Eksport danych osobowych poza UE po wyroku C-113/18

We wpisie o unieważnieniu Tarczy Prywatności pisałam, że unieważnienie przez Trybunał Sprawiedliwości UE (TSUE)  amerykańskiej Tarczy Prywatności  ma konsekwencje  sięgające znacznie dalej  niż tylko eksport danych osobowych  do USA. Chodzi o eksport danych osobowych poza UE w ogóle. Jeśli wysyłasz dane osobowe do krajów trzecich, to  szykują się dla Ciebie nowe obowiązki. I… znacznie  łatwiej będzie  Ci postąpić niezgodnie z RODO. To  już potwierdziła Europejska Rada Ochrony Danych (European Data Protection Board) czyli EROD.

 

 

 

 

 

EKSPORT DANYCH OSOBOWYCH POZA UE  I EROD

 

 

EROD  to niezależny  organ europejski, który działa na rzecz spójnego stosowania zasad ochrony danych w całej Unii Europejskiej oraz promuje współpracę pomiędzy organami ochrony danych UE. W skład Rady wchodzą przedstawiciele krajowych organów ochrony danych i Europejskiego Inspektora Ochrony Danych (EIOD). Organy nadzorcze państw EFTA należących do Europejskiego Obszaru Gospodarczego (EOG) są również członkami w odniesieniu do kwestii związanych z RODO, ALE nie mają prawa głosu.

EROD nie jest żadnym super organem ochrony  danych osobowych UE i w związku z tym nie rozpatruje np. odwołań od decyzji organów krajowych.  ALE, stanowisko jakie zajmie w danej sprawie dotyczącej ochrony danych osobowych jest bardzo istotne.  Czemu? Ano temu, że z prawdopodobieństwem graniczącym z pewnością możesz się spodziewać, że bardzo podobne zdanie w danej sprawie będą miały krajowe ograny ochrony danych osobowych. W tym polskie UODO.

Co  bardzo znamienne, wyrok TSUE unieważniający  Tarczę Prywatności został prawie natychmiast skomentowany przez EROD A do  tegoRada błyskawicznie udostępniła na swojej stronie listę  najczęściej zadawanych w związku z wyrokiem C-113/18 pytań.

Lista jest  już dostępna po polsku.

 

 

 

 

 

 

 

 

 

 

EKSPORT DANYCH OSOBOWYCH DO USA: OD TERAZ SAM MUSISZ OCENIAĆ PODSTAWĘ PRAWNĄ

 

 

Dobrze, ale co  tak właściwie wynika z tego wyroku C-113/18  i  jego oceny wydanej przez EROD?

Przede wszystkim  Stany Zjednoczone przestały  być  uznawane przez UE za kraj zapewniający wystarczające bezpieczeństwo danym osobowym pochodzącym z Unii.

 Decyzja Komisji ws. amerykańsko-unijnej  umowy w sprawie programu Tarcza Prywatności została uznana z nieważną.  To oznacza, że nie możesz już wysyłać danych osobowych do USA (włącznie z nawet czasowym przechowywaniem na amerykańskich serwerach) w oparciu o zasady Tarczy. To, że amerykańska firma ma certyfikat Privacy Shield nie ma już znaczenia. Wysyłanie danych  do USA  TYLKO w oparciu o ten certyfikat, jest sprzeczne z RODO i  jeśli będziesz dalej  to robił, to  możesz się spodziewać nałożenia kary.  A przypominam, że kary za łamanie przepisów RODO są  bardzo wysokie, o czym pisałam dokładniej  we wpisie Bierna zgoda na cookies czyli ciacho w erze RODO.

Od tej pory Ty i  Twój kontrahent w Stanach musicie samodzielnie ocenić podstawę prawną  przesyłania danych osobowych. Uwzględniając kryteria wskazane przez Trybunał i  EROD.

Kryteria są  te musisz stosować zawsze przesyłając dane osobowe do krajów zapewniających ich ochronę na poziomie niższym niż unijny.

