Blog

Przekazanie danych do państwa trzeciego

Między organizacjami z państw EOG a organizacjami z państw z innych części świata występują liczne stosunki międzynarodowe, które pociągają za sobą konieczność przetwarzania danych osobowych. Z tego powodu rodo w rozdziale V przewiduje instrumenty transferu danych, mające na celu zachowanie poziomu ochrony danych równoważnego temu zapewnianemu w UE.

Decyzja o adekwatności, art. 45 rodo

Najbardziej uniwersalnym instrumentem, który nie wymaga od organizacji w UE dodatkowych zabiegów, jest decyzja o adekwatności o której mowa w art. 45 rodo. Decyzją taka uwarunkowana jest oceną prawodawstwa i praktyk w państwie trzecim przez Komisję Europejską. KE publikuje listę państw wobec których została wydana decyzja. Należy zawsze zapoznać się z decyzją, ponieważ mogą różnić się treścią i nie obejmować wszystkich organizacji w danym państwie trzecim. Np. słynna decyzja odnośnie USA, tzw. Tarcza prywatności obejmowała tylko organizacje, które przystąpiły do tarczy. Decyzja taka oznacza, że państwo trzecie (jego ustawodawstwo i władze publiczne) jest bezpieczne dla osoby, której dane podlegają rodo i w związku z tym organizacja (ado/proc) nie musi dodatkowo spełniać żadnych wymogów na okoliczność transferu, oczywiście musi dbać generalnie o legalność na gruncie rodo, np. o podstawy przetwarzania itd.

Instrumenty indywidualne stanowiące „odpowiednie zabezpieczenia”, art. 46 rodo

Jeśli KE nie wydała decyzji o adekwatności na podstawie art. 45 rodo, to organizacja podlegająca rodo musi samodzielnie zalegalizować transfer na podstawie art. 46 rodo. Przepis ten w ust. 2 wymienia kilka instrumentów transferu, z których najpopularniejszy stanowią tzw. standardowe klauzule kontraktowe (SCC) wydane w drodze decyzji przez KE. Jest to dokument podobny do umowy powierzenia (jeden z modułów nawet zastępuje um powierzenia), który określa najważniejsze obowiązki organizacji i prawa osoby, której dane dotyczą, można powiedzieć, że powtarza najważniejsze postanowienia rodo, które exporter i importer czynią swoim prawem umownym (między stronami).

Dwa warunki, które podlegają „odpowiednim zabezpieczeniom”

Jednak aby zalegalizować transfer w drodze SCC, nie wystarczy podpisać tego dokumentu z importerem w państwie trzecim, ponieważ przepis art. 46 ust. 1 rodo wymaga dodatkowych dwóch warunków, które zapewnić ma importer:

  • egzekwowalne prawa osób, których dane dotyczą,
  • skuteczne środki ochrony prawnej (środki zaskarżenia).

Importer ma spełniać te warunki, ale exporter może ujawnić dane dopiero jak oceni i udokumentuje, że importer jest w stanie to zrobić i jest do tego zobowiązany, przynajmniej umownie (w drodze SCC). SCC są tak zredagowane, że nakładają na importera te dwa warunki, ale żeby tak stworzone prawo umowne przez strony SCC było skuteczne, to prawo stanowione w państwie trzecim musi przynajmniej nie stać na przeszkodzie temu prawu umownemu.

Z tego względu przed podpisaniem SCC i przekazaniem (ujawnieniem) danych exporter musi dokonać analizy. Jest to swego rodzaju analiza ryzyka, kolejna obok analizy przed na ruszeniem i analizy po naruszeniu.

Analiza 6 kroków EROD – procedura Transfer Impact Assessment (TIA)

Po wyroku Schrems II EROD wydał Zalecenia 01/2020 dotyczące środków uzupełniających narzędzia przekazywania w celu zapewnienia zgodności z unijnym stopniem ochrony danych osobowych. Dokument ten ma pomóc organizacjom z UE stworzyć procedurę transferu danych do państwa trzeciego na podstawie instrumentu z art. 46 rodo. EROD zaleca przejście 6 kroków, jak poniżej:

