Transfer Impact Assessment

Korzystasz z usług chmurowych? Jesteś częścią międzynarodowej grupy kapitałowej? Obsługuje Cię call center lub helpdesk IT spoza UE?

Jeżeli tak, to prawdopodobnie przekazujesz dane osobowe do państw trzecich. Skorzystaj z naszego kalkulatora i oceń ryzyka z tym związane. Sprawdź, czy stosowane przez Ciebie środki bezpieczeństwa są wystarczające!

dowiedz się więcej Wykonaj analizę

Tomasz Ochocki

Orzeczenie TSUE w sprawie Schrems II, uchylające tzw. Tarczę Prywatności, pokrzyżowało plany niejednej firmie wysyłającej dane do USA i innych państw trzecich. Eksporterzy danych (tak nazywamy organizacje wysyłające dane poza EOG) zaczęli szukać alternatywnych rozwiązań, skłaniając się często ku standardowym klauzulom umownym (SCC).

W świetle wspomnianego wyroku same SCC są jednak niewystarczające. Eksporterzy danych powinni dokonać wcześniej oceny planowanego transferu pod kątem prawa i praktyki w państwie-odbiorcy (tzw. transfer impact assessement, w skrócie: TIA), aby ocenić, czy są w stanie zagwarantować bezpieczeństwo przekazywanych danych.

Jak przeprowadzić tę analizę? Dzięki naszemu formularzowi to proste! Wystarczy, że wypełnisz jego trzy części:

1. kontekst transferu, gdzie dokładnie opiszesz planowaną operację;

2. prawo i praktykę ochrony danych, gdzie ocenisz m.in. lokalne przepisy o ochronie danych osobowych oraz praktykę miejscowego organu nadzorczego;

3. ryzyko transferu, gdzie ocenisz wpływ planowanego transferu na prawa i wolności osób, których dane dotyczą.

1Kontekst transferu

Wskaż podmiot przekazujący dane
Kto wysyła dane poza EOG – będzie to Twoja organizacja
Jakiej operacji przetwarzania dotyczy transfer danych?
Wskazujemy proces, w którym ma miejsce transfer. Oprzyj się na swoim rejestrze czynności przetwarzania/rejestrze wszystkich kategorii czynności przetwarzania
Wskaż datę rozpoczęcia transferu
Od kiedy trwa transfer? Kiedy się rozpocznie?
Wskaż datę zakończenia transferu
Do kiedy trwa transfer? Do kiedy planujesz wysyłać dane? Możesz się oprzeć na umowie z odbiorcą danych
Jakie kategorie danych zostaną objęte transferem?
Jak dane wysyłasz do odbiorcy? Czy są to dane wrażliwe? Jeśli tak, to jakie? Oprzyj się na swojej dokumentacji, w szczególności na rejestrze czynności przetwarzania
Wskaż kategorie osób, których dane są przekazywane
Czyje dane są transferowane? Czy przetwarzasz dane osób wymagających szczególnej opieki (dzieci, osoby starsze, niepełnosprawne, pracownicy)?
Jaki jest cel transferu danych?
Każda czynność przetwarzania musi być oparta na konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzana dalej w sposób niezgodny z tymi celami. Wskaż ustalony przez ciebie cel, znajdziesz go w rejestrze czynności przetwarzania.
Czy transfer danych jest związany z wykorzystaniem narzędzia IT? Jeżeli tak, wskaż je
Rozpoczynając inwentaryzację transferów dobrze jest zacząć od przeglądu swoich zasobów i analizy, w ramach jakich narzędzi dochodzi do transferu. Przykładowo: jeśli organizacja posiada CRM oparty na rozwiązaniach chmurowych, sprawdź w polityce prywatności lub w umowie z dostawcą, czy dostawca i serwery są w EOG
Wskaż format przekazywanych danych (otwarty tekst, pseudominizacja, anonimizacja)
Pytane to pozwala szczegółowo ocenić kontekst transferu oraz dobrać odpowiedne środki uzupełniające – w przypadku danych skutecznie zanonimizowanych odpadają dalsze kroki analizy, w niektórych jurysdykcjach zabroniony jest dostęp służb do danych szyfrowanych, dane spseudonimizowane mogą być dla odbiorcy anonimowe, jeśli nie będzie miał dostępu do klucza pozwalającego na odwrócenie pseudonimizacji. Z kolei zwykły tekst wiąże się z brakiem zabezpieczeń.
a) Nazwa
Wskaż nazwę importera danych
b) Rola
Administrator danych, czy podmiot przetwarzający?
c) Rodzaj i status (publiczny/prywatny)
Jakiego rodzaju podmiotem jest odbiorca, czy można go zakwalifikować jako chronionego odbiorcę? Czy jest objęty tajemnicą zawodową (np. adwokat, lekarz)?
d) Sektor
Sektor, np. nieruchomości, usługi prawne, telekomunikacja – te informacje mogą być przydatne w kontekście oceny otoczenia regulacyjnego.
Wskaż państwo trzecie, do którego przekazywane są dane osobowe
Państwo do, którego wysyłamy dane, czyli to, w którym importer danych ma siedzibę lub w którym przetwarza dane.
Wskaż podstawę prawną transferu danych
Podstawa prawna, czyli środki i zabezpieczenia wskazane w Rozdziale V RODO, tj.:
• Decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony,
• standardowe klauzule umowne,
• wiążące reguły korporacyjne (tzw. BCR),
• zatwierdzone kodeksy postępowania i mechanizmy certyfikacji,
• tzw. klauzule ad hoc i uzgodnienia administracyjne,
• wyjątki z art. 49 RODO
Wskaż, w jaki sposób przesyłasz dane i jakie zostały zastosowane techniczne i organizacyjne środki związane z zabezpieczeniem transferu
Pozytywny wpływ zdecydowanie przechyla szalę testu na korzyść Administratora/strony trzeciej. Pozytywnym wpływem może być otrzymanie nagrody lub innych korzyści, prawidłowa realizacja usługi, sprawniejsza organizacja pracy, zapewnienie bezpieczeństwa danej osoby lub jej mienia, co jest też korzyścią osób objętych monitoringiem

