Czy w przypadku stosowania nowych SCC, konieczne jest podjęcie dodatkowych kroków, w celu zapewnienia zgodności z wyrokiem w sprawie Schrems II? Czy nadal konieczne jest uwzględnianie wskazówek EROD?

ODPOWIEDŹ

Zgodnie z wyrokiem Trybunału Sprawiedliwości UE w sprawie Schrems II (C-311/18), klauzula 14 wymaga od stron, aby przed zawarciem SCC oceniły, czy przepisy i praktyki państwa trzeciego, do którego dane są przekazywane, a mające zastosowanie do przetwarzania danych osobowych przez podmiot odbierający dane, mogłyby uniemożliwić temu podmiotowi przestrzeganie klauzul. Dokonując "oceny skutków przekazania", strony powinny uwzględnić w szczególności okoliczności przekazania (np. kategorie i format danych, rodzaj odbiorcy, sektor gospodarki, w którym następuje przekazanie, oraz długość łańcucha przetwarzania) oraz przepisy i praktyki mające zastosowanie. Ocena skutków przekazania dokonywana jest w celu ustalenia, czy przepisy i obowiązujące praktyki w państwie trzecim, nie wykraczają poza to, co jest konieczne i proporcjonalne w demokratycznym społeczeństwie, do realizacji jednego z celów wymienionych w art. 23 ust. 1 RODO.

Strony w ramach oceny, mogą wziąć pod uwagę różne czynniki (zob. punkt 14, przypis 12); takie jak wiarygodne informacje na temat stosowania prawa w praktyce (np. orzecznictwo sprawozdania niezależnych organów), istnienie lub brak żądań organów o ujawnienie informacji w tym samym sektorze oraz, przy spełnieniu ściśle określonych warunków, udokumentowane doświadczenie praktyczne podmiotu przekazującego i/lub odbierającego dane. W przypadku negatywnej oceny, strony mogą przekazywać dane na podstawie SCC tylko wówczas, gdy wdrożą dodatkowe ("uzupełniające") zabezpieczenia (np. środki techniczne zapewniające bezpieczeństwo danych, takie jak szyfrowanie typu "end-to-end"), które są właściwe dla okoliczności i zapewniają zgodność z klauzulami. To samo dotyczy sytuacji, gdy podmiot przekazujący dane w późniejszym czasie uzyska informację, że podmiot odbierający dane nie jest już w stanie przestrzegać postanowień SCC, także na skutek zmiany przepisów w państwie trzecim. Podmiot przekazujący dane będzie wówczas zobowiązany do wstrzymania przekazywania danych, jeżeli uzna, że nie można zapewnić odpowiednich zabezpieczeń, lub jeżeli otrzyma takie polecenie od właściwego organu nadzorczego.

SCC (Klauzula 14) nie powinny być interpretowane w oderwaniu od innych przepisów, ale powinny być stosowane wraz ze szczegółowymi wytycznymi przygotowanymi przez Europejską Radę Ochrony Danych (EROD). Zob. Zalecenia 01/2020 w sprawie środków uzupełniających narzędzia przekazywania danych w celu zapewnienia zgodności ze stopniem ochrony danych osobowych UE (18 czerwca 2021 r.) (dostępne pod adresem: https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf

Zalecenia zawierają mapę drogową działań podejmowanych w ramach oceny, wykaz możliwych źródeł informacji na potrzeby oceny (załącznik 3) oraz przykłady środków uzupełniających (załącznik 2).