Urząd Europejskiego Inspektora Ochrony Danych (EIOD) wydał strategiczny dokument mający na celu wsparcie w monitorowaniu zgodności europejskich instytucji, organów, urzędów i agencji (EUI) z wyrokiem ws. “Schrems II” w odniesieniu do przekazywania danych osobowych do państw trzecich, a w szczególności do Stanów Zjednoczonych.
Celem dokumentu jest udzielenie rekomendacji co do sposobu postępowania, aby transfer danych w warunkach międzynarodowych odbywający się w ramach istniejących jak i powstających projektów odbywał się zgodnie z prawem UE w zakresie ochrony danych.
– Przekazywanie danych osobowych przez instytucje UE do państw trzecich powinno być zgodne z Kartą praw podstawowych UE, jak również z mającymi zastosowanie przepisami UE dotyczącymi ochrony danych, w szczególności z rozdziałem V rozporządzenia (UE) 2018/1725. – mówi Wojciech Wiewiórowski, szef EIOD. – W tym celu strategia opiera się na odpowiedzialności oraz współpracy z administratorami danych, aby ocenić, czy przy przekazywaniu danych osobowych do państw trzecich gwarantowany jest zasadniczo równoważny standard ochrony, w oparciu o orzeczenie Trybunału. Ponadto EIOD będzie nadal ściśle współpracował z innymi organami ochrony danych w ramach Europejskiej Rady Ochrony Danych (EDPB), aby dane osobowe osób fizycznych były konsekwentnie chronione w całej UE/EOG, gdy dochodzi do przekazywania danych do państw trzecich.
Wyrok ma daleko idące konsekwencje dla wszystkich narzędzi prawnych wykorzystywanych do przekazywania danych osobowych z EOG do dowolnego państwa trzeciego, w tym przekazywania danych między organami publicznymi. Chociaż strategia ta ma na celu doprowadzenie wszystkich przypadków przekazywania danych do zgodności z orzeczeniem w perspektywie średnioterminowej, EIOD określił dwa priorytety, którymi należy się zająć w perspektywie krótkoterminowej: bieżące umowy między administratorem danych a podmiotem przetwarzającym oraz umowy między podmiotem przetwarzającym a podwykonawcą przetwarzania obejmujące przekazywanie danych do państw trzecich, ze szczególnym naciskiem na umowy zawierane ze Stanami Zjednoczonymi. W tym właśnie kontekście EIOD opracował plan działań dostarczający środków w celu zapewnienia zgodności i egzekwowania regulacji, rozróżniając działania w krótko- i średnioterminowym horyzoncie.
Strategia ta jest dopiero wdrażana, stąd EIOD zdecydowanie zachęca instytucje UE do unikania przekazywania danych osobowych do Stanów Zjednoczonych w przypadku nowych operacji przetwarzania lub nowych umów z dostawcami usług.
Dokument strategii do pobrania
Rekomendacje dla instytucji UE zawarte w nim są zbliżone do tych, spotykanych w gospodarce, obejmują klasyfikację obszarów przetwarzania, priorytetyzację i ocenę ryzyka. Risk-based approach w takich sytuacjach jest kluczowe.
16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał wyrok, który w praktyce podważa dotychczasowe zasady transferu danych osobowych do USA. W wyroku o sygnaturze C-311/18 Data Protection Commissioner przeciwko Facebook Ireland Ltd., Maximilian Schrems (tzw. sprawa Schrems II) TSUE przesądził, że Tarcza Prywatności UE-USA jest nieważna natomiast standardowe klauzule umowne co do zasady są ważne, przy czym samo zawarcie standardowych klauzul umownych z podmiotem z USA nie zapewnia z automatu legalności transferu danych osobowych. Nakłada to na administratora dodatkowy obowiązek oceny. Wyrok wprowadza nieokreśloną czasowo niepewność w zakresie transferu danych do USA, a być może także do innych krajów spoza UE.