizacjom międzynarodowym, nie należy jednak obniżać stopnia ochrony osób fizycznych zapewnianego w Unii niniejszym rozporządzeniem”. Rozdział V RODO zawiera szczegółowe przepisy dotyczące transferu danych.
W wyroku w sprawie Schrems II Trybunał Sprawiedliwości Unii Europejskiej (TSUE) podkreślił nałożony na podmiot przekazujący dane i podmiot odbierający dane obowiązek zagwarantowania, że dane osobowe są przetwarzane i nadal będą przetwarzane zgodnie z poziomem ochrony określonym w unijnych przepisach o ochronie danych. Według TSUE podmiot przekazujący dane jest także obowiązany do zawieszenia transferu i/lub rozwiązania umowy, jeśli podmiot odbierający dane nie jest już w stanie wywiązać się ze swoich zobowiązań w zakresie ochrony danych osobowych. Przy transferze danych osobowych podmiot przekazujący dane, opierający się na instrumentach wskazanych w art. 46 RODO, jest więc zobowiązany do dokonania oceny poziomu ochrony w państwie trzecim, tj. państwie przeznaczenia danych, oraz ustalenia potrzeby wprowadzenia dodatkowych zabezpieczeń. Taka ocena jest powszechnie znana jako ocena skutków transferu (TIA).
Konieczność przeprowadzenia TIA
Administratorzy i podmioty przetwarzające działające jako podmioty przekazujące dane, ze wsparciem podmiotów odbierających dane, muszą przeprowadzić ocenę skutków dla ochrony danych przed transferem danych z państwa należącego do Europejskiego Obszaru Gospodarczego (EOG) do państwa trzeciego, jeżeli transfer ten opiera się na wykorzystaniu instrumentu z art. 46 RODO. Wskazany obowiązek nie zachodzi, jeśli kraj docelowy jest objęty decyzją Komisji UE stwierdzającą odpowiedni stopień ochrony. To samo dotyczy sytuacji, gdy transfer odbywa się na podstawie jednego z wyjątków wymienionych w art. 49 RODO.
W przypadkach gdy przekazanie danych jest niezbędne, celem TIA jest zweryfikowanie, czy podmiot odbierający dane będzie w stanie wywiązać się ze swoich obowiązków wynikających z instrumentu wykorzystywanego do transferu danych – w świetle ustawodawstwa i praktyk stosowanych w docelowym państwie trzecim, w szczególności w odniesieniu do potencjalnego dostępu do danych osobowych przez organy państwa trzeciego. W tym celu podmiot przekazujący dane musi ocenić poziom ochrony oferowany przez ustawodawstwo państwa trzeciego i rozważyć praktyki organów tego państwa w świetle planowanego transferu. Taka ocena musi zostać udokumentowana. W razie potrzeby TIA powinna umożliwić podmiotowi przekazującemu dane sprawdzenie, czy dodatkowe środki pozwolą na usunięcie zidentyfikowanych braków w ochronie danych i zapewnienie poziomu wymaganego przez prawodawstwo unijne. Jako że podmiot odbierający dane posiada wiele informacji potrzebnych do przeprowadzenia TIA, współpraca z nim jest niezbędna. Przekazanie tych informacji administratorowi przez podmiot przetwarzający, w kontekście ich relacji, stanowi część obowiązków podmiotu przetwarzającego wynikających z art. 28 RODO, a w szczególności z art. 28 ust. 3 lit. h. Należy zauważyć, że dostarczenie przez podmiot przetwarzający jedynie konkluzji lub streszczenia oceny, bez podania konkretnych informacji na temat ustawodawstwa państwa trzeciego i praktyk organów, a także okoliczności przekazania danych, nie stanowi wypełnienia przez niego obowiązków wynikających z art. 28 RODO.
Niniejszy przewodnik został opracowany przez CNIL zgodnie z zaleceniami Europejskiej Rady Ochrony Danych (EROD) w sprawie środków uzupełniających instrumenty transferu, aby pomóc podmiotom przekazującym dane w przeprowadzeniu oceny skutków transferu danych.
