Nie od dziś wiadomo, że RODO ewoluuje. Co chwilę dowiadujemy się nowych interpretacji, znaczenia czy wymogów jakie należy stosować. Po głośnym wyroku w sprawie Schrems II aspekty RODO w kontekście wysyłania danych do państw trzecich jeszcze bardziej zostały podkreślone.
Przez długi czas standardem było realizowanie obowiązku przeprowadzania oceny skutków przetwarzania dla ochrony danych osobowych w zakresie Privacy Impact Assessment (PIA) lub DPIA ( Data Protection Impact Assessment). Niestety albo stety po wyroku Schrems II obowiązków doszło.
W przepisach RODO brak jest szczegółowego zakresu czym jest transfer danych do państw trzecich, tak samo nie ma w nim uszczegółowienia kim jest importer i eksporter danych. Nie zmienia to jednak faktu, że należy stosować się do ogólnych zasad i to na przedsiębiorcy spoczywa obowiązek odpowiedniej ochrony danych osobowych.
Należy podkreślić, że państwem trzecim jest każde Państwo poza Europejskim Obszarem Gospodarczym (UE + Lichtenstein, Norwegia, Islandia) – z pewnymi wyjątkami – Wielka Brytania i Szwajcaria jest w rozumieniu RODO państwem trzecim.
Transfer danych w rozumieniu RODO może zachodzić:
- fizycznie – kiedy przekazywane są dane osobowe do państwa trzeciego,
- podmiot z państwa trzeciego ma dostęp do danych, które są na terytorium Unii Europejskiej,
- podczas reeksportu danych.
Transfer Impact Assessment to wymóg oceny ryzyka transferu danych do państwa trzeciego.
Celem TIA jest weryfikacja czy państwo trzecie, (dokładnie jego przepisy oraz praktyki) do którego mają być transferowane dane nie wpływa negatywnie na ochronę danych.
Innymi słowy jeżeli w jakimś zakresie zachodzi u ciebie transfer danych do państw trzecich to niestety ale ten temat powinien cię zainteresować.
TIA jest o tyle ważne, że wiąże się ze specyficzną analizą obejmującą dość szczegółowe działania oraz ponowną weryfikację czy dane działania spełniają swoją rolę.
Warto wiedzieć!
Zauważyłam, że w sieci dużo jest bezpłatnych dokumentacji RODO, czasami też tworzonej dokumentacji przez podmioty, które nie zajmują się tym zawodowo, czasami też są dokładane jako „dodatki” do newslettera itp. i mogą narobić więcej problemów niż to warte. Podobnie kupując wzory od różnych podmiotów należy weryfikować czy cena obejmuje wszelkiego rodzaju analizy jak np. analiza ryzyka, analiza DPiA, analiza TIA, albowiem czasami ceny tego nie obejmują i przedsiębiorca sam musi się o to zatroszczyć i przeprowadzić a jest to kluczowy element poprawnego wyróżnia rodo. Szczególnie należy uważać na hasła typu „pełna dokumentacja rodo”, albowiem nie zawsze ona posiada odpowiednie analizy adekwatne do danego przedsiębiorcy. Szczególnie, że każdy przedsiębiorca jest inny – nawet w tej samej branży- korzysta z innych narzędzi, programów, aplikacji, może mieć inne umowy z partnerami itp. a to w większości one odpowiadają nam na pytania czy dochodzi do transferu danych – dlatego tak istotne jest przeprowadzenie rzetelnej weryfikacji jakie dane i gdzie są przetwarzane.
Masz pytania dotyczące aspektów związanych z RODO? Zapraszam na indywidualną konsultację
______________________________________________________
Podana powyżej treść nie jest opinią prawną ani poradą prawną. Wszelkie decyzje powinny być podejmowane na podsatwie dokładnej analizy ryzyka oraz weryfikacji prawnej. Tylko dokładna weryfikacja stanu faktycznego Twojej sprawy umożliwia wskazanie najlepszych rozwiązań prawnych w Twojej sprawie. W tym celu skontaktuj się z prawnikiem. Artykuły zamieszczone na stronie są aktualne na dzień publikacji, z racji tego, że prawo często się zmienia mniej na uwadze to, że podane informacje mogą być już nieaktualne.
Bądź pierwszy, który skomentuje ten wpis