Kalkulator TIA
Transfer Impact AssessmentKorzystasz z usług chmurowych? Jesteś częścią międzynarodowej grupy kapitałowej? Obsługuje Cię call center lub helpdesk IT spoza UE?
Jeżeli tak, to prawdopodobnie przekazujesz dane osobowe do państw trzecich. Skorzystaj z naszego kalkulatora i oceń ryzyka z tym związane. Sprawdź, czy stosowane przez Ciebie środki bezpieczeństwa są wystarczające!
Orzeczenie TSUE w sprawie Schrems II, uchylające tzw. Tarczę Prywatności, pokrzyżowało plany niejednej firmie wysyłającej dane do USA i innych państw trzecich. Eksporterzy danych (tak nazywamy organizacje wysyłające dane poza EOG) zaczęli szukać alternatywnych rozwiązań, skłaniając się często ku standardowym klauzulom umownym (SCC).
W świetle wspomnianego wyroku same SCC są jednak niewystarczające. Eksporterzy danych powinni dokonać wcześniej oceny planowanego transferu pod kątem prawa i praktyki w państwie-odbiorcy (tzw. transfer impact assessement, w skrócie: TIA), aby ocenić, czy są w stanie zagwarantować bezpieczeństwo przekazywanych danych.
Jak przeprowadzić tę analizę? Dzięki naszemu formularzowi to proste! Wystarczy, że wypełnisz jego trzy części:
- kontekst transferu, gdzie dokładnie opiszesz planowaną operację;
- prawo i praktykę ochrony danych, gdzie ocenisz m.in. lokalne przepisy o ochronie danych osobowych oraz praktykę miejscowego organu nadzorczego;
- ryzyko transferu, gdzie ocenisz wpływ planowanego transferu na prawa i wolności osób, których dane dotyczą.
1Kontekst transferu
Wskaż podmiot przekazujący dane
Kto wysyła dane poza EOG – będzie to Twoja organizacja
Jakiej operacji przetwarzania dotyczy transfer danych?
Wskazujemy proces, w którym ma miejsce transfer. Oprzyj się na swoim rejestrze czynności przetwarzania/rejestrze wszystkich kategorii czynności przetwarzania
Wskaż datę rozpoczęcia transferu
Od kiedy trwa transfer? Kiedy się rozpocznie?
Wskaż datę zakończenia transferu
Do kiedy trwa transfer? Do kiedy planujesz wysyłać dane? Możesz się oprzeć na umowie z odbiorcą danych
Jakie kategorie danych zostaną objęte transferem?
Jak dane wysyłasz do odbiorcy? Czy są to dane wrażliwe? Jeśli tak, to jakie? Oprzyj się na swojej dokumentacji, w szczególności na rejestrze czynności przetwarzania
Wskaż kategorie osób, których dane są przekazywane
Czyje dane są transferowane? Czy przetwarzasz dane osób wymagających szczególnej opieki (dzieci, osoby starsze, niepełnosprawne, pracownicy)?
Jaki jest cel transferu danych?
Każda czynność przetwarzania musi być oparta na konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzana dalej w sposób niezgodny z tymi celami. Wskaż ustalony przez ciebie cel, znajdziesz go w rejestrze czynności przetwarzania.
Czy transfer danych jest związany z wykorzystaniem narzędzia IT? Jeżeli tak, wskaż je
Rozpoczynając inwentaryzację transferów dobrze jest zacząć od przeglądu swoich zasobów i analizy, w ramach jakich narzędzi dochodzi do transferu. Przykładowo: jeśli organizacja posiada CRM oparty na rozwiązaniach chmurowych, sprawdź w polityce prywatności lub w umowie z dostawcą, czy dostawca i serwery są w EOG
Wskaż format przekazywanych danych (otwarty tekst, pseudonimizacja, anonimizacja)
Pytanie to pozwala szczegółowo ocenić kontekst transferu oraz dobrać odpowiednie środki uzupełniające – w przypadku danych skutecznie zanonimizowanych odpadają dalsze kroki analizy, w niektórych jurysdykcjach zabroniony jest dostęp służb do danych szyfrowanych, dane spseudonimizowane mogą być dla odbiorcy anonimowe, jeśli nie będzie miał dostępu do klucza pozwalającego na odwrócenie pseudonimizacji. Z kolei zwykły tekst wiąże się z brakiem zabezpieczeń.