Cel przewodnika
Niniejszy przewodnik zawiera metodologię, listę kontrolną identyfikującą szereg czynników, które należy wziąć pod uwagę podczas przeprowadzania TIA, oraz wskazówki, w jaki sposób można ją przeprowadzić zgodnie z sześcioma krokami określonymi w zaleceniach EROD. Wskazuje także, jak odpowiednio udokumentować tę analizę. Opracowanie to nie stanowi oceny przepisów prawa i praktyk stosowanych w państwie trzecim ani związanego z nimi ryzyka.
Jeśli jesteś administratorem lub podmiotem przetwarzającym i rozważasz transfer danych osobowych, weź pod uwagę opisane poniżej główne zagadnienia, aby przeprowadzić własną analizę oraz zapewnić wystarczający poziom ochrony danych osobowych w państwie trzecim. Korzystanie z tego przewodnika nie jest obowiązkowe. Można rozważyć inne aspekty i zastosować inne metodologie.
Przewodnik został uporządkowany według sześciu etapów, które należy zrealizować w celu przeprowadzenia TIA:
- Poznaj swój transfer.
- Udokumentuj wykorzystany instrument transferu.
- Oceń przepisy i praktyki w państwie docelowym danych oraz skuteczność instrumentu transferu.
- Określ i wprowadź środki uzupełniające.
- Wdróż środki uzupełniające i wykonaj niezbędne kroki proceduralne.
- Dokonaj ponownej oceny poziomu ochrony danych w odpowiednich odstępach czasu i monitoruj potencjalne zmiany, które mogą mieć wpływ na dokonaną ocenę.
Etap 1 polega na opisaniu transferu przez podmiot przekazujący dane, tak aby w ocenie mogły zostać uwzględnione charakterystyka i stopień wrażliwości tego transferu.
Etap 2 obejmuje udokumentowanie instrumentu, który zostanie wykorzystany do transferu, oraz analizę stwierdzającą, czy wymagana jest dla niego TIA.
Etap 3 umożliwia podmiotowi przekazującemu dane ocenę przepisów i praktyk w kraju przeznaczenia danych oraz ustalenie, czy istnieją jakiekolwiek czynniki, które mogłyby wpłynąć na skuteczność gwarancji zapewnianych przez zastosowane instrumenty transferowe (etap 2).
Migracje, chmury, systemy.
RODO w IT.
Etap 5 zawiera modelowy plan działania dotyczący operacyjnego wdrożenia dodatkowych środków określonych w etapie 4.
Etap 6 pozwala podmiotowi przekazującemu dane na przewidywanie przyszłych przeglądów transferów danych.
Przed przeprowadzeniem TIA
Aby ustalić, czy konieczne jest przeprowadzenie TIA, należy wziąć pod uwagę kilka kwestii.
Czy rozpatrywane dane są danymi osobowymi?
Artykuł 4 ust. 1 RODO definiuje dane osobowe jako „wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”, przy czym możliwa do zidentyfikowania osoba fizyczna to „osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.
Czy dochodzi do transferu danych osobowych?
EROD zidentyfikowała w swoich wytycznych następujące trzy kryteria, które łącznie pozwalają ustalić, czy daną operację przetwarzania można zakwalifikować jako transfer:
- administrator lub podmiot przetwarzający, będący podmiotem przekazującym dane, podlega RODO w odniesieniu do danego przetwarzania;
- podmiot przekazujący dane ujawnia poprzez transmisję lub w inny sposób udostępnia dane osobowe podlegające temu przetwarzaniu innemu administratorowi, współadministratorowi lub podmiotowi przetwarzającemu, będącemu podmiotem odbierającym dane;
- podmiot odbierający dane – niezależnie od tego, czy podlega RODO w odniesieniu do danego przetwarzania zgodnie z art. 3, czy jest organizacją międzynarodową – znajduje się w państwie trzecim (poza EOG).
