Jak zabezpieczyć transfer danych do państw trzecich?

Wyrokiem z dnia 16 czerwca 2020 r. ws. Schrems II, C-311/18, Trybunał Sprawiedliwości Unii Europejskiej unieważnił decyzję wykonawczą Komisji 2016/1250 z dnia 12 lipca 2016 r., przyjętą na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE–USA (czyli popularną Tarczę Prywatności/Privacy Shield). Pokłosiem tej decyzji jest niepewność prawna związana z transferem danych do USA, gdzie – w ocenie TSUE – brak jest gwarancji odpowiedniego stopnia ochrony danych osobowych. Wyrok TSUE ws. Schrems II nie zmienił jednak roli standardowych klauzul umownych, wskazując, iż mogą one zapewniać w zasadzie równy poziom ochrony danych osobowych transferowanych do państw trzecich.

Po tym wyroku zagadnienie transferów danych do USA stało się problematyczne dla administratorów danych, którzy po unieważnieniu Tarczy Prywatności musieli oprzeć swoje transfery do USA na podstawie standardowych klauzul umownych.

Zalecenia EROD ws. środków uzupełniających

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
Z pomocą w powyższej kwestii przyszła Europejska Rada Ochrony Danych (EROD), która 18 czerwca 2021 r. przyjęła ostateczną wersję Zaleceń 1/2020 w sprawie środków uzupełniających narzędzia przekazywania danych w celu zapewnienia zgodności ze stopniem ochrony danych osobowych UE.

Poprzez ten dokument EROD dąży do zapewnienia pomocy eksporterom danych (administratorom danych osobowych lub podmiotom przetwarzającym dokonujących transferów do państwa trzeciego) w ocenie stopnia ochrony danych osobowych w państwie trzecim oraz czy należy zastosować środki uzupełniające względem zabezpieczeń wskazanych w art. 46 ust. 2 RODO, a w szczególności standardowych klauzul umownych, a jeśli tak – jakie to mają być środki.

W powyższym celu EROD zaproponował eksporterom danych harmonogram działań składający się z sześciu kroków, dzięki którym będą oni w stanie ocenić, czy stosować środki uzupełniające.

Krok 1: miej wiedzę na temat transferów w Twojej organizacji

W ocenie EROD pierwszym krokiem harmonogramu działań potencjalnego eksportera danych osobowych powinna być identyfikacja i weryfikacja transferów danych zachodzących w procesach przetwarzania danych osobowych.

EROD wskazuje na rejestr czynności przetwarzania jako dobry punkt wyjścia w tworzeniu mapy transferów danych (art. 30 ust. 1 lit. d oraz e RODO obliguje do rejestrowania transferów danych). Podobnie pomocne mogą być dotychczasowe klauzule informacyjne z art. 13 oraz 14 RODO, które także powinny zawierać informacje o transferach danych. Co więcej, sama analiza własnych transferów może nie być wystarczająca – należy również zidentyfikować dalsze transfery danych zachodzące u podmiotów przetwarzających (procesorów). Przykładem może być sytuacja, w której procesor mający siedzibę w kraju trzecim dokonuje transferów do podprocesora zlokalizowanego w kolejnym państwie spoza EOG.

EROD dodatkowo podkreśla znaczenie zasady minimalizacji danych, zgodnie z którą administrator danych osobowych powinien ocenić, czy nie transferuje danych nadmiarowych względem celów przetwarzania.

Eksporter powinien posiadać mapę transferów danych w swojej organizacji już przed rozpoczęciem bądź wznowieniem danego transferu. Dodać należy, że owa wiedza na temat transferów we własnej organizacji powinna być udokumentowana, tak aby administrator danych osobowych mógł wykazać, iż dokonał stosownej analizy transferów danych osobowych.

Krok 2: zidentyfikuj zabezpieczenia wymienione w rozdz. V RODO

Kiedy administrator danych osobowych już zna transfery zachodzące w jego organizacji, powinien upewnić się, że do transferów tych dochodzi na podstawie środków zabezpieczających wskazanych w rozdz. V RODO, w szczególności na podstawie:

  • decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony,
  • standardowych klauzul umownych,
  • wiążących reguł korporacyjnych,
  • mechanizmów certyfikacji,
  • tzw. klauzul ad hoc,
  • a także – w szczególnych wypadkach – na podstawie wyjątków z art. 49 RODO.