Wskaż podmiot, do którego dane osobowe są przekazywane
Do kogo wysyłasz dane osobowe?
a) Nazwa
Wskaż nazwę importera danych
b) Rola
Administrator danych, czy podmiot przetwarzający?
c) Rodzaj i status (publiczny/prywatny)
Jakiego rodzaju podmiotem jest odbiorca, czy można go zakwalifikować jako chronionego odbiorcę? Czy jest objęty tajemnicą zawodową (np. adwokat, lekarz)?
d) Sektor
Sektor, np. nieruchomości, usługi prawne, telekomunikacja – te informacje mogą być przydatne w kontekście oceny otoczenia regulacyjnego.
Wskaż państwo trzecie, do którego przekazywane są dane osobowe
Państwo do, którego wysyłamy dane, czyli to, w którym importer danych ma siedzibę lub w którym przetwarza dane.
Wskaż podstawę prawną transferu danych
Podstawa prawna, czyli środki i zabezpieczenia wskazane w Rozdziale V RODO, tj.:• Decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony,
• standardowe klauzule umowne,
• wiążące reguły korporacyjne (tzw. BCR),
• zatwierdzone kodeksy postępowania i mechanizmy certyfikacji,
• tzw. klauzule ad hoc i uzgodnienia administracyjne,
• wyjątki z art. 49 RODO
• standardowe klauzule umowne,
• wiążące reguły korporacyjne (tzw. BCR),
• zatwierdzone kodeksy postępowania i mechanizmy certyfikacji,
• tzw. klauzule ad hoc i uzgodnienia administracyjne,
• wyjątki z art. 49 RODO
Wskaż, w jaki sposób przesyłasz dane i jakie zostały zastosowane techniczne i organizacyjne środki związane z zabezpieczeniem transferu
Opisz w jaki sposób przesyłasz dane (np. pocztą e-mail, pocztą lotniczą, FTP, dedykowanym narzędziem). Opisz jakie zabezpieczenia (techniczne i organizacyjne) stosujesz Ty, a jakie odbiorca danych (np. szyfrowanie end-to-end, szyfrowanie at rest, ograniczony dostęp do danych, wykorzystanie SFTP, powołane zespołu koordynacyjnego, dodatkowe zabezpieczenia umowne).
2Prawo i praktyka
Wskaż, skąd czerpiesz wiedzę na temat systemu prawnego w państwie odbiorcy?
Informacje o prawie państwa trzeciego powinny być istotne, obiektywne, wiarygodne, weryfikowalne, publicznie lub w jakikolwiek inny sposób dostępne. W praktyce podstawowym źródłem informacji dotyczących danej jurysdykcji powinna być ankieta (raporty, opracowania) przesłana przez odbiorcę danych, w której wskazane będą informacje istotne z punktu widzenia TIA. To ona będzie podstawą przeprowadzenia TIA. Przykładowe źródła wiedzy:
- https://www.gov.uk/government/collections/human-rights-and-democracy-reports
- orzeczenia ETPCz, orzeczenia TSUE (Schrems II), decyzje organów nadzorczych i orzeczenia sądów krajowych,
- wytyczne i opracowania WP29, EROD (np. dokument EROD „Government access to data in third countries"),
- https://www.coe.int/en/web/data-protection/reports-studies-and-opinions
- https://www.oas.org/en/iachr/reports/country.asp
- https://www.ohchr.org/EN/HRBodies/UPR/Pages/Documentation.aspx
- https://tbinternet.ohchr.org/_layouts/15/treatybodyexternal/TBSearch.aspx?Lang=en&TreatyID=8&DocTypeID=5
- https://globalprivacyassembly.org/wp-content/uploads/2020/10/Day-1-1_2a-Day-3-3_2b-v1_0-Policy-Strategy-Working-Group-WS1-Global-frameworks-and-standards-Report-Final.pdf
- https://www.afapdp.org/lafapdp/membres
- https://www.cnil.fr/en/data-protection-around-the-world
- raporty NGOs, organizacji międzynarodowych,
- raporty izb handlowych, firm konsultingowych, kancelarii prawnych etc.,
- dokumentacja importera – warrant canaries, sprawozdania, raporty (pomimo wskazania ich wprost w Rekomendacjach EROD 01/2021 organy nadzorcze mogą uznać informację o braku ingerencji służb za niewystarczającą, jeśli prawo dostęp ten gwarantuje).
