Page 22 - Klinika Nr 31–32 (36–37)/2021

Page 22 - Klinika Nr 31–32 (36–37)/2021–2022

P. 22

KORONAWIRUS A ORZECZNICTWO EUROPEJSKIE

Zgodnie z art. 45 RODO przekazanie danych osobowych do pań- niezapewniające odpowiedniego stopnia ochrony , co jednocze-
19
stwa trzeciego lub organizacji międzynarodowej może mieć miej- śnie nie wyklucza możliwości zastosowania innych mechanizmów
4
sce, jeżeli Komisja Europejska zdecyduje, że państwo trzecie, te- legalizujących transgraniczny transfer danych do tego państwa.
rytorium, określony sektor lub określone sektory w tym państwie Wśród alternatywnych możliwości legalizacji transferu RODO wy-
trzecim, lub dana organizacja międzynarodowa zapewniają odpo- szczególnia w art. 46 ust. 2 takie rozwiązania, jak standardowe
wiedni stopień ochrony. Taki transfer danych nie wymaga podję- klauzule ochrony danych przyjęte przez Komisję zgodnie z proce-
cia żadnych dodatkowych czynności, w tym uzyskania zezwolenia durą sprawdzającą, o której mowa w art. 93 ust. 2 RODO, lub przy-
Komisji. Wśród krajów, którym Komisja przyznała decyzję stwier- jęte przez organ nadzorczy i zatwierdzone przez Komisję zgodnie
dzającą odpowiedni stopień ochrony, znajduje się: Andora , Argen- z procedurą sprawdzającą, o której mowa w art. 93 ust. 2 RODO.
5
8
7
tyna , Kanada (tylko organizacje komercyjne) , Wyspy Owcze , Obecnie, po przyjęciu przez Komisję nowych zestawów standardo-
6
9
10
11
Guernsey , Wyspa Man , Izrael , Japonia (tylko organizacje z sek- wych klauzul umownych, obowiązują dwa zestawy standardowych
tora prywatnego) , Jersey , Nowa Zelandia , Szwajcaria i Uru- klauzul umownych: jeden dla przetwarzania danych w związku
12
14
15
13
20
gwaj . W tym miejscu należy zaznaczyć, że decyzje adekwatno- z powierzeniem przetwarzania oraz drugi, dedykowany właśnie
16
ściowe względem wszystkich powyżej wskazanych krajów, oprócz transferom danych osobowych do odbiorców danych, którzy nie
Japonii, zostały wydane zgodnie z nieobowiązującym już dzisiaj podlegają przepisom RODO .
21
17
reżimem prawnym dyrektywy 95/46/WE i pozostają aktualne
18
również w reżimie RODO, do czasu ich uchylenia lub zmiany . Transfery danych osobowych do USA
Brak decyzji adekwatnościowej nie oznacza, że transfer danych Transgraniczne transfery danych osobowych, w szczególności
do państwa trzeciego jest niemożliwy per se. Dla jego legalizacji do tzw. data centers zlokalizowanych na terenie Stanów Zjedno-
konieczne jest jednak podjęcie dodatkowych kroków. Zaznaczyć czonych, wymagają legalizacji zgodnie z opisanymi powyżej zasa-
należy, że niektórzy przedstawiciele doktryny, w przypadku braku dami, wynikającymi z Rozdziału V RODO. Na przestrzeni ostat-
decyzji adekwatnościowej wydanej względem konkretnego pań- nich dekad podejmowano wiele działań na rzecz zapewnienia
stwa, uznają że państwo takie należy traktować co do zasady jako legalności transatlantyckich transferów danych.
Szczególnym rodzajem decyzji adekwatnościowych, o których
mowa w art. 45 RODO, były decyzje Komisji dotyczące transfe-
rów danych osobowych do USA. Pierwsza z nich, z 26.7.2000 r.,
4 Dalej jako: Komisja lub KE. ustanawiała program certyfikacji Bezpieczna Przystań (ang. Safe