Krok 3: oceń, czy dane zabezpieczenie jest efektywne w kontekście danego transferu

Kolejnym krokiem, wynikającym wprost z poprzedniego, będzie dokonanie oceny, czy dane zabezpieczenie, na podstawie którego eksporter dokonuje transferu, gwarantuje przestrzeganie RODO, tj. czy ochrona danych osobowych w państwie trzecim jest w zasadzie równa ochronie gwarantowanej przez RODO czytane w świetle Karty Praw Podstawowych Unii Europejskiej.

Krok ten stanowi niewątpliwie największe wyzwanie, gdyż wymaga od eksportera dokonania kompleksowej analizy otoczenia prawnego panującego w danym państwie trzecim. EROD zaleca rozpoczęcie wskazanej analizy od identyfikacji przepisów i praktyk istotnych w kontekście wszystkich okoliczności transferu.

EROD wskazuje szereg elementów mogących się składać na kontekst transferu: cel przetwarzania danych, rodzaj i liczba podmiotów zaangażowanych w przetwarzanie, sektor w jakim dochodzi do transferu, kategorie danych osobowych, miejsce przechowania danych (np. w państwie trzecim bądź w państwie EOG ze zdalnym dostępem z państwa trzeciego), format danych, dalsze transfery.

Od tych elementów będzie zależała ocena ustawodawstwa i praktyk w danym państwie, która polega przede wszystkim na ocenie, czy przepisy danego kraju zezwalają na udostępnianie danych osobowych organom publicznym, a jeśli zezwalają – czy dostęp ten narusza prawa podstawowe osób, których dane dotyczą (zob. art. 47 oraz art. 52 ust. 1 Karty Praw Podstawowych Unii Europejskiej). Ograniczenie praw podstawowych powinno być analizowane także poprzez pryzmat art. 23 ust. 1 RODO wskazującego na dopuszczalne ograniczenia obowiązywania RODO w określonych przypadkach, jak np.: bezpieczeństwo narodowe i publiczne, czy ściganie przestępczości.

Funkcja IOD - to się dobrze przekazuje

Ocena ustawodawstwa i praktyk w danym państwie

W analizie systemu prawnego panującego w danej jurysdykcji pomocne mogą być kryteria oceny stopnia ochrony danych osobowych w państwie trzecim, wskazane w art. 45 ust. 2 RODO (np. praworządność, ochrona praw człowieka, przepisy chroniące dane osobowe, organ nadzorczy, zobowiązania międzynarodowe danego państwa).

EROD wskazuje również na zalecenia 02/2020 dotyczące niezbędnych gwarancji europejskich dla środków nadzoru, które wskazują na elementy uzasadniające ingerencję w prawa podstawowe w ramach nadzoru przez organy publiczne:

  • przetwarzanie powinno być oparte na jasnych, precyzyjnych i dostępnych zasadach;
  • należy wykazać niezbędność i proporcjonalność w odniesieniu do uzasadnionych zamierzonych celów;
  • powinien istnieć mechanizm niezależnej kontroli;
  • skuteczne środki ochrony prawnej muszą być dostępne dla osób fizycznych.

W ocenie EROD, w przypadku, gdy prawo państwa trzeciego nie spełnia powyższych kryteriów, to nie sposób mówić o równym poziomie ochrony danych osobowych.

Ocena prawa i praktyk państwa trzeciego co do zasady będzie się opierała na publicznie dostępnych aktach prawnych oraz na ocenie praktyk organów publicznych danego państwa. EROD wskazuje na sytuacje, w których ocena standardów działań obowiązujących w państwie trzecim będzie wyjątkowo istotna:

  1. prawo państwa trzeciego istotne dla transferu może tylko formalnie być zgodne ze standardami unijnymi, jakkolwiek praktyka pokazuje, że organy publiczne co do zasady nie przestrzegają tych przepisów;
  2. właściwe przepisy państwa trzeciego są sformułowane w sposób niewystarczający;
  3. ocena ustawodawstwa obowiązującego w państwie trzecim, które może objąć swoim obowiązywaniem transferowane dane osobowe lub importera danych, może wykazać, iż jest ono problematyczne.

Ważne
„Problematyczne ustawodawstwo” powinno być rozumiane jako prawo, które:
1) nakłada na odbiorcę danych obowiązki lub wpływa na dane w sposób rzutujący na umowne gwarancje zasadniczo równego poziomu ochrony środków zabezpieczających transfer danych oraz
2) nie szanuje istoty praw podstawowych i wolności uznanych przez Kartę Praw Podstawowych UE lub wykracza poza to, co jest konieczne i proporcjonalne w demokratycznym społeczeństwie w celu ochrony jednego z ważnych celów uznawanych w prawie Unii lub państwa członkowskiego, takich jak wskazanych w art. 23 ust. 1 RODO

W razie stwierdzenia „problematycznego ustawodawstwa” w danym państwie eksporter ma do wyboru trzy rozwiązania: wstrzymać transfer, wdrożyć środki uzupełniające bądź kontynuować transfer bez wdrożenia środków uzupełniających.

