Kto wysyła dane poza EOG – będzie to Twoja organizacja

Wskazujemy proces, w którym ma miejsce transfer. Oprzyj się na swoim rejestrze czynności przetwarzania/rejestrze wszystkich kategorii czynności przetwarzania

Od kiedy trwa transfer? Kiedy się rozpocznie?

Do kiedy trwa transfer? Do kiedy planujesz wysyłać dane? Możesz się oprzeć na umowie z odbiorcą danych

Jak dane wysyłasz do odbiorcy? Czy są to dane wrażliwe? Jeśli tak, to jakie? Oprzyj się na swojej dokumentacji, w szczególności na rejestrze czynności przetwarzania

Czyje dane są transferowane? Czy przetwarzasz dane osób wymagających szczególnej opieki (dzieci, osoby starsze, niepełnosprawne, pracownicy)?

Każda czynność przetwarzania musi być oparta na konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzana dalej w sposób niezgodny z tymi celami. Wskaż ustalony przez ciebie cel, znajdziesz go w rejestrze czynności przetwarzania.

Rozpoczynając inwentaryzację transferów dobrze jest zacząć od przeglądu swoich zasobów i analizy, w ramach jakich narzędzi dochodzi do transferu. Przykładowo: jeśli organizacja posiada CRM oparty na rozwiązaniach chmurowych, sprawdź w polityce prywatności lub w umowie z dostawcą, czy dostawca i serwery są w EOG

Pytanie to pozwala szczegółowo ocenić kontekst transferu oraz dobrać odpowiedne środki uzupełniające – w przypadku danych skutecznie zanonimizowanych odpadają dalsze kroki analizy, w niektórych jurysdykcjach zabroniony jest dostęp służb do danych szyfrowanych, dane spseudonimizowane mogą być dla odbiorcy anonimowe, jeśli nie będzie miał dostępu do klucza pozwalającego na odwrócenie pseudonimizacji. Z kolei zwykły tekst wiąże się z brakiem zabezpieczeń.

Do kogo wysyłasz dane osobowe?

Państwo do, którego wysyłamy dane, czyli to, w którym importer danych ma siedzibę lub w którym przetwarza dane.

Podstawa prawna, czyli środki i zabezpieczenia wskazane w Rozdziale V RODO, tj.:
• Decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony,
• standardowe klauzule umowne,
• wiążące reguły korporacyjne (tzw. BCR),
• zatwierdzone kodeksy postępowania i mechanizmy certyfikacji,
• tzw. klauzule ad hoc i uzgodnienia administracyjne,
• wyjątki z art. 49 RODO

Opisz w jaki sposób przesyłasz dane (np. pocztą e-mail, pocztą lotnicza, FTP, dedykowanym narzędziem). Opisz jakie zabezpieczenia (techniczne i organizacyjne) stosujesz Ty, a jakie odbiorca danych (np. szyfrowanie end-to-end, szyfrowanie at rest, ograniczony dostęp do danych, wykorzystanie SFTP, powołane zespołu koordynacyjnego, dodatkowe zabezpieczenia umowne).

Informacje o prawie państwa trzeciego powinny być istotne, obiektywne, wiarygodne, weryfikowalne, publicznie lub w jakikolwiek inny sposób dostępne. W praktyce podstawowym źródłem informacji dotyczących danej jurysdykcji powinna być ankieta (raporty, opracowania) przesłana przez odbiorcę danych, w której wskazane będą informacje istotne z punktu widzenia TIA. To ona będzie podstawą przeprowadzenia TIA. Przykładowe źródła wiedzy:
- https://www.gov.uk/government/collections/human-rights-and-democracy-reports
- orzeczenia ETPCz, orzeczenia TSUE (Schrems II), decyzje organów nadzorczych i orzeczenia sądów krajowych,
- wytyczne i opracowania WP29, EROD (np. dokument EROD „Government access to data in third countries”),
- https://www.coe.int/en/web/data-protection/reports-studies-and-opinions
- https://www.oas.org/en/iachr/reports/country.asp
- https://www.ohchr.org/EN/HRBodies/UPR/Pages/Documentation.aspx
- https://tbinternet.ohchr.org/_layouts/15/treatybodyexternal/TBSearch.aspx?Lang=en&TreatyID=8&DocTypeID=5
- https://globalprivacyassembly.org/wp-content/uploads/2020/10/Day-1-1_2a-Day-3-3_2b-v1_0-Policy-Strategy-Working-Group-WS1-Global-frameworks-and-standards-Report-Final.pdf
- https://www.afapdp.org/lafapdp/membres
- https://www.cnil.fr/en/data-protection-around-the-world
- raporty NGOs, organizacji międzynarodowych,
- raporty izb handlowych, firm konsultingowych, kancelarii prawnych etc.,
- dokumentacja importera – warrant canaries, sprawozdania, raporty (pomimo wskazania ich wprost w Rekomendacjach EROD 01/2021 organy nadzorcze mogą uznać informację o braku ingerencji służb za niewystarczającą, jeśli prawo dostęp ten gwarantuje).