Czy są tam jakieś  nowości?

I  tak i nie.

Z jednej strony  Ci, którzy przekazywali do tej pory dane osobowe poza UE do państw  niezapewniających wystarczającej ochrony,  dawno już te  kryteria powinni znać. Eksport danych osobowych poza UE został  uregulowany w rozdziale V zatytułowanym „Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych”. 

Z drugiej strony, i TSUE i EROD podkreślają, że tak naprawdę każdy przypadek przekazywania danych osobowych poza UE musisz  oceniać oddzielnie wraz ze swoim partnerem spoza UE.

Co więcej,  eksport  danych osobowych poza UE w oparciu o standardowe klauzule umowne (tzw.Standard Contractual Clauses, o których mowa w art. 28 ust. 8, art. 46 ust. 2 lit. D oraz art. 57 ust 1 lit j)),  czy wiążące reguły  korporacyjne (tzw. Biding Corporate Rules, patrz art. 47 RODO) też może Cię nie uchronić przed karą za naruszenie RODO.

 

 

 

 

 

 

 

 

 

 

ART.46 I 44 RODO CZYLI DANE W PAŃSTWIE TRZECIM MAJĄ BYĆ CHRONIONE TAK JAK W UE

 

 

W wyroku C-113/18  Trybunał wskazał na pewien próg, który  musi zostać  przekroczony żeby w ogóle mówić o legalnym eksporcie danych osobowych poza UE.

Ten próg to przepisy art.46 RODO w powiązaniu z  art. 44. 

Oczywiście i TSUE i EROD ubrali to w długie wywody o konieczności zachowania „merytorycznej równoważności itp.itd, ale wniosek jest prosty.

Jeśli w jakiejkolwiek formie przekazujesz dane osobowe  poza UE, to  masz obowiązek  upewnić się, że  tam gdzie trafią, będą chronione identycznie jak w Unii pod „rządami” RODO.    Przy czym to Ty oraz Twój kontrahent z spoza Unii macie zbadać, czy  taka ochrona będzie zapewniona, a jeśli Wam wyjdzie po badaniu, że nie jest, to  musicie zrobić wszystko, żeby  była.

Łatwiej powiedzieć niż zrobić, bo ani TSUE and EROD nie podają jakie konkretnie dodatkowe środki ochrony masz niby zastosować  żeby eksportować dane zgodnie z RODO i przepisami krajowymi.

Ale i Trybunał i EROD są zgodni, że, cytując wytyczne EROD:

„Jeżeli stwierdzą Państwo, że – uwzględniając okoliczności przekazywania danych i ewentualne

środki dodatkowe – nie byłoby możliwe zapewnienie odpowiednich zabezpieczeń, mają Państwo obowiązek zawiesić lub zakończyć przekazywanie danych osobowych. Jeżeli jednak chcą Państwo w dalszym ciągu przekazywać dane pomimo takiego wniosku, należy zawiadomić właściwy organ nadzoru”.

 

 Oczywiście  pytanie, jak  po  takiej informacji zareaguje  organ nadzoru, prawa 😊?

 

 

 

 

 

 

DODATKOWE ŚRODKI OCHRONY CZYLI KOSZTY, KOSZTY I JESZCZE RAZ PIENIĄDZE

 

 

W takim razie co robić?

 Cóż, musisz badać każde przesyłanie danych  osobowych poza UE samodzielnie. Oczywiście we współpracy z odbiorcą danych, co  podkreślił i TSUE i EROD.

Musicie zbadać i podstawę prawną przekazywania i to, czy w kraju odbiorcy danych będą one  tak samo chronione jak przez RODO i przepisy krajowe w UE.