- https://www.gov.uk/government/collections/human-rights-and-democracy-reports
- orzeczenia ETPCz, orzeczenia TSUE (Schrems II), decyzje organów nadzorczych i orzeczenia sądów krajowych,
- wytyczne i opracowania WP29, EROD (np. dokument EROD „Government access to data in third countries"),
- https://www.coe.int/en/web/data-protection/reports-studies-and-opinions
- https://www.oas.org/en/iachr/reports/country.asp
- https://www.ohchr.org/EN/HRBodies/UPR/Pages/Documentation.aspx
- https://tbinternet.ohchr.org/_layouts/15/treatybodyexternal/TBSearch.aspx?Lang=en&TreatyID=8&DocTypeID=5
- https://globalprivacyassembly.org/wp-content/uploads/2020/10/Day-1-1_2a-Day-3-3_2b-v1_0-Policy-Strategy-Working-Group-WS1-Global-frameworks-and-standards-Report-Final.pdf
- https://www.afapdp.org/lafapdp/membres
- https://www.cnil.fr/en/data-protection-around-the-world
- raporty NGOs, organizacji międzynarodowych,
- raporty izb handlowych, firm konsultingowych, kancelarii prawnych etc.,
- dokumentacja importera – warrant canaries, sprawozdania, raporty (pomimo wskazania ich wprost w Rekomendacjach EROD 01/2021 organy nadzorcze mogą uznać informację o braku ingerencji służb za niewystarczającą, jeśli prawo dostęp ten gwarantuje).
Czy w państwie-odbiorcy obowiązują przepisy o ochronie danych osobowych?
Czy państwo trzecie uznaje prywatność i dane osobowe jako dobra chronione? Czy istnieją przepisy regulujące te kwestie?
Czy podmioty publiczne w państwie-odbiorcy respektują postanowienia przepisów o ochronie danych osobowych?
Istnienie samych przepisów nie gwarantuje ochrony. Państwa niepraworządne, nieprzestrzegające praw człowieka czy bez niezależnego sądownictwa nie będą gwarantowały należytej ochrony i wykonalności standardowych klauzul umownych i innych porozumień.
Czy państwo-odbiorca ustanowiło niezależny organ nadzorczy w zakresie ochrony danych osobowych?
Istnienie niezależnego organu nadzorczego (pomocny w ocenie będzie art. 52 RODO oraz m.in. narzędzie CNIL: https://www.cnil.fr/en/data-protection-around-the-world) może istotnie wpływać na możliwość nieproporcjonalnej ingerencji w prawa jednostki, a także na ocenę przestrzegania przepisów o ochronie danych osobowych.
Czy państwo-odbiorca jest stroną zobowiązań międzynarodowych w zakresie ochrony danych osobowych?
Członkowie Rady Europy i inne państwa mogą przyjąć Konwencję 108 lub jej zaktualizowaną wersję tzw. Konwencję 108+ (zob. https://www.coe.int/en/web/data-protection/convention108/parties). Ponadto mogą istnieć porozumienia dwustronne (jak np. Privacy Shield).
Federacja Rosyjska, pomimo wyjścia z Rady Europy, wciąż pozostaje stroną Konwencji 108 jako państwo niebędące członkiem Rady Europy, jakkolwiek nie ma podstaw, aby sądzić, że będzie ona przez ten kraj przestrzegana.
Odpowiedź można rozszerzyć o inne akty prawa międzynarodowego, np. Konwencję haską o umowach dotyczących właściwości sądu.
Federacja Rosyjska, pomimo wyjścia z Rady Europy, wciąż pozostaje stroną Konwencji 108 jako państwo niebędące członkiem Rady Europy, jakkolwiek nie ma podstaw, aby sądzić, że będzie ona przez ten kraj przestrzegana.
Odpowiedź można rozszerzyć o inne akty prawa międzynarodowego, np. Konwencję haską o umowach dotyczących właściwości sądu.
Czy przepisy o ochronie danych osobowych są zgodne ze standardem Unii Europejskiej?
Na podstawie poprzednich pytań kontrolnych eksporter powinien móc ocenić, czy przepisy są zgodne ze standardami UE.
EROD posługuje się terminem „problematyczne przepisy" (w naszym artykule z racji tłumaczenia bezpośrednio z oryginału: „problematyczne ustawodawstwo"), które to regulacje: 1) nakładają na odbiorcę danych osobowych z Unii Europejskiej obowiązki lub wpływają na przekazywane dane w sposób, który może naruszyć umowne gwarancje narzędzi przekazywania dotyczące merytorycznie równoważnego stopnia ochrony oraz 2) naruszają istotę podstawowych praw i wolności uznanych w Karcie praw podstawowych Unii Europejskiej lub wykraczają poza to, co jest niezbędne i proporcjonalne w społeczeństwie demokratycznym do ochrony jednego z ważnych celów uznanych również w prawie Unii lub państw członkowskich UE, takich jak cele wymienione w art. 23 ust. 1 RODO.
