Co z transferem danych osobowych do państw trzecich po wyroku TSUE w sprawie Schrems II?

utworzone przez | 29 marca 2021 | RODO i e-commerce | 0 komentarzy

Co z transferem danych osobowych do państw trzecich po wyroku TSUE w sprawie Schrems II?

Stan prawny na dzień: 29.03.2021 r.

Wpis na blogu nie stanowi porady prawnej. Artykuł odnosi się do ogólnej sytuacji prawnej, dlatego nie może stanowić rozwiązania dla indywidualnego problemu. Jeżeli potrzebujesz indywidualnej konsultacji, zapraszam do kontaktu.

 

Ochrona danych osobowych to temat z pozoru łatwy. Ważny jest jednak akcent na słowo „z pozoru”. Regulacje dot. ochrony osobowych znajdują się nie tylko w rozporządzeniu unijnym o ochronie danych osobowych, ale oprócz polskiej ustawy o ochronie danych osobowych, mamy także ustawy szczególne, gdzie ochrona danych osobowych dostosowana jest pod tzw. rozwiązania sektorowe. Co więcej, nie można zapominać o orzeczeniach TSUE, rekomendacjach EROD czy stanowiskach organów nadzoru ochrony danych w poszczególnych państwach. Przełomy w kontekście transferu danych osobowych do państw trzecich (zwłaszcza Stanów Zjednoczonych) jest wyrok TSUE z lipca 2020 r. w sprawie Schrems II. W moim artykule przedstawię najważniejsze informacje związane z tą tematyką.

 

Bądź na bieżąco!:)

Informacje o nowych artykułach wprost na Twojego maila. W prezencie otrzymasz wzór legalnej stopki e-maila firmowego.

Podaj swój adres e-mail w celu realizacji usługi newslettera, jeżeli chcesz otrzymywać informacje o moich promocjach i ofertach.

Informację o przetwarzaniu Twoich danych osobowych znajdziesz w Polityce Prywatności. 

Please wait...

Dziękuję!:)

Wszystko przebiegło prawidłowo. W ciągu kilku minut otrzymasz ode mnie e-mail z dokumentem.

Jeżeli wiadomość nie dojdzie w ciągu kilku minut i nie ma jej w spamie, najpewniej Twój adres e-mail jest nieprawidłowy lub zawiera literówkę. Jeśli tak się stało, napisz do mnie na o.zarzecka@kancelaria-oz.pl.

 

Wyrok TSUE sygnatura: C-311/18, Data Protection Commissioner przeciwko Facebook Ireland Ltd., Maximilian Schrems (tzw. sprawa Schrems II).

Co wynika z tego orzeczenia?

  1. Tarcza Prywatności jest nieważna.
  2. Decyzja Komisji 2010/87/UE w sprawie standardowych klauzul umownych jest ważna.

Ogólna zasada dot. przekazywania danych osobowych do państw trzecich wynika z art. 44 RODO:

Przekazanie danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego lub organizacji międzynarodowej, następuje tylko, gdy – z zastrzeżeniem innych przepisów niniejszego rozporządzenia – administrator i podmiot przetwarzający spełnią warunki określone w niniejszym rozdziale, w tym warunki dalszego przekazania danych z państwa trzeciego lub przez organizację międzynarodową do innego państwa trzeciego lub innej organizacji międzynarodowej. Wszystkie przepisy niniejszego rozdziału należy stosować z myślą o zapewnieniu, by nie został naruszony stopień ochrony osób fizycznych zagwarantowany w niniejszym rozporządzeniu.

W skrócie, chodzi o przestrzeganie podstaw prawnych przetwarzania danych osobowych pod względem bezpieczeństwa, unijnych standardów ochrony danych osobowych.

 

Przekazywanie danych osobowych do państw trzecich następuje:

 

 

Po pierwsze, na podstawie decyzji KE stwierdzającej określony poziom ochrony danych osobowych. Jeżeli brak jest takiej decyzji to przechodzimy do kolejnego etapu.

 

Etap drugi to przekazywanie danych osobowych z zapewnieniem odpowiednich zabezpieczeń np. klauzul ochrony danych stosowane przez KE, reguły korporacyjne. Ważne! Transfer nie może naruszać praw podstawowych gwarantowanych przez RODO. Co więcej, to administrator ma tutaj podjąć odpowiednie działania i to na nim spoczywają związane z tym obowiązki. To on ponosi ryzyko łączące się z przetwarzaniem danych osobowych do państw trzecich.

