Jak dodatkowo zabezpieczać dane osobowe po orzeczeniu Schrems II – Europejska Rada Ochrony Danych przyjęła zalecenia w sprawie środków uzupełniających.

Spodziewane i oczekiwane Zalecenia EROD pomogą przedsiębiorstwom określić dodatkowe działania, które muszą wdrożyć, aby zastosować się do decyzji Schrems II Trybunału Sprawiedliwości UE.

11 listopada 2020 r. Europejska Rada Ochrony Danych („EROD”) ogłosiła, że podczas 41. sesji plenarnej przyjęła Zalecenia dotyczące środków uzupełniających narzędzia transferu w celu zapewnienia zgodności z przewidzianym prawem unijnym poziomem ochrony danych osobowych („Zalecenia w sprawie uzupełniających środków przetwarzania danych”), a także Zalecenia uzupełniające w sprawie europejskich podstawowych gwarancji dotyczących środków nadzoru („Zalecenia w sprawie nadzoru”).

EROD w szczególności podkreśliła, że zarówno Zalecenia w sprawie uzupełniających środków przetwarzania danych, jak i Zalecenia w sprawie nadzoru zostały przyjęte w następstwie orzeczenia Trybunału Sprawiedliwości Unii Europejskiej („TSUE”) w sprawie Data Protection Commissioner przeciwko Facebook Ireland Limited, Maximillian Schrems (C-311/18) („sprawa Schrems II”). W założeniu, Zalecenia w sprawie uzupełniających środków przetwarzania danych mają na celu pomóc administratorom danych i podmiotom przetwarzającym dane działającym w charakterze eksporterów danych w określeniu i wdrożeniu odpowiednich środków uzupełniających, gdy są one potrzebne do zapewnienia równoważnego poziomu ochrony danych przekazywanych przez nich do państw trzecich. Ponadto EROD zauważyła, że wyrok TSUE umożliwił eksporterom dodanie środków uzupełniających standardowe klauzule umowne w celu zapewnienia skutecznego przestrzegania tego poziomu ochrony w przypadkach, gdy zabezpieczenia zawarte w standardowych klauzulach umownych nie są wystarczające.

Orzeczenie Schrems II

16 lipca 2020 r. TSUE wydał orzeczenie w sprawie Schrems II (C-3111/18), w którym zakwestionował mechanizmy przekazywania danych osobowych między UE a USA, wskazując, że prawo USA nie przewiduje ochrony odpowiadającej wymogom przewidzianym przez standardy ochrony danych osobowych w UE. W tej przełomowej decyzji TSUE zlikwidował „Privacy Shield”, jeden z najczęściej stosowanych mechanizmów umożliwiających przekazywanie i przechowywanie danych osobowych przetwarzanych przez europejskie przedsiębiorstwa w USA.

Następnie TSUE uznał, że nadal podstawą przekazywania danych osobowych do USA mogą być standardowe klauzule umowne, kolejny popularny mechanizm transatlantyckiego przekazywania danych, stwierdzając, że umożliwia on w praktyce zapewnienie zgodności z poziomem ochrony wymaganym przez prawo UE.

Schrems II zobowiązuje jednak administratorów danych osobowych do oceny poziomu ochrony danych w kraju odbiorcy danych oraz do zawieszenia przetwarzania danych osobowych w przypadku uznania go za nieodpowiedni. Decyzja podkreśla również istotny obowiązek każdego organu ochrony danych we wszystkich państwach członkowskich UE do zawieszenia przekazywania danych osobowych, jeśli uzna je za niebezpieczne zgodnie z wymogami UE w zakresie ochrony danych osobowych.

Przyjęte zalecenia

Zalecenia w sprawie uzupełniających środków przekazywania danych

Wydając Zalecenia w sprawie uzupełniających środków przetwarzania danych, EROD podkreśliła, że dąży do spójnego stosowania Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”) oraz orzeczenia TSUE w całym EOG. Ponadto EROD podkreśliła, że Zalecenia w sprawie uzupełniających środków w zakresie przetwarzania danych zawierają zestawienie kroków, które eksporterzy danych muszą wykonać, aby zweryfikować, czy konieczne jest wprowadzenie środków uzupełniających, aby móc przekazywać dane poza EOG zgodnie z prawem UE, oraz pomóc im w określeniu tych środków. Dalej, Zalecenia określają niewyczerpujący wykaz przykładów środków uzupełniających, które pomogłyby w eksporcie danych w sposób odpowiadający wymogom RODO.

Jednakże EROD podkreśliła, że ostatecznie to eksporterzy danych są odpowiedzialni za dokonanie „konkretnej oceny” transferu, prawa państw trzecich i narzędzia transferu, na którym się opierają, oraz że muszą „postępować z należytą starannością” i „dokładnie dokumentować swój proces”, ponieważ będą odpowiadać za decyzje, które podejmują na tej podstawie, zgodnie z zasadą odpowiedzialności przewidzianą przepisami RODO.

W szczególności Zalecenia w sprawie uzupełniających środków przetwarzania danych odnoszą się do zasady rozliczalności w ramach przekazywania danych (administrator powinien być w stanie wykazać, że stosowane przez niego metody są zgodne z RODO oraz skuteczne), która ma być stosowana odpowiednio do poniższych kroków:

• znajomość czynności przetwarzania danych;
• określenie mechanizmu przekazywania danych, na którym należy się oprzeć;
• ocena, czy przyjęty mechanizm przekazywania danych jest skuteczny;
• przyjęcie środków uzupełniających;
• po określeniu skutecznych środków uzupełniających podjęcie kroków proceduralnych, związanych z konkretnym mechanizmem przekazywania danych;
• monitorowanie i ponowna ocena w odpowiednich odstępach czasu.

Ponadto załącznik nr 2 do Zaleceń w sprawie uzupełniających środków przetwarzania danych zawiera niewyczerpujący wykaz przykładów uzupełniających środków, w tym:

• środki techniczne;
• dodatkowe środki umowne;
• środki organizacyjne.

Zalecenia w sprawie nadzoru

W odniesieniu do Zaleceń dotyczących nadzoru EROD podkreśliła, że zapewniają one eksporterom danych elementy pozwalające ustalić, czy ramy prawne regulujące dostęp organów publicznych do danych do celów nadzoru w państwach trzecich można uznać za uzasadnioną ingerencję w prawo do prywatności i ochrony danych osobowych, a tym samym za niewpływające na narzędzie przekazu, na którym opierają się eksporterzy i importerzy danych, zgodnie z art. 46 RODO.

Ponadto w Zaleceniach w sprawie nadzoru podkreślono następujące istotne gwarancje europejskie:

• jasne, precyzyjne i dostępne zasady przetwarzania;
• wykazanie konieczności i proporcjonalności przetwarzania w stosunku do uzasadnionych celów;
• istnienie niezależnego mechanizmu nadzoru;
• istnienie skutecznych środków zapobiegawczych dostępnych dla indywidualnych podmiotów.

Uwagi końcowe

Zalecenia dotyczące środków uzupełniających i Zalecenia w sprawie nadzoru zostały obecnie przedłożone do konsultacji społecznych. Będą one stosowane natychmiast po ich opublikowaniu.

Zalecenia dotyczące dodatkowych środków przetwarzania danych można przeczytać TUTAJ, a Zalecenia dotyczące nadzoru TUTAJ.