Kolejna zalecenia dla przetwarzania danych w USA po wyroku „Schrems II”

W związku z wydaniem w dniu 16 lipca 2020 r.  przez TSUE wyroku w sprawie Shrems II (C-311/18), Europejska Rada Ochrony Danych (EROD), w trakcie swojego posiedzenia w dniu 10 listopada 2020 roku, sformułowała zalecenia dotyczące środków uzupełniających narzędzia przekazywania danych w celu zapewnienia zgodności ze stopniem ochrony danych osobowych UE.

Z opublikowanych zaleceń wynika, że każdy z administratorów oraz podmiotów przetwarzających, przekazując dane osobowe do kraju trzeciego, będzie musiał ponownie ocenić, czy system ochrony danych w kraju trzecim, jest równoważny z unijnym systemem ochrony oraz, czy powzięte przez niego środki ochrony tych danych, są wystarczające.

W tym celu administrator oraz podmiot przetwarzający powinni przeprowadzić szczegółowo opisany w omawianych zaleceniach 6-etapowy proces, który wygląda następująco:

1/ ustalenie, jakim podmiotom, mającym siedzibę poza EOG, administrator oraz podmiot przetwarzający przekazują dane osobowe;

2/ zweryfikowanie podstawy przekazywania danych do państw trzecich, mając na uwadze wydane przez KE decyzje stwierdzające odpowiedni stopień ochrony danych osobowych w konkretnym kraju trzecim. Obecnie takie decyzje zostały wydane dla kilku państw: Andora, Argentyna, Kanada, Wyspy Owcze Guernsey, Izrael, Wyspa Man, Japonia, Jersey, Nowa Zelandia, Szwajcaria oraz Urugwaj.  Dopóki ww. decyzje pozostają w mocy, administrator oraz podmiot przetwarzający, przekazujący dane do wspomnianych krajów, nie muszą podejmować żadnych działań, poza bieżącym monitorowaniem, czy decyzja o adekwatności pozostaje nadal ważna;

W ramach ciekawostki, należy wskazać, że w chwili obecnej pewnym jest, że wymogu z etapu 2 nie spełnia przesyłanie danych osobowych do USA z racji unieważnienia przez TSUE decyzji KE 2016/1250 w sprawie adekwatności ochrony zapewnianej danym osobowym przekazywanym do USA przez Tarczę Prywatności UE – USA, a więc do takich firm jak: Google, Microsoft, Facebook oraz innych, które mają swoje siedziby w USA.

3/ W razie braku ww. decyzji bądź występowania decyzji przesądzającej o braku odpowiedniego stopnia ochrony, przekazanie danych osobowych do kraju trzeciego musi opierać się na jednym z narzędzi regularnego i powtarzającego się transferu, zgodnie z art. 46 RODO, tj. na:

 a/ wiążących regułach korporacyjnych (BCR), np. przyjętych Politykach prywatności

 b/ standardowych klauzulach umownych (SCC), przyjętych przez KE, dostępnych pod adresami:

 https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32001D0497

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32004D0915

https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1401799946706&uri=CELEX:32010D0087

Na skutek wydania wyroku w sprawie Shrems II, KE opracowała projekty nowych SCC, które są aktualnie procedowane przez EROD. Zalecenia co do ich stosowania zostaną powinny pojawić się na stronie EROD w najbliższym czasie, o czym będziemy informować na bieżąco.

c/ oraz, w przypadku, gdy nie obowiązują wiążące reguły korporacyjne – na podstawie zgody wyrażonej przez osobę, której dane dotyczą, pod warunkiem, że zostanie ona poinformowana o ewentualnym ryzyku, z którymi może się dla niej wiązać przekazanie danych osobowych do kraju trzeciego (art. 49 ust. 1 lit. a RODO).

W tym etapie administrator oraz podmiot przetwarzający powinien dokonać oceny, czy stosowane przez niego narzędzie jest wystarczające dla zapewnienia odpowiedniego poziomu ochrony danych.