Jeżeli administrator nie może tego zapewnić, to trzeba przejść do etapu trzeciego. Z drugiej strony trzeba mieć świadomość, że ten etap dotyczy tylko wyjątkowych sytuacji.

 

Etap trzeci to pozyskanie zgody podmiotu danych na transfer danych osobowych do państwa trzeciego. Zgoda ma być wyraźna i świadoma. Administrator nie może także zapomnieć o poinformowaniu podmiotu danych o ryzyku, jakie wiąże się z tym transferem.

Inną podstawą w ramach etapu trzeciego jest niezbędność przekazania danych osobowych do państw trzecich.

 

 

Zasady transferowe – czyli jakie?

  1. Prawa podstawowe np. prawo do ochrony danych osobowych, prawo do prywatności.
  2. Karta Praw Podstawowych (zapewnia, że przetwarzanie danych osobowych następuje na podstawie ustawy lub zgody; przetwarzanie ma być rzetelne, w konkretnym i wyraźnie określonym celu, niezależny organ czuwa nad przestrzeganiem zasad związanych z przetwarzaniem danych osobowych).

 

 

Jakie są konsekwencje wyroku w sprawie Schrems II?

  1. Nie można w przypadku transferu danych osobowych do Stanów Zjednoczonych opierać się na Tarczy Prywatności.
  2. Nie można w sposób automatyczny zastąpić Tarczy Prywatności standardowymi klauzulami umownymi (chodzi o wskazanie uzupełnienia klauzul dodatkowymi postanowieniami, które pozwolą na usunięcie stwierdzonego problemu oraz trzeba pamiętać o zastosowaniu dodatkowych zabezpieczeń, dodatkowych środków ochrony danych osobowych).
  3. W przypadku transferu danych do innych państw trzecich, trzeba pamiętać (obowiązek administratora, jak i podmiotu przetwarzającego) o przeanalizowaniu standardu ochrony danych w takim państwie pod kątem obowiązujących przepisów prawnych, jak i weryfikacji praktyki, obowiązujących zwyczajów.

 

Jakie obowiązki po wyroku TSUE ma administrator?

 

  1. Ma zweryfikować, czy dokonuje transferu do państw trzecich (Stanów Zjednoczonych i pozostałych państw trzecich).
  2. Jeżeli dokonuje takiego transferu, to ma zaktualizować informacje o przetwarzaniu danych osobowych do państw trzecich.
  3. Jeżeli ma wątpliwości co do tego transferu, to administrator powinien wstrzymać ten transfer.

 

W przypadku, tej tematyki nie ma wypracowanych jednolitych rozwiązań. Jest to problematyka rozwojowa. Wszystko oparte jest na gruntownej analizie ryzyka związanego z transferem do państw trzecich, w kontekście zapewnienia unijnych standardów ochrony danych osobowych o których pisałam powyżej.

 

Ostatnio na stronie PUODO, pojawiła się taka informacja: https://uodo.gov.pl/pl/185/1826

 

Polityka Prywatności i plików cookies

Poinformowanie użytkowników strony internetowej o tym, w jaki sposób Ty (lub np. spółka) – właściciel strony i jednocześnie administrator danych osobowych, przetwarzasz dane osobowe, to Twój obowiązek.
Pamiętaj też, że strona internetowa to Twoja wizytówka. Może świadczyć o profesjonalizmie, rzetelności i wysokiej jakości świadczonych usług albo wręcz odwrotnie.
Aby pomoc Ci w zrealizowaniu obowiązku informacyjnego RODO dla użytkowników strony internetowej, a także budować wiarygodny i profesjonalny obraz Twoich usług, przygotowałam dla Ciebie wzór kompleksowej Polityki Prywatności i plików cookies. Dostępny tutaj.

Dziękuję za zapoznanie się z artykułem:) Jeżeli potrzebujesz pomocy prawnej związanej z ochroną danych osobowych, to zapraszam do kontaktu.

 

*opracowanie przygotowane w oparciu o informacje, które pojawiły się podczas szkolenia przeprowadzonego przez radcę prawnego Witolda Chomiczewskiego pt. „Wyrok w sprawie Schrems II …. i co dalej z transferem danych osobowych?”

Udostępnij

0 komentarzy

Wyślij komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Udostępnij

Tagi wpisu

Kategorie

Popularne wpisy