2Prawo i praktyka

Wskaż, skąd czerpiesz wiedzę na temat systemu prawnego w państwie odbiorcy?
Informacje o prawie państwa trzeciego powinny być istotne, obiektywne, wiarygodne, weryfikowalne, publicznie lub w jakikolwiek inny sposób dostępne. W praktyce podstawowym źródłem informacji dotyczących danej jurysdykcji powinna być ankieta (raporty, opracowania) przesłana przez odbiorcę danych, w której wskazane będą informacje istotne z punktu widzenia TIA. To ona będzie podstawą przeprowadzenia TIA. Przykładowe źródła wiedzy:
- https://www.gov.uk/government/collections/human-rights-and-democracy-reports
- orzeczenia ETPCz, orzeczenia TSUE (Schrems II), decyzje organów nadzorczych i orzeczenia sądów krajowych,
- wytyczne i opracowania WP29, EROD (np. dokument EROD „Government access to data in third countries”),
- https://www.coe.int/en/web/data-protection/reports-studies-and-opinions
- https://www.oas.org/en/iachr/reports/country.asp
- https://www.ohchr.org/EN/HRBodies/UPR/Pages/Documentation.aspx
- https://tbinternet.ohchr.org/_layouts/15/treatybodyexternal/TBSearch.aspx?Lang=en&TreatyID=8&DocTypeID=5
- https://globalprivacyassembly.org/wp-content/uploads/2020/10/Day-1-1_2a-Day-3-3_2b-v1_0-Policy-Strategy-Working-Group-WS1-Global-frameworks-and-standards-Report-Final.pdf
- https://www.afapdp.org/lafapdp/membres
- https://www.cnil.fr/en/data-protection-around-the-world
- raporty NGOs, organizacji międzynarodowych,
- raporty izb handlowych, firm konsultingowych, kancelarii prawnych etc.,
- dokumentacja importera – warrant canaries, sprawozdania, raporty (pomimo wskazania ich wprost w Rekomendacjach EROD 01/2021 organy nadzorcze mogą uznać informację o braku ingerencji służb za niewystarczającą, jeśli prawo dostęp ten gwarantuje).
Czy w państwie-odbiorcy obowiązują przepisy o ochronie danych osobowych?
Czy państwo trzecie uznaje prywatność i dane osobowe jako dobra chronione? Czy istnieją przepisy regulujące te kwestie?
Czy podmioty publiczne w państwie-odbiorcy respektują postanowienia przepisów o ochronie danych osobowych?
Istnienie samych przepisów nie gwarantuje ochrony. Państwa niepraworządne, nieprzestrzegające praw człowieka czy bez niezależnego sądownictwa nie będą gwarantowały należytej ochrony i wykonalności standardowych klauzul umownych i innych porozumień.
Czy państwo-odbiorca ustanowiło niezależny organ nadzorczy w zakresie ochrony danych osobowych?
Istnienie niezależnego organu nadzorczego (pomocny w ocenie będzie art. 52 RODO oraz m.in. narzędzie CNIL: https://www.cnil.fr/en/data-protection-around-the-world) może istotnie wpływać na możliwość nieproporcjonalnej ingerencji w prawa jednostki, a także na ocenę przestrzegania przepisów o ochronie danych osobowych.
Czy państwo-odbiorca jest stroną zobowiązań międzynarodowych w zakresie ochrony danych osobowych?
Członkowie Rady Europy i inne państwa mogą przyjąć Konwencję 108 lub jej zaktualizowaną wersję tzw. Konwencję 108+ (zob. https://www.coe.int/en/web/data-protection/convention108/parties). Ponadto mogą istnieć porozumienia dwustronne (jak np. Privacy Shield).
Federacja Rosyjska, pomimo wyjścia z Rady Europy, wciąż pozostaje stroną Konwencji 108 jako państwo niebędące członkiem Rady Europy, jakkolwiek nie ma podstaw, aby sądzić, że będzie ona przez ten kraj przestrzegana.
Odpowiedź można rozszerzyć o inne akty prawa międzynarodowego, np. Konwencję haską o umowach dotyczących właściwości sądu.
Czy przepisy o ochronie danych osobowych są zgodne ze standardem Unii Europejskiej?
Na podstawie poprzednich pytań kontrolnych eksporter powinien móc ocenić, czy przepisy są zgodne ze standardami UE.
EROD posługuje się terminem „problematyczne przepisy” (w naszym artykule z racji tłumaczenia bezpośrednio z oryginału: „problematyczne ustawodawstwo”), które to regulacje: 1) nakładają na odbiorcę danych osobowych z Unii Europejskiej obowiązki lub wpływają na przekazywane dane w sposób, który może naruszać umowne gwarancje narzędzi przekazywania dotyczące merytorycznie równoważnego stopnia ochrony oraz 2) naruszają istotę podstawowych praw i wolności uznanych w Karcie praw podstawowych Unii Europejskiej lub wykraczają poza to, co jest niezbędne i proporcjonalne w społeczeństwie demokratycznym do ochrony jednego z ważnych celów uznanych również w prawie Unii lub państw członkowskich UE, takich jak cele wymienione w art. 23 ust. 1 RODO.
Może się okazać, że pomimo uznania przepisów za problematyczne eksporter uzna, że nie mają one zastosowania lub wpływu na dany transfer. Eksporter zatem powinien udokumentować, w jaki sposób problematyczne ustawodawstwo nie będzie stosowane do transferu/importera oraz w rezultacie nie uniemożliwi importerowi wykonania swoich zobowiązań na gruncie danego środka zabezpieczającego