  1. Krok pierwszy: zidentyfikowanie procesów w których występuje przekazanie danych do państwa trzeciego. Odbywa się to w ramach inwentaryzacji procesów, w trakcie budowania rejestru czynności przetwarzania (rcpd). Należy zwrócić uwagę jaki jest zakres zastosowania rodo, definicja przekazywania czy państwa trzeciego.
  2. Krok drugi: sprawdzenie czy trzeba stosować konkretne instrumenty transferu z art. 46 rodo (w tym najpopularniejsze SCC) albo wyjątkowe instrumenty o których mowa w art. 49 rodo czy istnieje wydana generalna decyzja o adekwatności z art. 45 rodo, która nie wymaga dodatkowych działań ze strony exportera.
  3. Krok trzeci: jeśli nie ma decyzji z art. 45 rodo, zbadanie ustawodawstwa i praktyki stosowania prawa państwa trzeciego, w celu ustalenia czy prawo ochrony danych osobowych tam obowiązujące zapewnia stopień ochrony równoważny temu stworzonemu przez rodo. W szczególności należy ustalić czy:
    • istnieją egzekwowalne wobec władzy publicznej prawa osoby, której dane dotyczą,
    • osobie przysługują sądowe środki zaskarżenia na działania naruszające prawo do prywatności.
  4. Krok czwarty: jeśli w wyniku analizy ustawodawstwa w kroku trzecim okaże się, że ustawodawstwo to ma braki i nie osiąga wymaganego poziomu, exporter obowiązany jest przyjąć środki uzupełniające.
  5. Krok piąty: podjęcie niezbędnych działań proceduralnych w zależności od wymogów przepisów dotyczących konkretnego instrumentu, np. art. 46 ust. 3 rodo wymaga zezwolenia organu nadzorczego.
  6. Krok szósty: dokonywanie – w odpowiednich odstępach czasu – ponownej oceny stopnia ochrony danych przekazywanych do państw trzecich i monitorowanie, czy wystąpiły lub wystąpią jakiekolwiek zmiany w tym zakresie.

Z tych sześciu kroków powinna powstać procedura transferu danych, przy czym najważniejszy punkt (krok) tej procedury stanowi krok 3 – zbadanie ustawodawstwa i praktyk państwa importera. Przy wypełnieniu tego zadania exporter może, a nawet powinien skorzystać z pomocy importera, w praktyce może to wyglądać podobnie jak ankieta weryfikacyjna procesora, z tym ze tutaj importer udzieli odpowiedzi nt. systemu prawnego, w którym funkcjonuje.

Istotnym elementem badania równoważności poziomu ochrony zapewnianego przez prawo państwa importera, jest stwierdzenie czy prawo to, w kontekście środków nadzoru władzy publicznej (dostępu do danych), spełnia 4 tzw. niezbędne gwarancje europejskie (NGE), o których mowa w Zaleceniach 02/2020. NGE przedstawiają się w następujący sposób:

A. przetwarzanie powinno być oparte na jasnych, precyzyjnych i dostępnych zasadach;
B. należy wykazać niezbędność i proporcjonalność w odniesieniu do uzasadnionych zamierzonych
celów;
C. powinien istnieć mechanizm niezależnej kontroli;
D. skuteczne środki ochrony prawnej muszą być dostępne dla osób fizycznych.

Decyzja negatywna (art. 45. ust. 5 rodo), orzeczenie unieważniające TSUE

Punkt ten ma w pełni zastosowanie jeśli KE lub TSUE w ogóle nie zajmowały się oceną ustawodawstwa państwa trzeciego – nie została wydana decyzja negatywna przez KE ani wyrok unieważniający decyzję przez TSUE. Wtedy exporter ma pełne pole do popisu. Jednak co w sytuacji gdy organy UE już oceniły negatywnie system prawny państwa trzeciego, czyli że osoba, której dane podlegają rodo jest zagrożona ze strony organów władzy publicznej państwa trzeciego.