Zarówno podmiot przekazujący dane, jak i podmiot odbierający dane muszą być zatem prawnie odrębne i każdy z nich może pełnić funkcję administratora, współadministratora lub podmiotu przetwarzającego. Rozdział V RODO nie ma zatem zastosowania do przekazywania lub udostępniania danych wewnątrz tej samej struktury. Oznacza to, że sytuacja, w której pracownik administratora danych w UE uzyskuje z państwa trzeciego zdalny dostęp do bazy danych swojego pracodawcy, na przykład podczas podróży służbowej, nie jest transferem w rozumieniu RODO. Przekazywanie lub udostępnianie danych między dwoma podmiotami należącymi do tej samej grupy stanowi jednak transfer. Należy pamiętać, że zdalny dostęp z państwa trzeciego do danych przechowywanych w EOG i/lub przechowywanie danych w chmurze poza EOG także stanowi transfer.
Jaka jest rola poszczególnych podmiotów?
Rola poszczególnych podmiotów zaangażowanych w transfer (administrator, współadministrator lub podmiot przetwarzający) musi zostać zdefiniowana, ponieważ determinuje to podział odpowiedzialności i może kreować różne obowiązki stron. Informacje pomocne w tej analizie są dostępne na stronie internetowej CNIL. Również EROD opracowała wytyczne poświęcone tym kwestiom.
Czy transfer jest zgodny ze wszystkimi zasadami RODO, a w szczególności czy można zminimalizować ilość transferowanych danych osobowych lub transferować dane zanonimizowane zamiast danych osobowych?
Podczas transferu danych, podobnie jak w przypadku innych czynności przetwarzania, podmiot przekazujący dane musi przestrzegać wszystkich zasad RODO. Zgodnie z art. 5 RODO podmiot przekazujący dane musi w szczególności zagwarantować, że transfer tych danych ma podstawę prawną.
Ponadto dane muszą być adekwatne, istotne i ograniczone do niezbędnego zakresu. Należy zatem sprawdzić, czy dane są ograniczone do tego, co jest absolutnie niezbędne do realizacji celu, dla którego są transferowane. W miarę możliwości warto rozważyć udostępnienie lub przekazanie zanonimizowanych danych zamiast danych osobowych, przy jednoczesnym zadbaniu o skuteczność procesu anonimizacji, tak aby zapobiec ponownej identyfikacji. Trzeba się także upewnić, że osoby, których dane dotyczą, zostały odpowiednio poinformowane zgodnie z art. 13 i 14 RODO.
Czy dane osobowe mogą być transferowane do państwa, które zostało uznane przez Komisję UE za zapewniające odpowiedni poziom ochrony?
Transfer danych osobowych do państw, które zostały uznane przez Komisję UE za zapewniające odpowiedni poziom ochrony, nie wymaga wdrożenia dodatkowych środków. Jeśli zatem możesz transferować dane osobowe do takiego państwa, to zapewniasz odpowiedni poziom ochrony danych. W takim przypadku nie będzie konieczne przeprowadzenie TIA.
Należy pamiętać, że decyzje stwierdzające odpowiedni stopień ochrony mogą mieć ograniczony zakres (na przykład decyzja dotycząca Kanady ma zastosowanie wyłącznie do sektora prywatnego, który przetwarza dane osobowe w ramach działalności komercyjnej) lub mogą dotyczyć tylko niektórych podmiotów w danym państwie (na przykład podmiotów samodzielnie certyfikowanych w ramach, które zostały ustalone decyzją stwierdzającą odpowiedni stopień ochrony dla Stanów Zjednoczonych). W związku z tym to Ty musisz sprawdzić, czy planowane przekazanie danych jest objęte decyzją stwierdzającą odpowiedni stopień ochrony.
Co ważne, decyzje stwierdzające odpowiedni poziom ochrony podlegają okresowemu przeglądowi. Dlatego należy regularnie sprawdzać listę krajów, które były przedmiotem decyzji stwierdzającej odpowiedni stopień ochrony, na wypadek wydania nowych decyzji lub usunięcia poszczególnych państw z listy.
Jeśli po tych wstępnych pytaniach uznasz, że konieczny jest transfer danych osobowych do państwa, które nie było przedmiotem decyzji stwierdzającej odpowiedni stopień ochrony, musisz przeprowadzić TIA. Pomoże Ci w tym niniejszy przewodnik.