Może się okazać, że pomimo uznania przepisów za problematyczne eksporter uzna, że nie mają one zastosowania lub wpływu na dany transfer. Eksporter zatem powinien udokumentować, w jaki sposób problematyczne ustawodawstwo nie będzie stosowane do transferu/importera oraz w rezultacie nie uniemożliwi importerowi wykonania swoich zobowiązań na gruncie danego środka zabezpieczającego
EROD posługuje się terminem „problematyczne przepisy" (w naszym artykule z racji tłumaczenia bezpośrednio z oryginału: „problematyczne ustawodawstwo"), które to regulacje: 1) nakładają na odbiorcę danych osobowych z Unii Europejskiej obowiązki lub wpływają na przekazywane dane w sposób, który może naruszyć umowne gwarancje narzędzi przekazywania dotyczące merytorycznie równoważnego stopnia ochrony oraz 2) naruszają istotę podstawowych praw i wolności uznanych w Karcie praw podstawowych Unii Europejskiej lub wykraczają poza to, co jest niezbędne i proporcjonalne w społeczeństwie demokratycznym do ochrony jednego z ważnych celów uznanych również w prawie Unii lub państw członkowskich UE, takich jak cele wymienione w art. 23 ust. 1 RODO.
Może się okazać, że pomimo uznania przepisów za problematyczne eksporter uzna, że nie mają one zastosowania lub wpływu na dany transfer. Eksporter zatem powinien udokumentować, w jaki sposób problematyczne ustawodawstwo nie będzie stosowane do transferu/importera oraz w rezultacie nie uniemożliwi importerowi wykonania swoich zobowiązań na gruncie danego środka zabezpieczającego
3Dostęp służb specjalnych do danych osobowych w państwie trzecim
Czy dostęp do danych osobowych jest oparty na jasnych, precyzyjnych i dostępnych przepisach?
Pytanie to odnosi się do istnienia jasnych, precyzyjnych i dostępnych przepisów o randze ustawowej, które dają podstawę do ingerencji służb oraz ustalają minimalne środki zabezpieczające. Na przykładzie USA można wskazać art. 702 FISA czy rozporządzenie wykonawcze nr 12333, które jednak nie będą spełniały kolejnych punktów testu.
Czy dostęp do danych jest niezbędny i proporcjonalny w odniesieniu do określonych celów?
Pytanie to odzwierciedla znaną w prawie ochrony danych zasadę proporcjonalności, więc nasza ocena będzie podobna do testu równowagi, a zatem w podobny sposób trzeba będzie ocenić niezbędność ingerencji i jej wagę.
Niezbędne i proporcjonalne będą przede wszystkim przepisy dające osobom, których dane dotyczą, odpowiednie gwarancje i zabezpieczenia związane ze wskazaniem jasnych kryteriów dostępu służb do danych czy zapewnieniem drogi sądowej i nadzorem nad działaniem służb. Takiej niezbędności i proporcjonalności dokonał TSUE na przykładzie prawa USA w sprawie Schrems II
Niezbędne i proporcjonalne będą przede wszystkim przepisy dające osobom, których dane dotyczą, odpowiednie gwarancje i zabezpieczenia związane ze wskazaniem jasnych kryteriów dostępu służb do danych czy zapewnieniem drogi sądowej i nadzorem nad działaniem służb. Takiej niezbędności i proporcjonalności dokonał TSUE na przykładzie prawa USA w sprawie Schrems II
Czy istnieje mechanizm niezależnej kontroli nad działalnością służb specjalnych?
W świetle prawa unijnego wszelka ingerencja w prawo do prywatności i ochrony danych powinna podlegać skutecznemu, niezależnemu i bezstronnemu systemowi nadzoru, który musi być zapewniony przez sędziego lub inny niezależny organ.
Oznacza to, że na podstawie zebranych informacji powinno się ustalić, czy nad środkami nadzoru istnieje jakakolwiek kontrola i czy jest ona skuteczna. W przypadku wyroku Schrems II TSUE analizując działania wywiadu cywilnego stwierdził, że nadzór jest niewystarczający w przypadku art. 702 FISA, a w przypadku rozporządzenia wykonawczego nr 12333 brak jest nadzoru sądowego.