Ponowna ocena co do konkretnego przekazania

Wydawałoby się, że exporter nie ma możliwości ponownie badać ustawodawstwa i dokonywać odmiennej oceny niż organy UE. Jednak w drugiej wersji Zaleceń 01/2020 (po konsultacjach publicznych) EROD przyjmuje, że exporter może w wyniku badania ustalić, że jego konkretne przekazanie nie jest zagrożone ze strony wadliwego systemu prawnego państwa trzeciego albo że praktyka stosowania prawa jest taka, że przekazanie nie będzie zagrożone (s. 19). Należy podejrzewać, że uelastycznienie stanowiska w stosunku do pierwszej wersji Zaleceń wynika z chęci złagodzenia skutków wyroku Schrems II, który praktycznie wyłączył możliwość transferu danych do USA. Została tym wyrokiem stworzona schizofreniczna sytuacja, gdzie z jednej strony nie ma zakazu handlu z USA a z drugiej nie ma możliwości transferu danych, który jest niezbędny dla istnienia stosunków handlowych. Jednak stronę dalej w przypisie 55 powiedziano, że nawet jeśli exporter ustali, że tzw. problematyczne przepisy nie są w praktyce stosowane do konkretnego przekazania, to i tak trzeba wprowadzić środki uzupełniające jeśli organy publiczne mogą uzyskać dostęp w momencie przekazania. Wypowiedzi te są trochę niespójne, co nie jest wyjątkowym zjawiskiem w Wytycznych/Zaleceniach EROD.

Aby ustalić ten konkretny kontekst prawny (lub praktykę jeśli jest odmienna od prawidłowo wyłożonych przepisów), EROD zauważa (s. 16), że trzeba ustalić okoliczności konkretnego przekazania, w oparciu o kryteria:

  • celów, w jakich dane są przekazywane i przetwarzane (np. marketing, HR, przechowywanie, wsparcie informatyczne, badania kliniczne);
  • rodzajów podmiotów zaangażowanych w przetwarzanie (prywatne czy publiczne; administrator czy podmiot przetwarzający);
  • sektora, w którym przekazywanie ma miejsce (np. adtech, telekomunikacja, sektor finansowy itd.);
  • kategorii przekazywanych danych osobowych (np. dane osobowe dotyczące dzieci mogą być objęte zakresem stosowania przepisów szczególnych w państwie trzecim);
  • tego, czy dane będą przechowywane w państwie trzecim i czy do danych przechowywanych w UE/EOG możliwy będzie dostęp zdalny;
  • formatu danych, które będą przekazywane (tj. czy dane będą w formie zwykłego tekstu, spseudonimizowane lub zaszyfrowane);
  • możliwości dalszego przekazywania danych z jednego państwa trzeciego do innego państwa trzeciego.

Oczywiście kontekst prawny należy uwzględniać podczas TIA również w sytuacji kiedy organy UE nie oceniały prawa importera przy okazji decyzji o adekwatności.

Środki uzupełniające – szyfrowanie, pseudonimizacja

W każdym razie jeśli exporter ustali w wyniku własnej analizy prawa importera, że umowny instrument transferu, jak SCC, może być naruszony przez prawo stanowione exportera (w szczególności nieproporcjonalny dostęp władz publicznych) to musi stosować środki uzupełniające. Lektura Zaleceń wskazuje na to (s. 32-34), że EROD za skuteczny środek uzupełniający uznaje w takiej sytuacji szyfrowanie albo pseudonimizację. Oznacza to, że jeśli w państwie trzecim jest nierównoważny system prawa ochrony danych w stosunku do prawa UE, można tam jedynie powierzyć operację przechowywania danych, dostępu (klucza) oczywiście nie może otrzymać importer, bo mógłby być zmuszony do ujawnienia klucza i tym samym danych organom publicznym. Natomiast EROD nie jest w stanie zaproponować skutecznego środka uzupełniającego jeśli przetwarzanie wymaga dostępu importera (nie można skorzystać z szyfrowania czy pseudonimizacji) a przy tym dostęp organów publicznych państwa importera wykracza poza to, co jest niezbędne i proporcjonalne w demokratycznym społeczeństwie, w którym w praktyce do przedmiotowego przekazywania danych stosuje się problematyczne przepisy państwa trzeciego (s. 37).

Środki uzupełniające umowne i organizacyjne

EROD podaje jeszcze kilka przykładów środków uzupełniających o charakterze umownym lub organizacyjnym, jednak ich znaczenie jest tylko wspomagające w sytuacji kiedy prawo importera jest zasadniczo zgodne z prawem UE a ich rola niewielka w porównaniu do jedynego faktycznie mającego znaczenie środka technicznego jakim jest szyfrowanie czy pseudonimizacja (ew przetwarzanie dzielone, które można uznać za wariant pseudonimizacji, ponieważ części podzielonych danych stanowią dla siebie nawzajem informacje dodatkowe, dzięki którym możliwe jest przypisanie całości do osoby). Jakkolwiek zgodnie z motywem 26 przez pseudonimizację informacja nie traci statusu danych osobowych, to wątpliwe jest czy przesłanie danych spseudonimizowanych stanowi przekazanie do państwa trzeciego, ponieważ zgodnie z funkcjonalną wykładnią tego terminu, żeby mówić o przekazaniu musi dość do ujawnienia danych osobowych, a tu informacje dodatkowe umożliwiające identyfikację pozostają w państwie EOG pod kontrolą exportera. Niemniej jednak w punkcie 54 Zaleceń EROD podaje niewyczerpującą listę czynników, które należy brać pod uwagę ustalając środki uzupełniające, które najlepiej zabezpieczą przekazanie danych:

