FAQ Europejskiej Radu Ochrony Danych dotyczące wyroku Schrems II (TSUE C-311/18)

Europejska Rada Ochrony Danych opublikowała dokument tzw. FAQ, w którym znajdują się odpowiedzi na najczęściej zadawane pytania z związku z niedawnym unieważnieniem Privacy Shield. EROD we wskazanym dokumencie dokonuje wyjaśnień oraz udziela wskazówek w zakresie przekazywania danych osobowych do państw trzecich w obecnej sytuacji.  Poniżej zamieszczamy krótkie omówienie oraz link do komunikatu UODO, który zawiera nieoficjalne tłumaczenie FAQ.

Co Trybunał orzekł w swoim wyroku?

Jak już wspominaliśmy w EU-US Privacy Shield is invalid! O co chodzi? Co dalej? Trybunał zbadał kwestie dotyczące legalności transferu danych do USA – na warunkach Privacy Shield oraz standardowych klauzul ochrony danych. Privacy Shield została uznana za nieważną jednak TSUE uznał skuteczność stosowania w transferze danych do państw trzecich standardowych klauzul ochrony danych. W związku z tym klauzule w dalszym ciągu uznawane są za legalną podstawę przekazywania danych osobowych do podmiotów z państw trzecich, ale… pod warunkiem, że istnieją realne gwarancje, że zapewnimy skuteczne mechanizmy ochrony danych osobowych na poziomie odpowiadającym tym zapewnionym w Unii Europejskiej. Należy wskazać, że jeżeli w toku własnej analizy stwierdzimy, że istnieje ryzyko naruszenia bądź niemożności przestrzegania tych klauzul – przekazywanie danych osobowych powinno być zawieszone lub zakazane.

Dodatkowo, TSUE wskazał, że podmiot przekazujący dane osobowe na tej podstawie oraz podmiot odbierający te w państwie trzecim dane mają obowiązek sprawdzenia przed ich przekazywaniem czy stopień ochrony jest przestrzegany. Ponadto podmiot odbierający dane musi poinformować podmiot przekazujący o niemożności wywiązania się z przestrzegania wskazanych reguł. W przypadku niemożności wywiązania się z obowiązków przez podmiot odbierający, w tym także skorzystania z tzw. środków uzupełniających, podmiot przekazujący dane ma obowiązek zawiesić przekazywanie danych bądź rozwiązać umowę z podmiotem odbierającym dane.

Czy wyrok Trybunału ma wpływ na inne narzędzie służące do przekazywania danych niż Tarcza Prywatności?

Tak.

Po pierwsze, wyrok ma zastosowanie do każdego przekazywania danych osobowych do Stanów Zjednoczonych niezależnie od wykorzystanego narzędzia. Kolejno, ma także zastosowanie do innych państw trzecich – zabezpieczenia powinny odpowiadać poziomem tych, które obowiązują w Unii Europejskiej. Wyrok odcisnął piętno na generalnych zasadach transferu danych do państw trzecich.

Czy istnieje jakiś okres karencji, w którym mogę nadal przesyłać dane do USA bez oceny podstawy prawnej do przekazywania danych?

Nie ma takiego okresu.

Przesyłanie danych osobowych do USA na podstawie nieważnej decyzji jest niezgodne z prawem. EROD wskazuje, że każdorazowo należy dokonać oceny podstawy prawnej przekazywania danych osobowych.

Przesyłałem dane do amerykańskiego podmiotu odbierającego dane, który przestrzega Tarczy Prywatności, co powinienem teraz zrobić?

Z racji unieważnienia decyzji w sprawie Tarczy Prywatności, przesyłanie danych osobowych na jej podstawie jest nielegalne – bo brak podstawy prawnej.

W takim przypadku należy poszukać innej podstawy prawnej, takiej jak standardowe klauzule umowne bądź wiążące reguły korporacyjne. W dalszym ciągu należy dokonać oceny adekwatności poziomu ochrony.

Czyli jeżeli transferujesz dane do USA:

1. Zweryfikuj odbiorcę danych np. dostawcę usług
2. Sprawdź czy relacja opiera się na stosowaniu standardowych klauzul ochrony danych, wiążących regułach korporacyjnych czy jedynie na Privacy Shield
3. Jeżeli tak – zweryfikuj stan gwarancji, oświadczenia/deklaracje odbiorcy, oceń ryzyko ingerencji/dostępu organów USA do danych dane oraz sprawdź czy poziom ochrony i sposób przetwarzania deklarowany przez odbiorcę (również w aspekcie realizacji uprawnień podmiotu danych) odpowiada temu w UE
4. Jeżeli nie – wstrzymaj przetwarzanie i relokuj procesy do UE bądź innego państwa trzeciego spełniającego kryteria umożliwiające transfer

Używam standardowe klauzule umowne z podmiotem odbierającym dane w USA, co powinienem zrobić?