Oznacza to, że na podstawie zebranych informacji powinno się ustalić, czy nad środkami nadzoru istnieje jakakolwiek kontrola i czy jest ona skuteczna. W przypadku wyroku Schrems II TSUE analizując działania wywiadu cywilnego stwierdził, że nadzór jest niewystarczający w przypadku art. 702 FISA, a w przypadku rozporządzenia wykonawczego nr 12333 brak jest nadzoru sądowego.
Czy istnieją skuteczne środki ochrony prawnej osób, których dane dotyczą?
Ostatnia niezbędna gwarancja europejska dotyczy praw osób, których dane dotyczą, do skutecznego dochodzenia roszczeń przed niezależnym sądem lub innym organem.
Przykładowo, w sprawie Schrems II TSUE wskazało na brak praw przyznanych podmiotom danych, które można by egzekwować przed sądem, a fakt istnienia Rzecznika ds. Tarczy Prywatności nie daje możliwości podniesienia środka odwoławczego przed sądem lub innym organem.
Przykładowo, w sprawie Schrems II TSUE wskazało na brak praw przyznanych podmiotom danych, które można by egzekwować przed sądem, a fakt istnienia Rzecznika ds. Tarczy Prywatności nie daje możliwości podniesienia środka odwoławczego przed sądem lub innym organem.
4Analiza ryzyka
LEGENDA
W oparciu o poniższą legendę oszacuj prawdopodobieństwo zagrożenia:
(1) niskie prawdopodobieństwo – zmaterializowanie się potencjalnego zagrożenia praw i wolności osób, których dane dotyczą nie wydaje się możliwe dla wybranych źródeł ryzyka;
(2) średnie prawdopodobieństwo – zmaterializowanie się potencjalnego zagrożenia praw i wolności osób, których dane dotyczą wydaje się trudne dla wybranych źródeł ryzyka;
(3) wysokie prawdopodobieństwo – zmaterializowanie się potencjalnego zagrożenia praw i wolności osób, których dane dotyczą wydaje się możliwe dla wybranych źródeł ryzyka;
(4) bardzo wysokie prawdopodobieństwo – zmaterializowanie się potencjalnego zagrożenia praw i wolności osób, których dane dotyczą wydaje się nadzwyczaj łatwe dla wybranych źródeł ryzyka.
W oparciu o poniższą legendę oszacuj skutki zagrożenia dla praw i wolności osób których dane dotyczą:
(1) niskie skutki – osoby, których dane dotyczą, nie zostaną dotknięte skutkami zagrożenia albo spotkają je drobne niedogodności, które pokonają bez najmniejszych problemów (czas potrzebny na ponowne wprowadzenie danych, zniecierpliwienie, irytacja itp.);
(2) średnie skutki – osoby, których dane dotyczą, mogą napotkać znaczące niedogodności, które będą w stanie pokonać mimo pewnych trudności (dodatkowe koszty, strach, niezrozumienie, stres, drobne fizyczne urazy itp.);
(3) wysokie skutki – osoby, których dane dotyczą, mogą napotkać znaczące niedogodności, które powinny być w stanie pokonać, ale z poważnymi trudnościami (oszustwa finansowe, wpis na listę nieobsługiwanych klientów w bankach, szkody majątkowe, utrata zatrudnienia, pozwy, pogorszony stan zdrowia itp.);
(4) bardzo wysokie skutki – osoby, których dane dotyczą, mogą napotkać znaczące, a nawet nieodwracalne konsekwencje, których mogą nie pokonać (finansowe tarapaty, wynikające np. z niespłaconego długu lub niezdolności do pracy, długotrwałe psychologiczne lub fizyczne urazy, śmierć itp.).
Zagrożenie
Prawdopodobieństwo
Skutki
Ryzyko
5Wynik testu
Czy odbiorca danych jest w stanie zapewnić merytorycznie równoważny w stosunku do europejskiego poziom ochrony danych?
Biorąc pod uwagę poczynione przez siebie ustalenia oceń (m.in. kontekst przetwarzania, prawo i praktykę w państwie-odbiorcy, dostęp służb specjalnych do danych osobowych), czy odbiorca danych jest w stanie zapewnić porównywalny w stosunku do europejskiego poziom ochrony danych osobowych?