W ostatnim przypadku konieczne będzie udokumentowanie powodów niewdrożenia środków uzupełniających.

Skąd czerpać informacje o prawie w państwie trzecim?

EROD wskazuje na możliwość pozyskiwania informacji o otoczeniu prawnym i praktykach organów od importera (w szczególności podmiotu przetwarzającego). Informacje te powinny być istotne, obiektywne, wiarygodne, weryfikowalne, publicznie lub w jakikolwiek inny sposób dostępne. Przykłady źródeł informacji znajdują się Załączniku nr 3 Rekomendacji.

Rezultat oceny ustawodawstwa i praktyk

Zgodnie z zasadą rozliczalności, dokonana ocena powinna być rzetelnie udokumentowana. Analiza ustawodawstwa i praktyk może prowadzić do dwóch wniosków: prawo państwa trzeciego zapewnia skuteczność środka zabezpieczającego bądź nie zapewnia tejże skuteczności.

W pierwszym wypadku można dokonywać transferu, przy czym należy pamiętać, aby dokonywać ponownych analiz w odpowiednich odstępach czasu (krok 6) .

W drugim wypadku administrator danych może zdecydować o wdrożeniu środków uzupełniających (krok 4) lub o zaprzestaniu transferów.

Krok 4: wdróż środek uzupełniający

Jeśli krok 3 wykaże, że ustawodawstwo państwa trzeciego nie gwarantuje należytej ochrony, administrator danych osobowych może rozważyć wdrożenie środków uzupełniających. Środki te mogą przybrać postać środków umownych, technicznych lub organizacyjnych.

Ocena, jakie środki zastosować, powinna być dokonywana indywidualnie dla każdego przypadku. EROD słusznie zwraca uwagę, iż umowne i organizacyjne środki nie zapobiegną dostępowi do danych osobowych organów publicznych państwa trzeciego na podstawie problematycznego ustawodawstwa. W takich okolicznościach utrudnić lub nawet uniemożliwić dostęp do danych mogą jedynie środki techniczne (np. szyfrowanie, transferowanie danych pseudonimizowanych bez klucza). Przykłady środków uzupełniających wskazane są w Załączniku nr 2 Zaleceń.

EROD wskazuje także na przykładowe kryteria, jakie można brać pod uwagę, decydując o zastosowaniu danego środka uzupełniającego:

  • format (zwykły tekst, dane pseudonimizowane lub szyfrowane) i kategoria danych,
  • długość oraz złożoność procesu przetwarzania danych, a także liczba podmiotów zaangażowanych w przetwarzanie i ich relacje,
  • technika lub parametry praktycznego zastosowania prawa państwa trzeciego wynikająca z kroku 3,
  • prawdopodobieństwo dalszych transferów w tym samym państwie lub do innego państwa trzeciego.

W przypadku, gdy nie uda się znaleźć środka uzupełniającego gwarantującego w zasadzie równy poziom ochrony danych osobowych, należy zaprzestać transferu do danego państwa lub państw.

Krok 5: procedury w przypadku zastosowania środków uzupełniających

Standardowe klauzule umowne (SCC) (art. 46 ust. 2 lit. c i d RODO)

Akredytowany kurs IOD
potwierdzi Twoje wysokie kompetencje

Przygotuj się do pełnienia funkcji inspektora ochrony danych. Jakość kursu potwierdził Mazowiecki Kurator Oświaty. Zapraszamy!
WYBIERZ TERMIN
W przypadku zastosowania środków uzupełniających względem SCC nie ma potrzeby uzyskiwania akceptacji przez organ nadzorczy, o ile środki te nie są sprzeczne ze standardowymi klauzulami umownymi i nie osłabiają poziomu ochrony gwarantowanego przez RODO. W przeciwnym wypadku administrator stosujący takie środki zacznie podlegać pod reżim art. 46 ust. 3 lit a RODO, co w konsekwencji będzie wymagało zezwolenia właściwego organu nadzorczego.

Wiążące reguły korporacyjne (BCR) (art. 46 ust. 2 lit. b RODO) i klauzule ad hoc (art. 46 ust. 3 lit. a RODO)

W ocenie EROD argumentacja TSUE w wyroku Schrems II ma zastosowanie nie tylko do standardowych klauzul umownych, ale także do wiążących reguł korporacyjnych i tzw. klauzul ad hoc, z racji ich charakteru umownego.

