Transfer danych osobowych do państwa trzeciego w świetle wyroku Schrems II

Wyrok Schrems II – choć jego treść można było w przybliżeniu przewidzieć – zaskoczył wiele podmiotów dokonujących transferów danych osobowych do tzw. państw trzecich. Nietrudno się domyślić, że najwięcej tego typu transferów dotyczy USA w związku z umiejscowieniem w tym kraju serwerów globalnych korporacji oraz wielością usług oferowanych przez nie również w Polsce.

Streszczając ten wyrok należy napisać, że zakwestionowany został mechanizm transferu danych oparty o „Privacy Shield”, co w praktyce oznacza, że jedynym instrumentem prawnym, który umożliwia taki transfer są aktualnie standardowe klauzule umowne. W treści wyroku zastrzeżono jednak, że podpisanie standardowych klauzul umownych z podmiotem z USA samo w sobie nie zapewnia legalności transferu danych osobowych – nie mamy tu więc swoistego „automatu”, który zapewnia legalność takiego transferu. Aby taką legalność osiągnąć administrator powinien dokonać samodzielnej oceny czy państwo trzecie zapewnia odpowiednie zabezpieczenia oraz czy obowiązują na jego terytorium egzekwowalne prawa osób, których dane dotyczą i skuteczne środki ochrony prawnej. Takie postawienie zagadnienia spowodowało stan, w którym to administrator ponosi ewentualne negatywne skutki dokonania oceny, która następnie okaże się być niezgodna z oceną dokonaną przez regulatora. Dzieje się to w stanach faktycznych, w których usług, których takie transfery dotyczą nie można zastąpić usługami „lokalnymi”. Jako przykład można podać rezygnację z Facebooka jako platformy reklamowej i zastąpienie go…? Siłą rzeczy wielu administratorów dokonuje transferu danych w oparciu o standardowe klauzule umowne, bo innej podstawy prawnej po prostu nie ma, a zaprzestanie korzystania z pewnych usług po prostu nie wchodzi w grę. Nietrudno się domyślić, że taki stan rzeczy daleki jest od bezpieczeństwa prawnego.

Wychodząc naprzeciw powyższym udrękom administratorów Europejska Rada Ochrony Danych w dniu 10 listopada 2020 r. przyjęła:

  1. zalecenia w sprawie środków uzupełniających narzędzia przekazywania danych w celu zapewnienia zgodności ze stopniem ochrony danych osobowych UE oraz
  2. zalecenia w sprawie niezbędnych gwarancji europejskich dla środków nadzoru.

Dokumenty powyższe nie są jeszcze dostępne (https://edpb.europa.eu/edpb_pl) niemniej wydaje się, że w obecnej sytuacji stanowią one krok w dobrym kierunku. Czy będzie to krok milowy będziemy mogli ocenić po lekturze tych zaleceń.

Podobne posty

28 marca 2023

Inspektor ochrony danych osobowcyh

RODO przewiduje funkcję inspektora ochrony danych, którego administrator w określonych sytuacjach powinien powołać. Wyjaśniam kiedy jest to obowiązkowe oraz kogo i jak powołać na to stanowisko, a także jakie stoją przed nim zadania.

Czytaj więcej

Back To Top