Decyzja administratora danych
Wskaż, jaką decyzję podjął administrator oraz uzasadnij ją. Dotyczy to również sytuacji, gdy administrator postanowił przekazać dane osobowe do państwa trzeciego, nawet pomimo negatywnego wyniku testu
Zastrzeżenie
Aby uzyskać miarodajny wynik i propozycję oceny ryzyka, należy wypełnić wszystkie pola kalkulatora. Każdy aspekt transferu danych osobowych powinien być analizowany indywidualnie, w szczególności w zakresie wykonania obowiązków określonych w art. 44-49 RODO. Z tego względu niniejszy kalkulator może stanowić co najwyżej narzędzie pomocnicze i nie może być samodzielną podstawą podejmowania decyzji przez jakikolwiek podmiot lub osobę, które korzystają z kalkulatora na własną odpowiedzialność. ODO 24 sp. z o.o. nie ponosi odpowiedzialności względem jakiegokolwiek podmiotu lub osoby, za jakiekolwiek skutki pośrednie lub bezpośrednie korzystania z kalkulatora, w szczególności w postaci szkód, obowiązku zapłaty odszkodowania lub zadośćuczynienia, nałożonych kar administracyjnych, utraty korzyści lub innych negatywnych konsekwencji.
Kalkulator TIA
Co to jest Transfer Impact Assessment (TIA) w kontekście RODO?
Transfer Impact Assessment (TIA), czyli ocena wpływu transferu danych na prawa i wolności osób fizycznych, to proces, który organizacje muszą przeprowadzić, aby ocenić ryzyko związane z przekazywaniem danych osobowych do krajów trzecich, tj. poza Europejski Obszar Gospodarczy (EOG) na podstawie standardowych klauzul umownych (SKU, ang. SCC) i innych środków zabezpieczających na gruncie art. 46 RODO. Wymóg ten wynika z orzeczenia Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w sprawie Schrems II.
Kiedy powinienem przeprowadzić ocenę wpływu transferu (TIA)?
Ocenę transferu danych (Transfer Impact Assessment, TIA) należy przeprowadzić przed planowanym transferem danych osobowych do państwa trzeciego, tj. poza Europejski Obszar Gospodarczy (EOG), gdy transfer ten opiera się na standardowych klauzulach umownych.
Zalecane jest także przeprowadzenie TIA w następujących przypadkach:
Przy zmianie przepisów w państwa trzeciego: W takim przypadku należy ocenić, czy te zmiany mają wpływ na poziom ochrony danych osobowych. Przy zmianie kontekstu transferu danych: W przypadku, gdy kontekst transferu danych się zmienia, np. jeśli zmianie ulega rodzaj danych, transferowany, lub zmienia się sposób ich przetwarzania, powinieneś przeprowadzić nową TIA.
Zalecane są także cykliczne sprawdzanie TIA. Celem tego działania jest weryfikacja czy organizacja jest w stanie zapewnić bezpieczeństwo przekazywanych danych i że transfer jest zgodny z wymogami RODO.
Jak przeprowadzić ocenę wpływu transferu (TIA) zgodnie z RODO?
TIA należy przeprowadzić w sposób usystematyzowany i szczegółowy, biorąc pod uwagę konkretne okoliczności transferu danych, w tym charakter, zakres, kontekst i cele przetwarzania.
Podstawowe kroki, które należy rozważyć przy przeprowadzaniu TIA obejmują:
- •Kontekst transferu: Pierwszym krokiem jest dokładne opisanie planowanego transferu. Powinno to obejmować informacje o rodzajach danych, które mają być przekazywane, celu transferu, stronach biorących udział w transferze, a także o tym, jak dane będą przetwarzane i chronione zarówno podczas transferu, jak i po przekazaniu ich do państwa trzeciego.
- •Ocena prawa i praktyki ochrony danych w państwie trzecim: Należy ocenić lokalne przepisy o ochronie danych w państwie trzecim, włącznie z prawem do prywatności, prawami osób, których dane dotyczą, oraz praktyką lokalnych organów nadzorczych (jeśli istnieją). Ocena niniejsza powinna uwzględniać również to, czy w państwie trzecim istnieją skuteczne środki prawne, które osoby, których dane dotyczą, mogą zastosować w razie naruszenia ich praw.
- •Ocena ryzyka transferu: Należy przeprowadzić analizę ryzyka, oceniając potencjalny wpływ planowanego transferu na prawa i wolności osób, których dane dotyczą. Ocena powinna uwzględniać zarówno prawdopodobieństwo, jak i potencjalną szkodliwość naruszenia.
- •Podjęcie decyzji: Na podstawie powyższych ocen, należy podjąć decyzję, czy przeprowadzić transfer danych. Jeśli transfer może być przeprowadzony bez narażania na nieproporcjonalne ryzyko praw i wolności osób, których dane dotyczą, możliwe jest przejście do następnego kroku. W przeciwnym razie, należy rozważyć zmianę planu transferu lub zastosowanie dodatkowych technicznych i organizacyjnych środków zabezpieczających.