3Dostęp służb specjalnych do danych osobowych w państwie trzecim

Czy dostęp do danych osobowych jest oparty na jasnych, precyzyjnych i dostępnych przepisach?
Pytanie to odnosi się do istnienia jasnych, precyzyjnych i dostępnych przepisów o randze ustawowej, które dają podstawę do ingerencji służb oraz ustalają minimalne środki zabezpieczające. Na przykładzie USA można wskazać art. 702 FISA czy rozporządzenie wykonawcze nr 12333, które jednak nie będą spełniały kolejnych punktów testu.
Czy dostęp do danych jest niezbędny i proporcjonalny w odniesieniu do określonych celów?
Pytanie to odzwierciedla znaną w prawie ochrony danych zasadę proporcjonalności, więc nasza ocena będzie podobna do testu równowagi, a zatem w podobny sposób trzeba będzie ocenić niezbędność ingerencji i jej wagę.
Niezbędne i proporcjonalne będą przede wszystkim przepisy dające osobom, których dane dotyczą, odpowiedne gwarancje i zabezpieczenia związane ze wskazaniem jasnych kryteriów dostępu służb do danych czy zapewnieniem drogi sądowej i nadzorem nad działaniem służb. Takiej niezbędności i proporcjonalności dokonał TSUE na przykładzie prawa USA w sprawie Schrems II
Czy istnieje mechanizm niezależnej kontroli nad działalnością służb specjalnych?
W świetle prawa unijnego wszelka ingerencja w prawo do prywatności i ochrony danych powinna podlegać skutecznemu, niezależnemu i bezstronnemu systemowi nadzoru, który musi być zapewniony przez sędziego lub inny niezależny organ.
Oznacza to, że na podstawie zebranych informacji powinno się ustalić, czy nad środkami nadzoru istnieje jakakolwiek kontrola i czy jest ona skuteczna. W przypadku wyroku Schrems II TSUE analizując działania wywiadu cywilnego stwierdził, że nadzór jest niewystarczający w przypadku art. 702 FISA, a w przypadku rozporządzenia wykonawczego nr 12333 brak jest nadzoru sądowego.
Czy istnieją skuteczne środki ochrony prawnej osób, których dane dotyczą?
Ostatnia niezbędna gwarancja europejska dotyczy praw osób, których dane dotyczą, do skutecznego dochodzenia roszczeń przed niezależnym sądem lub innym organem.
Przykładowo, w sprawie Schrems II TSUE wskazało na brak praw przyznanych podmiotom danych, które można by egzekwować przed sądem, a fakt istnienia Rzecznika ds. Tarczy Prywatności nie daje możliwości podniesienia środka odwoławczego przed sądem lub innym organem.