  • format danych, które będą przekazywane (tj. w formie zwykłego tekstu, spseudonimizowanego lub zaszyfrowanego);
  • charakter danych (np. wyższy stopień ochrony zapewniany jest w EOG kategoriom danych, o których mowa w art. 9 i 10 RODO);
  • długość i złożoność procesu przetwarzania danych, liczba podmiotów uczestniczących w przetwarzaniu i relacje między nimi (np. czy przekazywanie obejmuje wielu administratorów lub zarówno administratorów, jak i podmiotów przetwarzających, czy też udział podmiotów przetwarzających, które będą przekazywać otrzymane dane do podmiotu odbierającego dane (uwzględniając stosowne przepisy znajdujące zastosowanie do nich na podstawie prawa państwa trzeciego przeznaczenia-);
  • technika lub parametry praktycznego stosowania prawa państwa trzeciego zawarte w kroku 3;
  • możliwość dalszego przekazywania danych w ramach tego samego państwa trzeciego lub nawet do innych państw trzecich (np. zaangażowanie podmiotów podprzetwarzających podmiotu odbierającego dane).

Konkluzja

Konkluzja jest taka, że żeby był możliwy transfer danych do państwa trzeciego w innych celach niż tylko przechowywanie zaszyfrowanej kopii danych, prawo tego państwa musi być pozytywnie zweryfikowane, jako równoważne prawu UE pod względem ochrony danych osobowych. TIA wprawdzie wykazuje podobieństwa do analizy ryzyka, ale raczej przez fakt że dochodzi tu do analizy prawa, a nie dlatego że kalkulujemy ryzyko – co do transferu danych przepisy nie przewidują gradacji ryzyka. Ani z przepisów rodo ani z Zaleceń nie wynika, żeby exporter miał określać poziom ryzyka i w zależności jak to wyjdzie podejmował czynności (tak jak np. przy analizie ryzyka naruszenia odo, zgłoszenie do UODO lub również zawiadomienie podmiotu danych). Tu sytuacja jest bardziej klarowna:

  • albo państwo trzecie zapewnia równoważną ochronę generalnie (co ustaliła KE decyzją albo exporter w drodze TIA),
  • albo exporter w drodze TIA ustalił, że dla konkretnego przekazania sytuacja podmiotu danych będzie równoważna, ze względu na zakres obowiązywania przepisów lub praktykę stosowania prawa.

EROD w złagodzonych Zaleceniach dopuszcza uwzględnienie również praktyki w kontekście konkretnego przekazania. Prawdopodobnie oznacza to, że jeśliby importer oświadczył (bo trudno wymagać dowodu na fakt negatywny), że odkąd funkcjonuje na rynku (a jest to dłuższy czas) organy publiczne nigdy nie żądały od niego dostępu do danych osób do których stosuje się rodo, to exporter mógłby ustalić, że praktyka stosowania prawa w państwie trzecim jest taka, że przekazanie nie będzie zagrożone (s. 19). Warto przytoczyć fragment wypowiedzi EROD:

ewentualnie mogą Państwo podjąć decyzję o przekazaniu danych bez konieczności wdrażania środków uzupełniających, jeżeli uważają Państwo, że nie ma powodu, by sądzić, że w praktyce do przekazanych przez Państwa danych lub podmiotu odbierającego dane stosowane będą odnośne i problematyczne przepisy. Będą Państwo musieli wykazać i udokumentować w drodze przeprowadzonej przez siebie oceny – w stosownych przypadkach we współpracy z podmiotem odbierającym dane – że prawo nie jest interpretowane lub stosowane w praktyce w taki sposób, aby objąć przekazane dane i podmiot odbierający je, zważywszy również na doświadczenia innych podmiotów działających w tym samym sektorze lub związanych z podobnymi przekazywanymi danymi osobowymi oraz dodatkowymi źródłami informacji opisanymi poniżej.

