Bruksela, 11 listopada – Podczas 41. sesji plenarnej EROD przyjęła zalecenia w sprawie środków uzupełniających narzędzia przekazywania danych w celu zapewnienia zgodności z unijnym stopniem ochrony danych osobowych, a także zalecenia w sprawie niezbędnych gwarancji europejskich dotyczących środków nadzoru.
Oba dokumenty zostały przyjęte w konsekwencji wyroku TSUE w sprawie Schrems II. W wyniku wyroku z dnia 16 lipca administratorzy danych, którzy opierają się na standardowych klauzulach umownych (SKU), są zobowiązani do sprawdzenia, w poszczególnych przypadkach i w stosownych przypadkach we współpracy z podmiotem odbierającym dane w państwie trzecim, czy prawo państwa trzeciego zapewnia stopień ochrony przekazywanych danych osobowych merytorycznie równoważny temu gwarantowanemu w Europejskim Obszarze Gospodarczym (EOG). TSUE zezwolił podmiotom przekazującym dane na dodawanie środków uzupełniających do SKU w celu zapewnienia skutecznego przestrzegania tego stopnia ochrony, w przypadku gdy zabezpieczenia zawarte w SKU nie są wystarczające.
Zalecenia mają pomóc administratorom i podmiotom przetwarzającym działającym jako podmioty przekazujące dane w ich obowiązku określenia i wdrożenia odpowiednich środków uzupełniających, jeżeli są one niezbędne do zapewnienia merytorycznie równoważnego stopnia ochrony danych przekazywanych przez nich państwom trzecim. W ten sposób EROD dąży do spójnego stosowania RODO i wyroku Trybunału w całym EOG.
Przewodnicząca EROD, Andrea Jelinek, powiedziała: „EROD jest w pełni świadoma wpływu wyroku w sprawie Schrems II na tysiące przedsiębiorstw w UE oraz istotnej odpowiedzialności, jaką nakłada ono na podmioty przekazujące dane. EROD ma nadzieję, że zalecenia te pomogą podmiotom przekazującym dane w określeniu i wdrożeniu skutecznych środków uzupełniających w niezbędnych przypadkach. Naszym celem jest umożliwienie zgodnego z prawem przekazywania danych osobowych do państw trzecich, przy jednoczesnym zagwarantowaniu, że przekazywane dane będą objęte stopniem ochrony merytorycznie równoważnym temu gwarantowanemu w ramach EOG”.
Zalecenia zawierają plan działań, jakie podmioty przekazujące dane muszą podjąć, aby dowiedzieć się, czy muszą wprowadzić środki uzupełniające, aby móc przekazywać dane poza EOG zgodnie z prawem UE, oraz pomóc im w określeniu tych, które mogą być skuteczne. Aby pomóc podmiotom przekazującym dane, zalecenia zawierają również niewyczerpujący wykaz przykładów środków uzupełniających oraz niektórych warunków, które byłyby niezbędne do zapewnienia ich skuteczności.
W ostatecznym rozrachunku podmioty przekazujące dane są jednak odpowiedzialne za dokonanie konkretnej oceny w kontekście przekazywania danych, prawa państwa trzeciego i narzędzia przekazywania, z którego korzystają. Podmioty przekazujące dane muszą postępować z należytą starannością i dokładnie dokumentować swoje przetwarzanie, ponieważ będą rozliczane z podjętych na tej podstawie decyzji, zgodnie z zasadą rozliczalności RODO. Ponadto podmioty przekazujące dane powinny wiedzieć, że wprowadzenie wystarczających środków uzupełniających może nie być możliwe w każdym przypadku.
Zalecenia dotyczące środków uzupełniających zostaną przedłożone do konsultacji publicznych. Będą one miały zastosowanie niezwłocznie po ich opublikowaniu.
Ponadto EROD przyjęła zalecenia w sprawie niezbędnych gwarancji europejskich dotyczących środków nadzoru. Zalecenia dotyczące niezbędnych gwarancji europejskich uzupełniają zalecenia dotyczące środków uzupełniających. Zalecenia dotyczące europejskich gwarancji podstawowych zapewniają podmiotom przekazującym dane elementy pozwalające ustalić, czy ramy prawne regulujące dostęp organów publicznych do danych w celach nadzoru w państwach trzecich można uznać za uzasadnioną ingerencję w prawa do prywatności i ochrony danych osobowych, a zatem za nienaruszające zobowiązań wynikających z narzędzia przekazywania danych przewidzianego w art. 46 RODO, na którym polegają podmiot przekazujący i podmiot odbierający dane.
Przewodnicząca dodała: „Skutki wyroku w sprawie Schrems II obejmują wszystkie operacje przekazywania danych do państw trzecich. W związku z tym nie ma szybkich rozwiązań ani uniwersalnego rozwiązania dla wszystkich operacji przekazywania danych, ponieważ nie uwzględniałoby to dużej różnorodności sytuacji, w obliczu których stoją podmioty przekazujące dane. Podmioty przekazujące dane będą musiały ocenić swoje operacje przetwarzania i przekazywania danych oraz podjąć skuteczne środki, mając na uwadze porządek prawny państw trzecich, do których przekazują lub zamierzają przekazywać dane.”
Organy nadzorcze EOG ds. ochrony danych będą nadal koordynować swoje działania w ramach EROD w celu zapewnienia spójności w stosowaniu unijnych przepisów o ochronie danych.
Uwaga dla redaktorów:
Wszystkie dokumenty przyjęte na sesji plenarnej EROD podlegają niezbędnym kontrolom pod względem prawnym, językowym i pod względem formatowania oraz zostaną udostępnione na stronie internetowej EROD po ich zakończeniu.
EDPB_Press Release_2020_18