4Analiza ryzyka

LEGENDA

W oparciu o poniższą legendę oszacuj prawdopodobieństwo zagrożenia:

(1) niskie prawdopodobieństwo – zmaterializowanie się potencjalnego zagrożenia praw i wolności osób, których dane dotyczą nie wydaje się możliwe dla wybranych źródeł ryzyka;

(2) średnie prawdopodobieństwo – zmaterializowanie się potencjalnego zagrożenia praw i wolności osób, których dane dotyczą wydaje się trudne dla wybranych źródeł ryzyka;

(3) wysokie prawdopodobieństwo – zmaterializowanie się potencjalnego zagrożenia praw i wolności osób, których dane dotyczą wydaje się możliwe dla wybranych źródeł ryzyka;

(4) bardzo wysokie prawdopodobieństwo – zmaterializowanie się potencjalnego zagrożenia praw i wolności osób, których dane dotyczą wydaje się nadzwyczaj łatwe dla wybranych źródeł ryzyka.

W oparciu o poniższą legendę oszacuj skutki zagrożenia dla praw i wolności osób których dane dotyczą:

(1) niskie skutki – osoby, których dane dotyczą, nie zostaną dotknięte skutkami zagrożenia albo spotkają je drobne niedogodności, które pokonają bez najmniejszych problemów (czas potrzebny na ponowne wprowadzenie danych, zniecierpliwienie, irytacja itp.);

(2) średnie skutki – osoby, których dane dotyczą, mogą napotkać znaczące niedogodności, które będą w stanie pokonać mimo pewnych trudności (dodatkowe koszty, strach, niezrozumienie, stres, drobne fizyczne urazy itp.);

(3) wysokie skutki – osoby, których dane dotyczą, mogą napotkać znaczące niedogodności, które powinny być w stanie pokonać, ale z poważnymi trudnościami (oszustwa finansowe, wpis na listę nieobsługiwanych klientów w bankach, szkody majątkowe, utrata zatrudnienia, pozwy, pogorszony stan zdrowia itp.);

(4) bardzo wysokie skutki – osoby, których dane dotyczą, mogą napotkać znaczące, a nawet nieodwracalne konsekwencje, których mogą nie pokonać (finansowe tarapaty, wynikające np. z niespłaconego długu lub niezdolności do pracy, długotrwałe psychologiczne lub fizyczne urazy, śmierć itp.).

Zagrożenie
Prawdopodobieństwo
Skutki
Ryzyko
Wybierz
1 2 3 4
Wybierz
1 2 3 4
Niskie
Wybierz
1 2 3 4
Wybierz
1 2 3 4
Niskie
Wybierz
1 2 3 4
Wybierz
1 2 3 4
Niskie
Wybierz
1 2 3 4
Wybierz
1 2 3 4
Niskie
Wybierz
1 2 3 4
Wybierz
1 2 3 4
Niskie

5Wynik testu

Czy odbiorca danych jest w stanie zapewnić merytorycznie równoważny w stosunku do europejskiego poziom ochrony danych?
Biorąc pod uwagę poczynione przez siebie ustalenia oceń (m.in. kontekst przetwarzania, prawo i praktykę w państwie-odbiorcy, dostęp służb specjalnych do danych osobowych), czy odbiorca danych jest w stanie zapewnić porównywalny w stosunku do europejskiego poziom ochrony danych osobowych?
Decyzja administratora danych
Wskaż, jaką decyzję podjął administrator oraz uzasadnij ją. Dotyczy to również sytuacji, gdy administrator postanowił przekazać dane osobowe do państwa trzeciego, nawet pomimo negatywnego wyniku testu

Zastrzeżenie

Aby uzyskać miarodajny wynik i propozycję oceny ryzyka, należy wypełnić wszystkie pola kalkulatora. Każdy aspekt transferu danych osobowych powinien być analizowany indywidualnie, w szczególności w zakresie wykonania obowiązków określonych w art. 44-49 RODO. Z tego względu niniejszy kalkulator może stanowić co najwyżej narzędzie pomocnicze i nie może być samodzielną podstawą podejmowania decyzji przez jakikolwiek podmiot lub osobę, które korzystają z kalkulatora na własną odpowiedzialność. ODO 24 sp. z o.o. nie ponosi odpowiedzialności względem jakiegokolwiek podmiotu lub osoby, za jakiekolwiek skutki pośrednie lub bezpośrednie korzystania z kalkulatora, w szczególności w postaci szkód, obowiązku zapłaty odszkodowania lub zadośćuczynienia, nałożonych kar administracyjnych, utraty korzyści lub innych negatywnych konsekwencji.