- •Dokumentowanie TIA: Wszystkie informacje i decyzje związane z TIA powinny być odpowiednio udokumentowane. Dokumentacja TIA może okazać się potrzebna w przypadku kontroli przez organ nadzorczy, jako dowód spełnienia wymogów RODO.
- •Monitorowanie i aktualizacja TIA: TIA powinna być monitorowana i aktualizowana cyklicznie, zwłaszcza gdy nastąpią jakiekolwiek zmiany w kontekście transferu danych lub prawie państwa trzeciego.
Jakie elementy powinienem uwzględnić w ocenie wpływu transferu (TIA)?
W ramach TIA organizacja musi ocenić różne aspekty transferu danych, w tym:
- •Jakie dane osobowe są przekazywane? Jak są wrażliwe? Ile z nich jest dostępnych publicznie?
- •Skąd pochodzą te dane osobowe?
- •Jakie środki techniczne są używane do ochrony tych danych? Na przykład, jeżeli używane są klucze szyfrowania zarządzane przez klienta, możliwość dostępu do danych przez władze państwa trzeciego jest ograniczona.
- •Jakie przepisy obowiązują w państwie trzecim w tym obszarze? Jak są one stosowane w praktyce? Jak prawdopodobne jest ich zastosowanie w odniesieniu do konkretnego transferu danych osobowych?
TIA musi uwzględniać zarówno prawo jak i praktykę ochrony danych w państwie trzecim, a także istnienie niezależnego organu nadzorczego oraz jakiekolwiek zobowiązania międzynarodowe podjęte przez kraj trzeci. TIA powinna być monitorowana i aktualizowana na bieżąco w świetle ewentualnych zmian w prawie państwa trzeciego.
W ten sposób TIA umożliwia organizacjom bardziej kompleksową i elastyczną ocenę ryzyka, zamiast skupiać się wyłącznie na prawach obowiązujących w państwie trzecim. Obejmuje to również ocenę potencjalnego wpływu transferu danych na prawa i wolności osób, których dane dotyczą.
Jakie są konsekwencje nieprzeprowadzenia oceny wpływu transferu (TIA), gdy jest wymagana?
Nieprzeprowadzenie wymaganej oceny wpływu transferu danych (TIA) może prowadzić do różnych konsekwencji, które mogą mieć poważny wpływ na działalność organizacji. Oto niektóre z nich:
- •Naruszenia ochrony danych: Jeśli dane osobowe są przesyłane do państwa trzeciego bez odpowiedniej TIA, może to prowadzić do naruszeń ochrony danych, które mogą skutkować karami finansowymi oraz innymi konsekwencjami.
- •Kary finansowe: RODO przewiduje znaczne kary finansowe za naruszenia, w tym niewłaściwe przeprowadzenie TIA. Kary mogą wynosić do 20 mln euro lub 4% globalnego obrotu rocznego organizacji, w zależności od tego, która kwota jest wyższa.
- •Strata reputacji: Organizacje, które nie przestrzegają przepisów RODO, mogą doświadczyć poważnej szkody dla swojej reputacji, co może wpływać na utratę zaufania klientów i partnerów biznesowych.
- •Zawieszenie transferu danych: Organ nadzorczy może nakazać zawieszenie transferu danych do kraju trzeciego, jeśli stwierdzi, że nie została przeprowadzona odpowiednia TIA. Taki nakaz może działalność organizacji, zwłaszcza jeśli transfer danych jest kluczowy dla jej operacji.
Czy każda organizacja, która transferuje dane osobowe do USA musi przeprowadzić ocenę wpływu transferu (TIA)?
W przypadku transferów opartych na decyzji wykonawczej z 10 lipca 2023 r. wydanej na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, stwierdzającą odpowiedni stopień ochrony danych osobowych zapewniony w ramach ochrony danych UE-USA, jeżeli dane są przekazywane podmiotom certyfikowanym w ramach programu DPF, wykonanie TIA nie będzie konieczne.
Jeżeli jednak DPF nie ma zastosowania, to zgodnie z orzeczeniem TSUE w sprawie Schrems II, organizacje mają obowiązek przeprowadzenia oceny wpływu na transfer danych (Transfer Impact Assessment, TIA), jeżeli dane są przesyłane poza Europejski Obszar Gospodarczy (EOG) na podstawie tzw. standardowych klauzul umownych (SCC).