Różne etapy TIA
Etap I: Poznaj swój transfer
Aby zapewnić zasadniczo równorzędny poziom ochrony przekazywanych danych niezależnie od tego, gdzie są one przetwarzane, należy najpierw opisać transfer.
Przy wypełnianiu załączonej tabeli można korzystać z uprzednio przygotowanej dokumentacji wewnętrznej, takiej jak rejestr czynności przetwarzania lub umowa regulująca transfer. Można również skontaktować się z podmiotem odbierającym dane.
Etap 2: Udokumentuj wykorzystany instrument transferu
Poniższa tabela ma pomóc w udokumentowaniu instrumentu wykorzystywanego do danego transferu, aby potwierdzić, czy wymagana jest TIA.
Transfer może być oparty na:
- decyzji Komisji UE stwierdzającej odpowiedni stopień ochrony;
- jednym z instrumentów przekazywania danych wymienionych w art. 46 RODO;
- wyjątku wskazanym w art. 49 RODO.
W odniesieniu do ostatniego punktu, jak podkreślono w zaleceniach EROD w sprawie środków uzupełniających: „Jedynie w przypadku sporadycznych i niepowtarzających się operacji przetwarzania możliwe będzie skorzystanie z jednego z wyjątków przewidzianych w art. 49 RODO, jeśli spełniono określone tam warunki”. Odstępstwa nie mogą stać się regułą stosowaną w praktyce, lecz muszą być ograniczone do konkretnych sytuacji.
Jak wspomniano, przeprowadzenie TIA jest wymagane tylko wtedy, gdy stosowany jest jeden z instrumentów określonych w art. 46 RODO.
Jeśli transfer odbywa się na podstawie decyzji Komisji UE stwierdzającej odpowiedni stopień ochrony lub na podstawie wyłączenia na mocy art. 49 RODO, nie trzeba przechodzić przez kolejne etapy. Nie ma obowiązku przeprowadzania TIA.
Jeśli transfer opiera się na jednym z instrumentów transferowych wymienionych w art. 46 RODO, należy przeprowadzić TIA i przystąpić do etapu 3.
Etap 3: Oceń przepisy i praktyki w państwie docelowym danych oraz skuteczność instrumentu transferu
Po uzyskaniu jasnego obrazu dotyczącego transferu i wybraniu odpowiedniego instrumentu przejdź do etapu 3. Jego celem jest ustalenie, czy istnieją jakiekolwiek przesłanki wskazujące na to, że przepisy i praktyki państwa trzeciego, do którego będą transferowane dane, mogą wpłynąć na skuteczność wdrożonych zabezpieczeń, w kontekście konkretnego transferu, lub uniemożliwić Ci wywiązanie się z obowiązków.
Przy wypełnianiu tej sekcji możesz zapoznać się z załącznikiem 3 do zaleceń EROD w sprawie środków uzupełniających. Wyszczególniono w nim (w sposób niewyczerpujący) możliwe źródła informacji na potrzeby oceny państwa trzeciego. Lista ta nie jest kompletna, więc możesz też odwołać się do innych źródeł. Ważne, by były one istotne, obiektywne, wiarygodne, weryfikowalne i publicznie dostępne.
Jeśli stwierdzisz, że instrument transferu jest skuteczny w świetle dokonanej oceny, możesz kontynuować transfer. Przejdź wtedy do etapu 6.
W przypadku gdy okaże się, że instrument transferu nie jest skuteczny w świetle dokonanej oceny, wykonaj etap 4 w celu określenia środków uzupełniających.
Etap 4: Określ i wprowadź środki uzupełniające
Należy podkreślić, że środki umowne i organizacyjne same w sobie nie są wystarczające, aby zapobiec ewentualnemu dostępowi organów państwa trzeciego do danych. Zgodnie z zaleceniami EROD środki umowne i organizacyjne muszą być zatem zawsze uzupełnione środkami technicznymi. Są one nazywane środkami uzupełniającymi, ponieważ uzupełniają instrument przekazywania danych stosowany w celu zapewnienia zgodności z poziomem ochrony danych osobowych w UE/EOG. W każdym indywidualnym przypadku należy określić, które środki uzupełniające mogą być skuteczne w odniesieniu do danego transferu do państwa trzeciego. Konieczne może okazać się połączenie kilku środków uzupełniających.
