Transfery danych osobowych to jeden z najgorętszych i problematycznych tematów w dziedzinie ochrony danych w ostatnich miesiącach. Jest to wynik niedawnej decyzji Trybunału Sprawiedliwości UE ("TSUE"). 16 lipca 2020 r. TSUE wydał jeden z najważniejszych wyroków w kontekście ochrony danych osobowych zmieniając drastycznie mechanizmy transferu danych osobowych do krajów spoza Europejskiego Obszaru Gospodarczego (“EOG”), w szczególności do USA.
Każda organizacja przekazująca dane do krajów spoza EOG powinna zweryfikować aktualnie wykorzystywane mechanizmy transferu zarówno pod kątem prawnym, jak również technicznym i bezpieczeństwa danych. Taka weryfikacja musi uwzględniać ocenę ryzyka jakie wiąże się z obowiązywaniem przepisów z obszaru ochrony danych w kraju, do którego są przekazywane dane.
Nowe obowiązki eksporterów danych
- Zidentyfikowanie wszystkich transferów danych (przepływów danych osobowych) do państw spoza EOG;
- Ocena przepisów prawa państwa trzeciego (docelowego miejsca transferu danych) pod kątem konieczności stosowania dodatkowych środków zapewniających ochronę danych osobowych;
- Ocena okoliczności faktycznych transferów danych, np. kategorii przekazywanych danych, wolumenu danych, danych szczególnych kategorii, itp;
- Przeanalizowanie pod kątem prawnym i technicznym konieczności stosowania dodatkowych środków zapewniających ochronę danych osobowych, t.j. przeprowadzenie oceny ryzyka związanego z transferem;
- W zależności od wyniku powyższych analiz, należy zastosować odpowiednie mechanizmy prawne i techniczne pozwalające obniżyć lub wyeliminować określone ryzyka transferu;
- Monitorowanie przepisów prawa państwa trzeciego (docelowego miejsca transferu danych) w obszarze ochrony danych osobowych (pkt. 2) oraz okoliczności transferu (pkt. 3) i w przypadku ich zmiany aktualizowanie analiz.
- Udokumentowanie powyższych analiz na wypadek kontroli organu nadzorczego.
Kogo dotyczą nowe obowiązki?
Nowe obowiązki dotyczą każdego podmiotu, który w ramach swoich procesów biznesowych przekazuje dane osobowe do krajów spoza EOG, w szczególności:
- grup kapitałowych, które przekazują dane swoich pracowników, kandydatów, klientów, kontrahentów poza EOG (np. w ramach takich systemów jak CRM, ERP, inne);
- podmiotów, które korzystają z międzynarodowej infrastruktury IT, np. chmury z serwerami w USA lub innych krajach poza EOG, wsparcia technicznego z Indii, kopii zapasowych na serwerach na Tajwanie, etc.
Sankcje za niedopełnienie obowiązków
- kara administracyjna do 4% globalnego obrotu organizacji;
- nakaz zaprzestania przekazywania danych poza EOG (może spowodować wstrzymanie procesów biznesowych w organizacji).