Wraz z końcem 2020 r. wraca temat związany z transferem danych osobowych do tzw. krajów trzecich. Wiąże się bowiem z zakończeniem tzw. okresu przejściowego dotyczącego wystąpienia Wielkiej Brytanii z Unii Europejskiej (tj. 31 grudnia br.). Z punktu widzenia procesów przetwarzania danych osobowych oznacza to, iż kraje Zjednoczonego Królestwa nie będą już stosowały przepisów Ogólnego rozporządzenia o ochronie danych z 27 kwietnia 2016 r., tj. RODO. Co to oznacza w praktyce?
Z artykułu dowiesz się m.in.:
- Jaką dodatkową ochronę trzeba zapewnić danym osobowym podczas transferowania ich do państw trzecich.
- Czy zalecenia Europejskiej Rady Ochrony Danych odnośnie transferu danych osobowych do USA czy w związku z brexitem są ostateczne.
Dodatkowe zabezpieczenia transferu danych osobowych do Wielkiej Brytanii
Transfer danych osobowych do Wielkiej Brytanii oznacza konieczność stosowania przepisów rozdziału V RODO, tj. wdrożenia dodatkowych zabezpieczeń transferu (pojęcie samego transferu danych osobowych wielokrotnie poruszaliśmy w naszych publikacjach – m.in. w artykule Przekazywanie danych osobowych do państw trzecich czy Brexit a RODO – transfer danych osobowych do Wielkiej Brytanii). Obecnie nie istnieje bowiem żaden dokument stwierdzający odpowiedni poziom ochrony danych w państwach Zjednoczonego Królestwa. Zatem uregulowanie współpracy z podmiotami gospodarczymi z terytorium Wielkiej Brytanii sprowadzi się w większości przypadków do stosowania tzw. standardowych klauzul umownych. Pamiętajmy jednak, że transfer danych osobowych, to także inne obowiązki administratorów danych – m.in. zmiana poziomu ryzyka, konieczność aktualizacji rejestru czynności przetwarzania czy klauzul informacyjnych.
Stanowisko Europejskiej Radych Ochrony Danych (EROD) dotyczące przekazywania danych w związku z brexitem jest dostępne m.in. na stronie internetowej Urzędu Ochrony Danych Osobowych.
Dodatkowa ochrona danych osobowych przy ich transferze do krajów trzecich
Przypomnijmy, że sprawa legalizacji transferu danych osobowych do krajów trzecich jest gorącym tematem od czasu orzeczenia Trybunału Sprawiedliwości Unii Europejskiej w tzw. sprawie Schrems II. Przedmiotowe orzeczenie unieważniło tzw. Tarczę prywatności, a także w części kwestionowało standardowe klauzule umowne w przypadku transferu danych do USA. Należy pamiętać, że podmiot transferujący dane, oprócz zawarcia standardowych klauzul umownych, musi wdrożyć dodatkowe środki, o których mowa m.in. w zaleceniach EROD 01/2020 z 10 listopada 2020 r.). Owe środki, to:
- uporządkowanie i wykazanie procesów przetwarzania, które powodują transfer danych osobowych do krajów trzecich;
- zidentyfikowanie środka zabezpieczającego transfer danych osobowych do krajów trzecich (tj. rozdział V RODO ze szczególnym uwzględnieniem środków, o których mowa w art. 46 RODO);
- ocena skuteczności podjętego środka, o którym mowa w art. 46 RODO;
- przyjęcie ewentualnych dodatkowych środków zabezpieczających transfer danych;
- kroki proceduralne (podejmowane w przypadku podjęcia środków dodatkowych);
- monitorowanie przyjętych rozwiązań.
Powyższe wykaz może ulec zmianom.
Stanowiska EROD nie są stanowiskami ostatecznymi i zostały przedłożone do konsultacji społecznych. Reasumując, w przypadku transferu danych do USA, podmioty gospodarcze w dalszym ciągu nie otrzymały jednoznacznych wytycznych i wzorców postępowania.
AUTOR: Kacper Rączkowiak