Strona Główna / Transfer danych osobowych poza EOG.

Transfer danych osobowych poza EOG.

16 lipca 2020 roku Trybunał Sprawiedliwości Unii Europejskiej wydał bardzo istotny wyrok, który wymusza zmianę dotychczasowych zasad transferu danych osobowych poza Europejski Obszar Gospodarczy, a w szczególności do Stanów Zjednoczonych.

Wyrok ma istotne znaczenie dla szerokiego grona administratorów danych osobowych, w szczególności dla podmiotów korzystających z narzędzi takich jak Google Analytics, Pixel Facebooka, czy też z usług świadczonych drogą elektroniczną opartych o przetwarzanie danych w chmurze, których dostawca przekazuje dane osobowe poza Europejski Obszar Gospodarczy (m.in. Apple iCloud, Dysk Google, Microsoft OneDrive).

TSUE stwierdził, że prawo amerykańskie (tj. art. 702 FISA i rozporządzenie wykonawcze 12333) nie zapewnia merytorycznie równoważnego stopnia ochrony danych osobowych z prawem obowiązującym na terenie Europejskiego Obszaru Gospodarczego.

Oznacza to, że transfer danych osobowych do Stanów Zjednoczonych zwykle wymagać będzie wprowadzenia tzw.środków uzupełniających” w celu zapewnienia, że prawo Stanów Zjednoczonych nie będzie mieć negatywnego wpływu na ochronę przekazanych danych osobowych.

CO WYNIKA Z WYROKU TSUE?

Privacy Shield (Tarcza Prywatności) została uznana za nieważną i nie może dłużej stanowić podstawy prawnej transferu danych osobowych do Stanów Zjednoczonych.

Standardowe Klauzule Umowne (SCC) są ważną podstawą prawną transferu danych osobowych poza Europejski Obszar Gospodarczy, o ile istnieją skuteczne mechanizmy umożliwiające zapewnienie zgodności ze stopniem ochrony danych osobowych merytorycznie równoważnym temu gwarantowanemu w Unii Europejskiej przez RODO.

Prawo amerykańskie (tj. art. 702 FISA i rozporządzenie wykonawcze 12333) nie zapewnia merytorycznie równoważnego stopnia ochrony danych osobowych z prawem obowiązującym na terenie Europejskiego Obszaru Gospodarczego.

CO PAŃSTWA ORGANIZACJA POWINNA ZROBIĆ?

  • zweryfikować czy w ramach Państwa organizacji dochodzi do transferu danych osobowych poza Europejski Obszar Gospodarczy;
  • zweryfikować czy transfer jest niezbędny;
  • zweryfikować podstawę prawną transferu;
  • znaleźć inną podstawę prawną transferu jeżeli podstawą prawną transferu była Tarcza Prywatności (Privacy Shield);
  • jeżeli podstawą prawną transferu są Standardowe Klauzule Umowne (SCC) lub Wiążące Reguły Korporacyjne (BRC) – ocenić czy w państwie trzecim przestrzegany jest stopień ochrony danych osobowych wymagany przez RODO;
  • jeżeli z oceny wynika, że państwo trzecie nie zapewnia stopnia ochrony danych osobowych wymaganego przez RODO – ocenić możliwość wprowadzenia środków uzupełniających w celu zapewnienia merytorycznie równoważnego stopnia ochrony danych osobowych;
  • w innych przypadkach należy rozważyć zastosowanie wyjątków z art. 49 RODO lub zaprzestać transferu.

 

Daniel Trędkiewicz

Aplikant radcowski



da****************@fo******.pl