Wyszukaj np. artykuły, raporty, "JPK", wydarzenia, "podzielona płatność", "podatek u źródła", "schematy podatkowe", "niedostateczna kapitalizacja", "limit odliczalności", "innovation box"

Wyszukaj w PwC Studio...

Szukaj

Nowe obowiązki związane z oceną ryzyka transferów danych osobowych

17-03-2021 15:49 • Autorzy: Paulina Komorowska-Mrozik • Paweł Seremak •

Transfery danych osobowych to jeden z najgorętszych i problematycznych tematów w dziedzinie ochrony danych w ostatnich miesiącach. Jest to wynik niedawnej decyzji Trybunału Sprawiedliwości UE ("TSUE"). 16 lipca 2020 r. TSUE wydał jeden z najważniejszych wyroków w kontekście ochrony danych osobowych zmieniając drastycznie mechanizmy transferu danych osobowych do krajów spoza Europejskiego Obszaru Gospodarczego (“EOG”), w szczególności do USA.

Każda organizacja przekazująca dane do krajów spoza EOG powinna zweryfikować aktualnie wykorzystywane mechanizmy transferu zarówno pod kątem prawnym, jak również technicznym i bezpieczeństwa danych. Taka weryfikacja musi uwzględniać ocenę ryzyka jakie wiąże się z obowiązywaniem przepisów z obszaru ochrony danych w kraju, do którego są przekazywane dane.

 

Nowe obowiązki eksporterów danych

  1. Zidentyfikowanie wszystkich transferów danych (przepływów danych osobowych) do państw spoza EOG;
  2. Ocena przepisów prawa państwa trzeciego (docelowego miejsca transferu danych) pod kątem konieczności stosowania dodatkowych środków zapewniających ochronę danych osobowych;
  3. Ocena okoliczności faktycznych transferów danych, np. kategorii przekazywanych danych, wolumenu danych, danych szczególnych kategorii, itp;
  4. Przeanalizowanie pod kątem prawnym i technicznym konieczności stosowania dodatkowych środków zapewniających ochronę danych osobowych, t.j. przeprowadzenie oceny ryzyka związanego z transferem;
  5. W zależności od wyniku powyższych analiz, należy zastosować odpowiednie mechanizmy prawne i techniczne pozwalające obniżyć lub wyeliminować określone ryzyka transferu;
  6. Monitorowanie przepisów prawa państwa trzeciego (docelowego miejsca transferu danych) w obszarze ochrony danych osobowych (pkt. 2) oraz okoliczności transferu (pkt. 3) i w przypadku ich zmiany aktualizowanie analiz.
  7. Udokumentowanie powyższych analiz na wypadek kontroli organu nadzorczego.

 

Kogo dotyczą nowe obowiązki?

Nowe obowiązki dotyczą każdego podmiotu, który w ramach swoich procesów biznesowych przekazuje dane osobowe do krajów spoza EOG, w szczególności:

  • grup kapitałowych, które przekazują dane swoich pracowników, kandydatów, klientów, kontrahentów poza EOG (np. w ramach takich systemów jak CRM, ERP, inne);
  • podmiotów, które korzystają z międzynarodowej infrastruktury IT, np. chmury z serwerami w USA lub innych krajach poza EOG, wsparcia technicznego z Indii, kopii zapasowych na serwerach na Tajwanie, etc.

 

Sankcje za niedopełnienie obowiązków

  • kara administracyjna do 4% globalnego obrotu organizacji;
  • nakaz zaprzestania przekazywania danych poza EOG (może spowodować wstrzymanie procesów biznesowych w organizacji).

Autorzy:

Author profile picture
Paulina Komorowska-Mrozik

Counsel, Attorney-at-law

+48 519 504 777

Skontaktuj się z autorem

Author profile picture
Paweł Seremak

Senior Associate

+48 519 507 163

Skontaktuj się z autorem

Kategorie

Udostępnij ten artykuł

Twitter LinkedIn Email

Polecamy

Artykuł zewnętrzny

Program do RODO

Prawo

Pierwsza kara antymonopolowa dla osoby zarządzającej

Opłaty środowiskowe

Obowiązek przestrzegania praw człowieka i norm środowiskowych w całym łańcuchu wartości firm