16 lipca 2020r. ogłoszono dość głośny wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie Data Protection Commissioner przeciwko Facebook Ireland Ltd i Maximilanowi Schremsowi potocznie nazywany wyrokiem w sprawie Shrems II mocno wpisał się w zakresie przetwarzania danych osobowych. Myślę, że nie będzie nadużyciem jeżeli napiszę, że wyrok ten mocno odbił piętno albowiem unieważnił słynną Tarczę Prywatności na podstawie, której dochodziło do przekazywania danych poza UE a co za tym idzie runęła podstawa legalności przesyłania na jej podstawie danych z Unii do USA.
Rodo między innymi artykuł 44, wskazuje, że “przekazanie danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego lub organizacji międzynarodowej, następuje tylko, gdy – z zastrzeżeniem innych przepisów niniejszego rozporządzenia – administrator i podmiot przetwarzający spełnią warunki określone w niniejszym rozdziale, w tym warunki dalszego przekazania danych z państwa trzeciego lub przez organizację międzynarodową do innego państwa trzeciego lub innej organizacji międzynarodowej. Wszystkie przepisy niniejszego rozdziału należy stosować z myślą o zapewnieniu, by nie został naruszony stopień ochrony osób fizycznych zagwarantowany w niniejszym rozporządzeniu“. Natomiast w artykule 46 dowiadujemy się, że “
Przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń
1. W razie braku decyzji na mocy art. 45 ust. 3 administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej.
2. Odpowiednie zabezpieczenia, o których mowa w ust. 1, można zapewnić – bez konieczności uzyskania specjalnego zezwolenia ze strony organu nadzorczego – za pomocą:a) prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi;
b) wiążących reguł korporacyjnych zgodnie z art. 47;
c) standardowych klauzul ochrony danych przyjętych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2;
d) standardowych klauzul ochrony danych przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2;
e) zatwierdzonego kodeksu postępowania zgodnie z art. 40 wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą; lub
f) zatwierdzonego mechanizmu certyfikacji zgodnie z art. 42 wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.
3. Z zastrzeżeniem zezwolenia właściwego organu nadzorczego odpowiednie zabezpieczenia, o których mowa w ust. 1, można także zapewnić w szczególności za pomocą:
- a) klauzul umownych między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej; lub
- b) postanowień uzgodnień administracyjnych między organami lub podmiotami publicznymi, w których przewidziane będą egzekwowalne i skuteczne prawa osób, których dane dotyczą.
4. W przypadkach, o których mowa w ust. 3 niniejszego artykułu, organ nadzorczy stosuje mechanizm spójności, o którym mowa w art. 63.
5. Zezwolenia wydane przez państwo członkowskie lub organ nadzorczy na podstawie art. 26 ust. 2 dyrektywy 95/46/WE zachowują ważność do czasu ich zmiany, zastąpienia lub uchylenia w razie potrzeby przez ten organ. Decyzje przyjęte przez Komisję na mocy art. 26 ust. 4 dyrektywy 95/46/WE pozostają w mocy do czasu ich zmiany, zastąpienia lub uchylenia w razie potrzeby decyzją Komisji przyjętą zgodnie z ust. 2 niniejszego artykułu.”
Oznacza to. że w obowiązku administratora/podmiotu przetwarzającego jest nie tylko posiadanie odpowiedniej podstawy legalnej do wysyłania danych ale również przeprowadzenie badania skutków transferu dla ochrony danych (Transfer Impact Assessment).
Must have zatem jest nie tylko szczegółowa inwentaryzacja umów ale również wszelkie umowy które zostały zawarte poprzez tzw. przystąpienie/zgoda regulaminu. Drugim krokiem jest weryfikacja podstawy prawnej transferu danych do Państwa trzeciego do którego mają być one wysyłane, trzecim to wymagana ocena porządku prawnego kraju, do którego te dane mają być wysyłane, po czwarte i tak samo bardzo istotne jest to, że jeżeli z całego kontekstu weryfikacji wyjdzie nam, że dane państwo trzecie nie daje odpowiedniego stopnia pewności bezpieczeństwa danych – w zakresie ustawodawstwa czy aspektów praktycznych, które w danym państwie się stosuje wymagane jest wprowadzenie takich środków bezpieczeństwa, które zapewnią odpowiednie bezpieczeństwo danych na konkretnym poziomie i w sposób cykliczny weryfikować czy dane zabezpieczenia są na odpowiednim poziomie cały czas.
Na skutek problematycznego wyroku Shrems II UE stale pracuje nad rozwiązaniem tej sytuacji i dlatego też, m.in zmieniono standardowe klauzule umowne, które są środkiem mającym na celu zabezpieczenie transferu danych poza Europejski Obszar Gospodarczy.
Niebawem upływa termin aktualizacji wszystkich umów, które opierały się na starych standardowych klauzulach umownych. Muszą one zostać uaktualnione w obowiązujących umowach do 27 grudnia 2022 r.zgodnie z nowym wzorem, który został przyjęty przez Komisję 2021/914 z dnia 4 czerwca 2021 r. Czas do 27 grudnia nie jest długi, albowiem przeprowadzenie odpowiednich badań, ryzyk oraz formalności sprawia, że to już ostatni gwizdek na to aby dokładnie móc wszystko zrobić.
__________________________________________________
Podana powyżej treść nie jest opinią prawną ani poradą prawną. Wszelkie decyzje powinny być podejmowane na podstawie dokładnej analizy ryzyka oraz weryfikacji prawnej. Tylko dokładna weryfikacja stanu faktycznego Twojej sprawy umożliwia wskazanie najlepszych rozwiązań prawnych w Twojej sprawie. W tym celu skontaktuj się z prawnikiem. Artykuły zamieszczone na stronie są aktualne na dzień publikacji, z racji tego, że prawo często się zmienia mniej na uwadze to, że podane informacje mogą być już nieaktualne.
Bądź pierwszy, który skomentuje ten wpis