W praktyce oznacza to badania na co najmniej 3 poziomach:

• Strona prawna – co na temat poziomu ochrony danych osobowych mówią przepisy kraju importera danych? Czy przepisy kraju importera danych osobowych zapewniają ich ochronę na poziomie identycznym jak w UE
   (RODO plus przepisy krajowe którym podlegają dane osób, które eksportujesz poza UE)?  Jeśli się okaże, że nie, to musisz sobie zadać pytanie, co  można zrobić na poziomie  umowy, żeby taką, identyczną z unijną, ochronę zapewnić. Pamiętaj o  przypadku USA. Trybunał uznał, że amerykańskie przepisu zezwalają władzom na  taki dostęp do danych osobowych z UE, na który nie zezwala RODO.

I  teraz pytanie brzmi, czy można jakoś prawnie uniemożliwić taki  dostęp  przez  wprowadzenie do umowy z amerykańskim partnerem odpowiednich zapisów w kontrakcie. Oczywiście w ślad za tymi zapisami  muszą iść odpowiednie zabezpieczania techniczne i organizacyjne danych

• Strona techniczna – czy przekazane przez Ciebie dane osobowe  będą odpowiednio chronione technicznie w kraju importera danych? Oczywiście  tutaj się kłania głównie ochrona kwestia zabezpieczeń IT.  Pamiętaj, że musi być identyczna ze standardami wskazanymi w RODO oraz unijnych przepisach krajowych przyjętych na podstawie rozporządzenia. Musisz też pamiętać, że nawet  pół sekundowe przesłanie danych z UE na serwer znajdujący się w kraju  trzecim oznacza eksport danych do tego 

• Strona organizacyjna – badając poziom ochronnych danych osobowych po eksporcie do kraju trzeciego musisz się również upewnić, że Twój kontrahent  zapewnia ich ochronę  na poziomie identycznym z unijnym też na poziomie organizacyjnym.  Dla przykładu: czy  dane osobowe nie są aby przesyłane  w pewnym momencie na prywatne skrzynki mailowe pracowników kontrahenta albo czy  tylko wybrana grupa pracowników ma do  nich dostęp itd.

Brzmi to czasochłonnie, skomplikowanie i w pewnych wypadkach takie badanie może  być po prostu bardzo kosztowne.

Jeśli pomyślisz, że nie ma na razie żadnych  konkretnych wytycznych EROD co do dodatkowych środków ochrony, które Rada akceptuje jako zapewniające  odpowiedni poziom ochrony danych osobowych, to sytuacja może się  miejscami okazać trudna.

 

 

 

 

 

 

 

 

 

 

 EKSPORT DANYCH OSOBOWYCH POZA UE: WYJĄTKI  Z ART. 49 RODO

 

Na szczęście, są takie sytuacje kiedy RODO zezwala na eksport danych osobowych poza UE mimo tego, że kraj importera danych nie zapewnia  ochrony  identycznej co w UE.

Te wyjątki są wskazane w art. 49 RODO. Nie będę się o nich rozpisywać, bo to jednak nie blog o ochronie danych osobowych. Ale zwracam uwagę,  na dwie rzeczy.

Po pierwsze, podstawowym wyjątkiem kiedy możesz dane wyeksportować do kraju gdzie nie będą chronione tak jak w Unii, jest zgoda osób zainteresowanych. Naturalnie trzeba ją uzyskać, a osoby poinformować z zachowaniem przepisów RODO oraz przepisów krajowych.

Po drugie, EROD kolejny raz powtórzył za Trybunałem, że pozostałe wyjątki (poza zgodą osoby zainteresowanej) powinny być … naprawdę wyjątkowe.

Przekazywanie danych osobowych w oparciu o pozostałe wyjątki musi być sporadyczne.  Nie może mieć stałego charakteru, bo będziesz naruszał RODO.

 I co? Niby wyrok C-113/18  dotyczył  tylko USA, a  tu taka niespodzianka.  Czy czeka nas mała rewolucja w ochronie danych osobowych w UE? Chyba jednak nie, ale kto wie.

Natomiast jak dla mnie widać wyraźnie, że Unia postanowiła  na poważnie zająć się  ochroną danych osobowych swoich obywateli.

Pozdrawiam, Prawstoria