Krok 6: dokonuj ponownych analiz w odpowiednich odstępach czasu

Ostatnim krokiem zaproponowanym przez EROD jest ciągłe monitorowanie zmian legislacyjnych przez eksportera i importera (jeśli to możliwe), które to zmiany mogą mieć wpływ na dokonaną ocenę ustawodawstwa i praktyk danego kraju.

Administrator danych osobowych powinien wdrożyć odpowiednie środki, które pozwolą zatrzymać transfer w przypadku, kiedy importer danych naruszył lub nie może przestrzegać zobowiązań wynikających ze środka zabezpieczającego lub kiedy środki uzupełniające stały się bezskuteczne w danym państwie trzecim.

Zalecenia CNIL dot. identyfikacji i traktowania transferów danych poza UE

Kolejną metodą przydatną w zabezpieczaniu transferów danych osobowych do państw trzecich są zalecenia francuskiego organu nadzorczego CNIL z dnia 23 czerwca 2021 r. Zalecenia te dzielą się w istocie na dwa kroki:

Krok 1: wskaż transfery danych osobowych związane z Twoimi narzędziami cyfrowymi

Podobnie jak w zaleceniach EROD, CNIL proponuje rozpocząć od inwentaryzacji transferów zachodzących w organizacji. Krok ten jednak różni się od kroku 1 proponowanego przez EROD, gdyż CNIL wskazuje, jak dokonać inwentaryzacji rozróżniając element techniczny oraz formalno-prawny.

W części technicznej francuski organ nadzorczy wskazuje na konieczność identyfikacji i weryfikacji ustawień narzędzi cyfrowych stosowanych w organizacji. CNIL wskazał następujące kategorie narzędzi: międzyfunkcjonalne narzędzia biznesowe, aplikacje właściwe dla działalności danej organizacji, infrastruktura IT, media społecznościowe i marketing, oprogramowanie i usługi używane przez pracowników.

Z kolei analiza formalno-prawna polegać będzie na analizie umów zawartych z procesorami i innymi dostawcami usług pod kątem potencjalnych transferów.

Inwentaryzacja powinna skutkować opracowaniem stosownego narzędzia do monitorowania transferów danych osobowych do państw trzecich. Takim narzędziem może być arkusz kalkulacyjny wskazujący na stosowane narzędzia cyfrowe, umowy, dostawców usług, istnienie transferów danych i państwo, które jest ich celem, a także podstawę prawną danego transferu.

Krok 2: ustal plan działania

W pierwszej kolejności CNIL zaleca ustalenie ryzyk związanych z przetwarzaniem danych w danej organizacji.

Kolejno zaleca się ocenę podstawy prawnej transferu, a zatem stosowanych zabezpieczeń z rozdziału V RODO. Ta część planu działania odpowiada krokowi 2 i 3 rekomendacji EROD, a zatem CNIL zaleca identyfikację stosowanych zabezpieczeń i ich skuteczność w związku ustawodawstwem danego kraju. W razie negatywnej oceny danego ustawodawstwa administrator danych musi rozważyć zastosowanie środków uzupełniających.

Ocena oraz plan działania powinny być przekazane osobie odpowiedzialnej za organizację. Plan powinien zawierać działania podejmowane niezwłocznie, jak i średnio- oraz długoterminowe. Działania wskazane w planie powinny mieć nadany priorytet zgodnie z ocenionymi ryzykami, a także zasobami, które administrator danych osobowych ma do swojej dyspozycji.

Ostatnim zaleceniem jest udokumentowane regularne monitorowanie transferów poza UE oraz ich podstaw prawnych.

Podsumowanie

Powyższe stanowiska analizowane łącznie dają administratorom danych osobowych kompleksową podstawę do oceny transferów danych osobowych w swojej organizacji, w szczególności po wyroku Schrems II.

Oba organy podkreślają znaczenie środków uzupełniających, których zastosowanie powinno zależeć w szczególności od identyfikacji transferów i ich podstaw prawnych oraz dokonania oceny ustawodawstwa i praktyk państwa trzeciego. CNIL daje jednak dodatkowe wskazówki związane z analizą techniczną i formalno-prawną, które mogą być pomocne dla identyfikacji potencjalnych transferów.

Nie bez znaczenia w obu dokumentach pozostaje także prawidłowe udokumentowanie dokonanych inwentaryzacji i analiz, w tym prowadzenie dokumentacji wskazującej na stosowane procedury, istniejące transfery i ich podstawy prawne (mapę transferów danych), a także częstotliwość przeglądów transferów.

Czytaj także:

Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".