Kiedy ostatnio
robiłeś analizę ryzyka?
Skuteczność środków uzupełniających może się różnić w zależności od konkretnego transferu, który został opisany w etapie 1, i od państwa trzeciego. Dlatego tak ważne jest przeprowadzenie szczegółowej analizy w etapie 3. W niektórych przypadkach możesz dojść do wniosku, że żadne środki uzupełniające nie mogą zapewnić poziomu ochrony, który jest równoważny z poziomem gwarantowanym przez prawo UE w odniesieniu do danego transferu. Taka konkluzja powinna skłonić Cię do rezygnacji z tego transferu.
Proces identyfikacji środków uzupełniających powinien być podejmowany z należytą starannością, we współpracy z podmiotem odbierającym dane. Musi zostać także odpowiednio udokumentowany.
W przypadku stwierdzenia, że instrument transferu w połączeniu ze środkami uzupełniającymi jest skuteczny w świetle przeprowadzonej oceny, można przeprowadzić transfer – pod warunkiem wprowadzenia wszystkich niezbędnych środków uzupełniających. Jeśli niektóre z tych środków nie zostały jeszcze wdrożone (etap 4B), należy przejść do etapu 5.
W przypadku stwierdzenia, że nie jest możliwe wdrożenie niezbędnych środków uzupełniających w celu zapewnienia skuteczności instrumentu transferu, należy zrezygnować z planowanego transferu lub zaprzestać trwającego transferu. Wówczas dane osobowe, które zostały transferowane, muszą zostać zwrócone lub usunięte w całości.
Etap 5: Wdróż środki uzupełniające i wykonaj niezbędne kroki proceduralne
Po zidentyfikowaniu odpowiednich środków uzupełniających w celu potwierdzenia, że transferowane dane korzystają z ochrony na poziomie równoważnym z poziomem przewidzianym w prawie UE, w poniższej tabeli można wymienić działania, które należy podjąć, aby wdrożyć środki uzupełniające oraz zapewnić przestrzeganie wymaganych procedur.
Procedury, które trzeba stosować, mogą być różne w zależności od stosowanego instrumentu transferu. W zaleceniach dotyczących środków uzupełniających EROD wymienia niektóre z tych czynności.
Etap 6: Dokonaj ponownej oceny poziomu ochrony danych w odpowiednich odstępach czasu i monitoruj potencjalne zmiany, które mogą mieć wpływ na dokonaną ocenę
W niektórych okolicznościach może zaistnieć konieczność ponownej oceny ochrony instrumentu transferu przed planowaną datą kolejnego przeglądu. Taka potrzeba pojawi się na przykład w razie zmiany przepisów lub praktyk państwa trzeciego, a także w przypadku gdy podmiot odbierający dane nie będzie wywiązywać się ze swoich zobowiązań lub gdy instytucja UE zmieni ocenę prawa obowiązującego w państwie trzecim.
Ponowna ocena instrumentu transferu i – w stosownych przypadkach – środków uzupełniających zastosowanych do transferu musi być przeprowadzana w odpowiednich odstępach czasu. Ma to zasadnicze znaczenie dla zagwarantowania niezwłocznego zawieszenia lub zaprzestania transferów, jeśli instrument transferu lub środki uzupełniające przestaną być skuteczne w państwie trzecim. W poniższej tabeli można ustalić okresowy przegląd transferów.
Potrzebujesz kompletnego wzoru TIA?
Pobierz plik z wszystkimi sześcioma etapami w jednym miejscu.
Bez kopiowania, pełna przejrzystość. Wystarczy jedno kliknięcie.
Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!
Kiedy administrator danych zobowiązany jest do przeprowadzenia oceny skutków dla ochrony danych (TIA) przed transferem danych osobowych do państwa trzeciego?