Problematyczne przepisy

Zgodnie z przypisem 50: „Problematyczne przepisy” oznaczają przepisy, które

1) nakładają na odbiorcę danych osobowych z Unii Europejskiej obowiązki lub wpływają na przekazywane dane w sposób, który może naruszać umowne gwarancje narzędzi przekazywania dotyczące merytorycznie równoważnego stopnia ochrony oraz

2) naruszają istotę podstawowych praw i wolności uznanych w Karcie praw podstawowych Unii Europejskiej lub wykraczają poza to, co jest niezbędne i proporcjonalne w społeczeństwie demokratycznym do ochrony jednego z ważnych celów uznanych również w prawie Unii lub państw członkowskich UE, takich jak cele wymienione w art. 23 ust. 1 RODO.

Czyli można przekazać dane jeśli problematyczne przepisy nie mają zastosowania do konkretnego przekazania albo wobec tego przekazania są przepisami martwymi (niestosowanymi w praktyce).

Wyjątki z art. 49 rodo

Nie patrząc czy jest decyzja o adekwatności z art. 45 i czy można skorzystać z instrumentu umownego z art. 46, jeśli przekazanie jest sporadyczne (motyw 111) exporter ma możliwości w postaci wyjątków z art. 49 rodo (tak, uwaga 27 Zaleceń 01/2020). Przekazanie może nastąpić w poniżej wymienionych okolicznościach:

  • osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którymi – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę;
  • przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą;
  • przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;
  • przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;
  • przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;
  • przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; lub
  • przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego.
  • jeżeli przekazanie nie może się opierać na art. 45 ani 46, w tym na przepisach dotyczących wiążących reguł korporacyjnych, i nie ma zastosowania żaden z wyjątków mających zastosowanie w szczególnych sytuacjach zgodnie z akapitem pierwszym niniejszego ustępu, przekazanie do państwa trzeciego lub organizacji międzynarodowej może nastąpić wyłącznie, gdy przekazanie nie jest powtarzalne, dotyczy tylko ograniczonej liczby osób, których dane dotyczą, jest niezbędne ze względu na ważne prawnie uzasadnione interesy realizowane przez administratora, wobec których charakteru nadrzędnego nie mają interesy ani prawa i wolności osoby, której dane dotyczą a administrator ocenił wszystkie okoliczności przekazania danych i na podstawie tej oceny zapewnił odpowiednie zabezpieczenia w zakresie ochrony danych osobowych. Administrator informuje organ nadzorczy o przekazaniu. Poza informacjami, o których mowa w art. 13 i 14, administrator podaje osobie, której dane dotyczą, także informacje o przekazaniu i o ważnych prawnie uzasadnionych interesach realizowanych przez niego [klauzula prawnie uzasadnionego interesu exportera] – wymaga przeprowadzenia rozbudowanego testu równowagi. Klauzula prawnie uzasadnionego interesu w przeciwieństwie do poprzednich wyjątków musi być poprzedzona próbą zastosowania art. 46 rodo.

Poziom ryzyka

Pomimo ryzyka związanego z niekontrolowanym dostępem organów publicznych państwa trzeciego, prawodawca rozpoznał sytuacje kiedy dobro wynikające z przekazania przeważa nad ewentualnym uszczerbkiem, którego może doznać osoba. W szczególności osoba może się po prostu zgodzić na transfer akceptując ryzyko. Ponadto ważniejsze jest roszczenie exportera niż bezpieczeństwo danych dłużnika. Przy tym prawodawca pewnie zdaje sobie sprawę jaki jest poziom ryzyka, który można obrazowo przedstawić w ten sposób, że: prędzej osoba, której dane dotyczą spotka jednorożca niż agent Smith z CIA wykorzysta jej dane w celu doprowadzenia do uszczerbku fizycznego lub szkody majątkowej. Jest tak dlatego, że choć poziom wadliwości prawa (nieadekwatności z prawem UE) w różnych krajach może być różny, to istnieje domniemanie faktyczne, że jeśli na kraj nie zostały nałożone sankcje w postaci zakazów handlowych, zamrożenia aktywów, zakazu podróżowania itd., bo państwo jest skompromitowanym na arenie międzynarodowej reżimem, to we władzach publicznych tego państwa nie ma przestępców, w tym cyberprzestępców.