EROD wskazała, że należy dokonać oceny odbiorcy biorąc pod uwagę:

• okoliczności przekazywania danych osobowych oraz
• ewentualne środki uzupełniające

Wynik takiej analizy, także podejmowanej każdorazowo, powinien zapewnić, że prawo amerykańskie nie będzie negatywnie wpływać na odpowiedni poziom ochrony danych osobowych. Jeżeli poziom będzie poniżej odpowiedniego, jak wskazuje EROD, należy zawiesić lub zakończyć przekazywanie danych osobowych. Jeśli jednak dane będą dalej przekazywane pomimo oceny „nie spełnia” należy zgłosić fakt transferu właściwemu organowi nadzorczemu. Jednak zalecane byłoby relokowanie procesów do UE bądź innego państwa trzeciego spełniającego kryteria umożliwiające transfer.

Używam wiążących reguł korporacyjnych („BCR”) z podmiotem w USA; co należy zrobić?

W tym przypadku także należy dokonać oceny takiej jak w przypadku standardowych klauzul umownych.

EROD wskazuje taką samą ścieżkę postępowania jak ta opisania wyżej.

Co z innymi narzędziami przekazywania danych na podstawie art. 46 RODO (przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń)?

EROD zobowiązał się do sprawdzenia zgodności innych narzędzi służących do przekazywania danych osobowych w związku z wyrokiem TSUE.

Czy mogę polegać na wyjątkach z art. 49 RODO by przekazywać dane do USA?

Art. 49 RODO określa możliwości transferu danych do Państw trzecich nawet wtedy gdy nie znajdują zastosowanie kryteria transferu wyrażone w art. 45-46 RODO i wtedy transfer może być prowadzony, ale tylko gdy zachowane będą warunki określone w tym przepisie. Przekazywanie danych osobowych może odbywać się min. na podstawie:

• zgody (wyraźna, szczegółowa oraz świadoma, szczególnie względem wystąpienia ryzyka przekazywania)
• jeśli przekazywanie jest niezbędne dla wykonania umowy między osobą, której dane dotyczą, a administratorem (przekazywanie ma charakter sporadyczny)
• jeśli przekazywanie jest niezbędne z uwagi na ważne względy interesu publicznego

Czy mogę nadal wykorzystywać standardowe klauzule umowne lub wiążące reguły korporacyjne by przekazywać dane do państwa trzeciego innego niż USA?

Tak jeśli po dokonaniu oceny (tak jak opisywana wyżeJ) podmiot stwierdzi, że poziom ochrony jest odpowiedni.

EROD przypomniała również, że odpowiedzialność za dokonanie samodzielniej analizy spoczywa na podmiotach przekazujących oraz odbierających dane. EROD wyraziła przekonanie, że organy nadzorcze będą odgrywać kluczową rolę by zapewnić spójność stanowisk.

Jakie środki uzupełniające mogę wprowadzić, jeśli korzystam ze standardowych klauzul umownych lub wiążących reguł korporacyjnych w celu przekazywania danych do państw trzecich?

EROD wskazuje, że środki uzupełniające miałyby być wprowadzone indywidualnie dla każdego przypadku  i powinny uwzględniać wszystkie okoliczności przekazania oraz ocenę prawa państwa trzeciego w zakresie odpowiedniego stopnia ochrony.

EROD zobowiązała się do analizy i określenia rodzaju dodatkowych środków.

Czyli „jakie”? odpowiednie…

Korzystam z usług podmiotu przetwarzającego, który powierza dane, za które jestem odpowiedzialny jako administrator danych, skąd mam wiedzieć, czy ten podmiot przetwarzający przekazuje dane do Stanów Zjednoczonych lub innego państwa trzeciego?

EROD wskazała, że źródłem wiedzy powinna być umowa administratora z podmiotem przetwarzającym dane a także udzielenie pozwolenia podmiotom na przekazywanie danych do państw trzecich, jeśli mają być przetwarzane dalej.

Co mogę zrobić, aby nadal korzystać z usług mojego podmiotu przetwarzającego, jeśli umowa podpisana zgodnie z art. 28 ust. 3 RODO wskazuje, że dane mogą być przekazywane do Stanów Zjednoczonych lub do innego państwa trzeciego?

EROD wskazuje tu na możliwość zmiany umowy poprzez jej… negocjację lub dodanie klauzuli uzupełniającej by zakazać przekazywania danych do Stanów Zjednoczonych. W takim przypadku dane nie powinny być ani przechowywane ani administrowane na terenie Stanów Zjednoczonych.

Podsumowanie

Jak widać, w związku z wyrokiem Trybunału Sprawiedliwości rodzą się liczne pytania. Te wskazane przez EROD z pewnością nie są wszystkimi nasuwającymi się obecnie na myśl. Europejska Rada Ochrony Danych zapowiedziała jednak, że będzie w dalszym ciągu pracowała nad wyjaśnianiem kolejnych kwestii. Zachęcamy także do zapoznania się z pełną treścią komunikatu. Niemniej mamy wrażenie, że odpowiedzią na większość pytań jest tak, ale sam oceń z RODO.

Komunikat UODO dotyczący wyroku TSUE C-311/18 tutaj.