Jak często powinienem przeprowadzać ocenę wpływu transferu (TIA)?
Nie ma ustalonego standardu, jak często powinno się przeprowadzać TIA. Decyzja o częstotliwości przeprowadzania oceny wpływu na transfer danych (Transfer Impact Assessment, TIA) powinna być podyktowana kilkoma czynnikami, w tym:
- •Zmiennością prawa i praktyki w kraju, do którego dane są transferowane.
- •Zmianami w charakterze i zakresie przesyłanych danych.
- •Zmianami w zastosowanych środkach ochrony danych.
- •Częstością i skalą transferów danych, które przeprowadza organizacja.
W praktyce oznacza to, że TIA powinna być przeprowadzana przy każdej znaczącej zmianie w jednym z powyższych czynników. Ponadto, TIA powinna być przeprowadzana cyklicznie, nawet jeśli nie wystąpiły żadne znaczące zmiany, aby upewnić się, że dokonana ocena jest nadal aktualna. Celem tego działania jest weryfikacja, czy organizacja jest w stanie zapewnić bezpieczeństwo przekazywanych danych i że transfer jest zgodny z wymogami RODO.
Jakie są kluczowe różnice między oceną wpływu transferu (TIA) a oceną skutków dla ochrony danych (DPIA)?
Ocena wpływu na transfer danych (Transfer Impact Assessment, TIA) oraz ocena skutków dla ochrony danych (Data Protection Impact Assessment, DPIA) to dwa odrębne procesy wymagane przez RODO, które służą różnym celom, mają inny zakres i inne kryteria.
- •Cel: DPIA ma na celu identyfikację i zminimalizowanie ryzyka związanego z przetwarzaniem danych osobowych, szczególnie w przypadku nowych projektów lub technologii, które mogą mieć duży wpływ na prawa osób, których dane dotyczą. Z kolei TIA służy do oceny ryzyka związanego z transferem danych osobowych do państwa trzeciego, szczególnie w kontekście ochrony tych danych przed dostępem przez władze tego państwa.
- •Zakres: DPIA obejmuje całość przetwarzania danych osobowych w ramach danej operacji lub systemu, natomiast TIA koncentruje na aspekcie transferu danych poza EOG.
- •Kryteria: DPIA bada różne aspekty przetwarzania danych, w tym cel przetwarzania, kategorie danych, które są przetwarzane, zasady bezpieczeństwa danych, itp. TIA koncentruje się natomiast na ocenie prawa i praktyki w państwie trzecim, technicznych i organizacyjnych środkach zabezpieczeniach podczas transferu, a także na rodzaju i wrażliwości danych, które są przesyłane.
- •Z czego wynika konieczność przeprowadzania: DPIA jest wymagane przez art. 35 RODO w przypadkach, gdy przetwarzanie danych jest prawdopodobnie niesie ze sobą wysokie ryzyko dla praw i wolności osób fizycznych. Z kolei wymóg przeprowadzenia TIA wynika m.in. z art. 46 ust. 1 RODO i orzeczenia ws. Schrems II.
Niezależnie od powyższego, nic nie stoi na przeszkodzie, aby TIA lub wnioski z TIA stanowiły część DPIA.
Jak dokumentować ocenę wpływu transferu (TIA)?
Nie ma ustalonych standardów dotyczących dokumentowania TIA. Dokumentacja TIA powinna być przechowywana w sposób bezpieczny, a także być dostępna na żądanie organu nadzorczego. W zależności od rozmiaru i złożoności organizacji oraz charakteru danych, dokumentacja może przybrać formę formalnego raportu lub być częścią szerszego dokumentu dotyczącego zarządzania danymi i ryzykiem.
Czy istnieją jakieś narzędzia lub szablony, które mogą pomóc w przeprowadzeniu oceny wpływu transferu (TIA)?
Przykładowym narzędziem, które może pomóc w przeprowadzeniu oceny wpływu transferu (TIA) jest Kalkulator TIA przygotowany przez ODO 24.
Ważne jest, aby pamiętać, że choć narzędzia i szablony mogą ułatwić proces przeprowadzania TIA, nie zastąpią one kompleksowej oceny prawniczej i technicznej, która jest wymagana dla prawidłowego przeprowadzenia TIA. Przeprowadzenie TIA to złożony proces, który zależy od konkretnego kontekstu organizacji i danych, które są transferowane. Dlatego organizacje powinny skonsultować się z ekspertami w dziedzinie ochrony danych, aby upewnić się, że przeprowadzają TIA w sposób zgodny z wymogami prawa.
