RODO: coraz mniej czasu na wdrożenie nowych rozwiązań
2022-09-10
Do 27 grudnia 2022 r. każdy administrator danych osobowych i podmiot przetwarzający powinien upewnić się, że transfery danych, w których bierze udział, są oparte o nowe standardowe klauzule umowne (SKU).
Już tylko niecałe cztery miesiące zostały administratorom danych na wdrożenie nowych standardowych klauzul umownych. W tym czasie konieczne jest nie tylko samo zawarcie dokumentu, ale także dokonanie oceny warunków przetwarzania (w tym prawnych) danych osobowych w państwie, do którego dane mają trafić (tzw. transfer impact assessment).
Trochę teorii
Standardowe klauzule umowne (SKU) to jeden ze środków, jakie mogą zostać podjęte w celu legalizacji transferu danych osobowych poza Europejski Obszar Gospodarczy (UE, Islandia, Norwegia i Liechtenstein). Środek ten jest dość popularny ze względu na relatywnie niski poziom skomplikowania i koszt wdrożenia. Często również był jedynym sposobem na legalne dokonanie takiego transferu do państw trzecich.
Standardowe klauzule umowne, mimo że istniały od wielu lat, zyskały na popularności dopiero po wejściu w życie RODO, gdy świadomość administratorów danych znacznie się zwiększyła, a fraza „ochrona danych osobowych” zaczęła być odmieniana przez wszystkie przypadki, nawet w mediach masowych. Ogromnym ciosem dla standardowych klauzul umownych było jednak orzeczenie Trybunału Sprawiedliwości Unii Europejskiej z 16 lipca 2020 r., tzw. Schrems II. Poza stwierdzeniem nieważności decyzji Komisji Europejskiej pozwalającej na transfer danych osobowych do Stanów Zjednoczonych, Trybunał uznał w nim, że stosowanie SKU wymaga zbadania warunków przetwarzania w państwie, do którego dane mają trafić.
W następstwie tego wyroku Komisja Europejska rozpoczęła prace nad dostosowaniem SKU do nowej rzeczywistości. Do tej pory stosowane były standardowe klauzule umowne opracowane w 2010 r. w oparciu o akty prawne obowiązujące przed RODO, dlatego informacja o pracy nad nowymi SKU została przyjęta z ulgą. Efektem tych prac jest decyzja wykonawcza nr (UE) 2021/914 z 4 czerwca 2021 r. (dalej: Decyzja), do której załącznik stanowią właśnie nowe SKU.
Nowe klauzule…
Nowe standardowe klauzule umowne to cztery moduły i różne scenariusze transferów danych:
– przekazywanie danych pomiędzy administratorami danych,
– przekazywanie danych przez administratora podmiotowi przetwarzającemu,
– przekazywanie danych pomiędzy podmiotami przetwarzającymi (podmiot przetwarzający do dalszego podmiotu przetwarzającego),
– przekazywanie danych przez podmiot przetwarzający administratorowi znajdującemu się poza EOG.
Modularna konstrukcja SKU pozwala na elastyczne dostosowywanie do nawet najbardziej skomplikowanych relacji biznesowych. Niezależnie od tego, jaki status mają podmioty biorące udział w przetwarzaniu danych osobowych (czy są administratorami, czy procesorami) oraz w jakim kierunku dochodzi do transferu, dobranie odpowiednich modułów pozwala na ich zastosowanie. Nowe SKU są chwalone za to podejście, gdyż w poprzednim stanie prawnym często przedsiębiorcy natrafiali na komplikacje w przypadku transferów pomiędzy procesorem a podprocesorem albo transferem danych przez procesora do administratora. Takie operacje wymagały wówczas stosowania dość karkołomnych rozwiązań. Dzięki nowym SKU możliwe jest zawarcie zwykłej umowy pomiędzy stronami.
… i nowe obowiązki
Jednak nowe SKU to także dodatkowe obowiązki dla przedsiębiorców. Zgodnie z Decyzją, aby można było przekazać dane osobowe do odbiorcy w państwie trzecim (niezależnie, jaki to rodzaj relacji) na podstawie standardowych klauzul umownych, musi on najpierw upewnić się, że prawa i wolności podmiotów danych mających być przedmiotem transferu będą respektowane. Takie upewnienie się powinno przybrać postać formalnej oceny, nazywanej transfer impact assessment (dalej: TIA). Taka ocena powinna obejmować sprawdzenie, czy prawo i praktyki w państwie pozwalają na zachowanie zgodności z treścią SKU i RODO.
Uznaje się, że elementem TIA powinna być co najmniej analiza:
– kontekstu i warunków samego transferu (np. kategorii danych i charakteru odbiorców),
– obowiązujących w państwie trzecim przepisów prawa (np. jakie podmioty mogą uzyskać dostęp do danych z mocy prawa),
– praktyk w zakresie ochrony danych osobowych (np. znanych spraw i postępowań oraz raportów niezależnych organizacji, a także wzmożona przestępczość czy nadmierna, w świetle demokratycznych zasad, ingerencja służb specjalnych).
Jeżeli okaże się, że państwo trzecie nie gwarantuje możliwości egzekwowania SKU i zapewnienia zgodności z RODO, w celu legalnego transferu konieczne będzie zastosowanie dodatkowych środków zaradczych. Takimi środkami zaradczymi może być pseudonimizacja danych albo szyfrowanie danych (end-to-end), przy czym środki te muszą być adekwatne do ryzyk, które zidentyfikowano w ramach TIA i odpowiednio adresować te ryzyka. Przykładowo niewystarczające będzie zastosowanie szyfrowania danych, jeżeli klucz szyfrujący będzie znajdował się w tym samym państwie. W takiej sytuacji szyfrowanie nie uchroniłoby np. przed przejęciem danych przez służby, gdyż najpewniej uprawnione byłyby one także do zażądania klucza pozwalającego na ich odszyfrowanie.
Zdaniem autorów
Kamil Kozioł – Manager w Andersen Poland
Paweł Grzembka – Senior Associate w Andersen Poland
Zgodnie z Decyzją administratorzy i podmioty przetwarzające są zobowiązani korzystać z nowych SKU od 27 września 2021 r. Decyzja przewidziała jednak także okres przejściowy, w którym umowy, na mocy których dochodzi do transferu danych osobowych, muszą być dostosowane do nowych SKU. Okres ten mija 27 grudnia 2022 r.
Do tej właśnie daty każdy administrator i podmiot przetwarzający powinien upewnić się, że transfery danych osobowych, w których bierze udział, są oparte o nowe SKU. Jeżeli w okresie przejściowym dokonywane operacje przetwarzania uległy zmianie, nowe SKU należy stosować już od chwili tej zmiany.
Konieczne jest zatem nie tylko zastąpienie starych standardowych klauzul umownych nowymi SKU, ale także przeprowadzenie oceny skutków transferu (TIA) i ewentualne zaplanowanie dodatkowych środków zaradczych.
Biorąc pod uwagę to, że zostało niewiele czasu do zakończenia okresu przejściowego, a zadań związanych z dostosowaniem transferów do nowych warunków jest dużo, niezbędne jest podjęcie działań już teraz.