Ta strona korzysta z plików cookies. Zasady ich przechowywania są dostępne w Polityce prywatności
Transfery danych osobowych to jeden z najgorętszych i problematycznych tematów w dziedzinie ochrony danych w ostatnich miesiącach. Jest to wynik niedawnej decyzji Trybunału Sprawiedliwości UE ("TSUE"). 16 lipca 2020 r. TSUE wydał jeden z najważniejszych wyroków w kontekście ochrony danych osobowych zmieniając drastycznie mechanizmy transferu danych osobowych do krajów spoza Europejskiego Obszaru Gospodarczego (“EOG”), w szczególności do USA.

Każda organizacja przekazująca dane do krajów spoza EOG powinna zweryfikować aktualnie wykorzystywane mechanizmy transferu zarówno pod kątem prawnym, jak również technicznym i bezpieczeństwa danych. Taka weryfikacja musi uwzględniać ocenę ryzyka jakie wiąże się z obowiązywaniem przepisów z obszaru ochrony danych w kraju, do którego są przekazywane dane.

 

Nowe obowiązki eksporterów danych

  1. Zidentyfikowanie wszystkich transferów danych (przepływów danych osobowych) do państw spoza EOG;
  2. Ocena przepisów prawa państwa trzeciego (docelowego miejsca transferu danych) pod kątem konieczności stosowania dodatkowych środków zapewniających ochronę danych osobowych;
  3. Ocena okoliczności faktycznych transferów danych, np. kategorii przekazywanych danych, wolumenu danych, danych szczególnych kategorii, itp;
  4. Przeanalizowanie pod kątem prawnym i technicznym konieczności stosowania dodatkowych środków zapewniających ochronę danych osobowych, t.j. przeprowadzenie oceny ryzyka związanego z transferem;
  5. W zależności od wyniku powyższych analiz, należy zastosować odpowiednie mechanizmy prawne i techniczne pozwalające obniżyć lub wyeliminować określone ryzyka transferu;
  6. Monitorowanie przepisów prawa państwa trzeciego (docelowego miejsca transferu danych) w obszarze ochrony danych osobowych (pkt. 2) oraz okoliczności transferu (pkt. 3) i w przypadku ich zmiany aktualizowanie analiz.
  7. Udokumentowanie powyższych analiz na wypadek kontroli organu nadzorczego.

 

Kogo dotyczą nowe obowiązki?

Nowe obowiązki dotyczą każdego podmiotu, który w ramach swoich procesów biznesowych przekazuje dane osobowe do krajów spoza EOG, w szczególności:

  • grup kapitałowych, które przekazują dane swoich pracowników, kandydatów, klientów, kontrahentów poza EOG (np. w ramach takich systemów jak CRM, ERP, inne);
  • podmiotów, które korzystają z międzynarodowej infrastruktury IT, np. chmury z serwerami w USA lub innych krajach poza EOG, wsparcia technicznego z Indii, kopii zapasowych na serwerach na Tajwanie, etc.

 

Sankcje za niedopełnienie obowiązków

  • kara administracyjna do 4% globalnego obrotu organizacji;
  • nakaz zaprzestania przekazywania danych poza EOG (może spowodować wstrzymanie procesów biznesowych w organizacji).