Czy państwo trzecie uznaje prywatność i dane osobowe jako dobra chronione? Czy istnieją przepisy regulujące te kwestie?

Istnienie samych przepisów nie gwarantuje ochrony. Państwa niepraworządne, nieprzestrzegające praw człowieka czy bez niezależnego sądownictwa nie będą gwarantowały należytej ochrony i wykonalności standardowych klauzul umownych i innych porozumień.

Istnienie niezależnego organu nadzorczego (pomocny w ocenie będzie art. 52 RODO oraz m.in. narzędzie CNIL: https://www.cnil.fr/en/data-protection-around-the-world) może istotnie wpływać na możliwość nieproporcjonalnej ingerencji w prawa jednostki, a także na ocenę przestrzegania przepisów o ochronie danych osobowych.

Członkowie Rady Europy i inne państwa mogą przyjąć Konwencję 108 lub jej zaktualizowaną wersję tzw. Konwencję 108+ (zob. https://www.coe.int/en/web/data-protection/convention108/parties). Ponadto mogą istnieć porozumienia dwustronne (jak np. Privacy Shield).
Federacja Rosyjska, pomimo wyjścia z Rady Europy, wciąż pozostaje stroną Konwencji 108 jako państwo niebędące członkiem Rady Europy, jakkolwiek nie ma podstaw, aby sądzić, że będzie ona przez ten kraj przestrzegana.
Odpowiedź można rozszerzyć o inne akty prawa międzynarodowego, np. Konwencję haską o umowach dotyczących właściwości sądu.

Na podstawie poprzednich pytań kontrolnych eksporter powinien móc ocenić, czy przepisy są zgodne ze standardami UE.
EROD posługuje się terminem „problematyczne przepisy” (w naszym artykule z racji tłumaczenia bezpośrednio z oryginału: „problematyczne ustawodawstwo”), które to regulacje: 1) nakładają na odbiorcę danych osobowych z Unii Europejskiej obowiązki lub wpływają na przekazywane dane w sposób, który może naruszać umowne gwarancje narzędzi przekazywania dotyczące merytorycznie równoważnego stopnia ochrony oraz 2) naruszają istotę podstawowych praw i wolności uznanych w Karcie praw podstawowych Unii Europejskiej lub wykraczają poza to, co jest niezbędne i proporcjonalne w społeczeństwie demokratycznym do ochrony jednego z ważnych celów uznanych również w prawie Unii lub państw członkowskich UE, takich jak cele wymienione w art. 23 ust. 1 RODO.
Może się okazać, że pomimo uznania przepisów za problematyczne eksporter uzna, że nie mają one zastosowania lub wpływu na dany transfer. Eksporter zatem powinien udokumentować, w jaki sposób problematyczne ustawodawstwo nie będzie stosowane do transferu/importera oraz w rezultacie nie uniemożliwi importerowi wykonania swoich zobowiązań na gruncie danego środka zabezpieczającego

Pytanie to odnosi się do istnienia jasnych, precyzyjnych i dostępnych przepisów o randze ustawowej, które dają podstawę do ingerencji służb oraz ustalają minimalne środki zabezpieczające. Na przykładzie USA można wskazać art. 702 FISA czy rozporządzenie wykonawcze nr 12333, które jednak nie będą spełniały kolejnych punktów testu.

Pytanie to odzwierciedla znaną w prawie ochrony danych zasadę proporcjonalności, więc nasza ocena będzie podobna do testu równowagi, a zatem w podobny sposób trzeba będzie ocenić niezbędność ingerencji i jej wagę.
Niezbędne i proporcjonalne będą przede wszystkim przepisy dające osobom, których dane dotyczą, odpowiedne gwarancje i zabezpieczenia związane ze wskazaniem jasnych kryteriów dostępu służb do danych czy zapewnieniem drogi sądowej i nadzorem nad działaniem służb. Takiej niezbędności i proporcjonalności dokonał TSUE na przykładzie prawa USA w sprawie Schrems II

W świetle prawa unijnego wszelka ingerencja w prawo do prywatności i ochrony danych powinna podlegać skutecznemu, niezależnemu i bezstronnemu systemowi nadzoru, który musi być zapewniony przez sędziego lub inny niezależny organ.
Oznacza to, że na podstawie zebranych informacji powinno się ustalić, czy nad środkami nadzoru istnieje jakakolwiek kontrola i czy jest ona skuteczna. W przypadku wyroku Schrems II TSUE analizując działania wywiadu cywilnego stwierdził, że nadzór jest niewystarczający w przypadku art. 702 FISA, a w przypadku rozporządzenia wykonawczego nr 12333 brak jest nadzoru sądowego.

Ostatnia niezbędna gwarancja europejska dotyczy praw osób, których dane dotyczą, do skutecznego dochodzenia roszczeń przed niezależnym sądem lub innym organem.
Przykładowo, w sprawie Schrems II TSUE wskazało na brak praw przyznanych podmiotom danych, które można by egzekwować przed sądem, a fakt istnienia Rzecznika ds. Tarczy Prywatności nie daje możliwości podniesienia środka odwoławczego przed sądem lub innym organem.