4/ W przypadku odpowiedzi negatywnej, wymagane jest zastosowanie przez administratora oraz podmiot przetwarzający uzupełniających środków ochronnych (prawnych, organizacyjnych i technicznych), aby poziom ochrony został zrównany z ochroną unijną. Jako przykłady takich środków EROD wskazała:

• szyfrowanie przekazywanych danych;
• maskowanie adresów IP;
• minimalizacja zakresu danych objętych transferem, w tym ograniczenie do minimum transferu danych szczególnej kategorii (tzw. „danych wrażliwych”);
• umowne ograniczenie odbiorcy danych dostępu do tych danych (np. tylko w zakresie w jakim jest to niezbędne dla świadczenia przez niego usług);
• obowiązek odbiorcy danych poinformowania podmiotu dokonującego transferu o żądaniach ujawnienia danych organów ścigania (gdy obowiązek ujawnienia danych wynika z bezwzględnie obowiązujących przepisów prawa);
• obowiązek odbiorcy danych poinformowania podmiotu dokonującego transferu o wszelkich zmianach w prawie państwa trzeciego, uniemożliwiających dalsze przetwarzanie danych zgodnie z standardem UE;
• obowiązek odbiorcy danych udostępnienia podmiotowi dokonującemu transferu informacji, które umożliwią właściwe przeprowadzenie oceny ryzyka (np. informacji o stosowanych przez odbiorcę procedurach i środkach bezpieczeństwa przetwarzania danych, posiadanych certyfikatach itp.);
• „regionalizacja” przetwarzania danych, czyli możliwość wyboru lokalizacji przechowywania danych na terytorium EOG (np. przechowywanie danych cyfrowych w serwerowni spółki amerykańskiej zlokalizowanej w Niemczech);
• posiadanie przez odbiorców danych stosownych certyfikatów bezpieczeństwa (np. norm bezpieczeństwa ISO itp.).

Bardzo istotną kwestią jest również udokumentowanie przeprowadzonej oceny, zgodnie z zawartą w art. 5 ust. 2 RODO zasadą rozliczalności, w postaci aktualizacji obowiązującej w danym podmiocie analizy ryzyka, wprowadzenie zmian w treści Polityk prywatności, obowiązków informacyjnych w zakresie wskazanej podstawy prawnej przekazywania danych osobowych do państw trzecich, w umowach powierzenia z odbiorcami przekazywanych danych w zakresie precyzyjnego określenia celu przetwarzania przekazywanych danych, zmiany podstawy prawnej przekazywania danych, stosowanych środków ochrony danych oraz poszerzenia obowiązków odbiorcy danych wg wskazań z punktu 4.Ostatnim krokiem w tym zakresie, zalecanym przez KE, jest dokonywanie regularnego, w odpowiednich odstępach czasu, monitorowania zmian w przepisach państw trzecich dotyczących ochrony danych osobowych i dokonywanie w razie potrzeby ponownej oceny bezpieczeństwa przekazywania danych do kraju trzeciego.

Podsumowując, z punktu widzenia jednostkowych administratorów danych osobowych, którzy w ramach swojej bieżącej działalności gospodarczej, wykorzystują wiele programów i aplikacji, dostarczanych przez firmy z krajów trzecich, w szczególności takich jak: Microsoft, Google, Facebook itp., niezbędne jest zapoznanie się z nowymi zasadami przekazywania danych osobowych ww. firmom. Podmioty te na bieżąco starają się dostosowywać warunki przetwarzania danych osobowych dotyczące świadczonych przez nich usług, tak aby w jak największym stopniu były one zbieżne z wyznaczonym przez UE standardem ochrony danych. Informację w tej sprawie można odnaleźć na stronie (Microsoft): https://www.microsoft.com/en-us/licensing/product-licensing/products , w części pn. „Online Services Data Protection Addendum (DPA)” oraz na stronie (Google): https://support.google.com/a/answer/2888485?hl=pl . Ponadto, administrator, decydując się na przekazywanie danych na podstawie zgody osoby, której dane dotyczą, powinien poinformować ją o takim przekazywaniu i wiążącym się z tym ryzykiem, co powinno przybrać formę stosowanego komunikatu, zawartego w Polityce prywatności bądź obowiązku informacyjnym oraz uzyskać zgodę tej osoby, najlepiej w formie dokumentowej, dla spełnienia zasady rozliczalności z art. 5 ust. 2 RODO.