5 Decyzja 2010/625/UE z 19.10.2010 r. w sprawie odpowiedniej ochrony danych
osobowych w Andorze (Dz.Urz. L Nr 277, s. 27 ze zm.). Harbor). W dniu 6.10.2015 r. w sprawie C-362/14, w postępowa-
6 Decyzja C/2003/1731 Komisji z 30.6.2003 r. na mocy dyrektywy 95/46/WE Par- niu Maximillian Schrems przeciwko Data Protection Commissioner
lamentu Europejskiego i Rady w sprawie właściwej ochrony danych osobowych (tzw. wyrok Schrems I) TSUE uznał decyzję Komisji Europejskiej
w Argentynie (Dz.Urz. WE L Nr 168, s. 19 ze zm.).
7 Decyzja 2002/2/WE Komisji z 20.12.2001 r. na mocy dyrektywy 95/46/WE Par- ustanawiającą program certyfikacji Safe Harbor za nieważną. Tym
lamentu Europejskiego i Rady w sprawie odpowiedniej ochrony danych zapew- samym uniemożliwił legalizację transferów danych osobowych,
nionej w ustawie kanadyjskiej o ochronie informacji osobowych i dokumentów których bezpieczeństwo było chronione na mocy przepisów wspól-
elektronicznych (Dz.Urz. L z 2002 r. Nr 2, s. 13 ze zm.).
8 Decyzja 2010/146/UE z 5.3.2010 r. w sprawie właściwej ochrony na podstawie notowych, do Stanów Zjednoczonych na podstawie samej certyfi-
ustawy Wysp Owczych w sprawie ochrony danych osobowych (Dz.Urz. L Nr 58, kacji Safe Harbor.
s. 17 ze zm.).
9 Decyzja 2003/821/WE Komisji z 21.11.2003 r. w sprawie właściwej ochrony da- Abstrahując od pozostałych argumentów przedstawionych przez
nych osobowych w Guernsey (Dz.Urz. L Nr 308, s. 27 ze zm.). TSUE w treści wyroku, do upadku Safe Harbor bezpośrednio przy-
10 Decyzja 2004/411/WE z 28.4.2004 r. w sprawie odpowiedniej ochrony danych czyniło się ujawnienie przez Edwarda Snowdena informacji dotyczą-
osobowych na wyspie Man (Dz.Urz. L Nr 151, s. 51).
11 Decyzja 2011/61/UE z 31.1.2011 r. na mocy dyrektywy 95/46/WE Parlamentu cych działań operacyjnych prowadzonych przez National Security
Europejskiego i Rady, w sprawie odpowiedniej ochrony danych osobowych w Pań- Agency (NSA) oraz inne organy federalne, polegających na szeroko
stwie Izrael w odniesieniu do zautomatyzowanego przetwarzania danych osobo- zakrojonej inwigilacji z wykorzystaniem środków elektronicznych
wych (Dz.Urz. L Nr 27, s. 39 ze zm.).
12 Decyzja 2019/419/UE z 23.1.2019 r. w sprawie odpowiedniej ochrony danych (w tym podsłuchiwaniem rozmów telefonicznych, m.in. z wyko-
osobowych w Japonii (Dz.Urz. L Nr 76, s. 1). rzystaniem programu PRISM lub przy współpracy z operatorem
13 Decyzja 2008/393/WE z 28.5.2008 r. w sprawie odpowiedniej ochrony danych
osobowych na Jersey (Dz.Urz. L Nr 138, s. 21 ze zm.). telekomunikacyjnym Verizon). Maximilian Schrems (skarżący) po-
14 Decyzja 2013/65/UE z 19.12.2012 r. w sprawie odpowiedniej ochrony danych woływał się na okoliczności ujawnione przez E. Snowdena już w po-
osobowych w Nowej Zelandii (Dz.Urz. L z 2013 r. Nr 28, s. 12 ze zm.). stępowaniu przed Data Protection Commissionaire . W późniejszym
22
15 Decyzja 2000/518/WE Komisji z 26.7.2000 r. na mocy dyrektywy 95/46/WE Par-
lamentu Europejskiego i Rady w sprawie właściwej ochrony danych osobowych etapie postępowania High Court (odpowiednik Sądu Najwyższego
w Szwajcarii (Dz.Urz. L Nr 215, s. 1 ze zm.). w Irlandii) uznał, że „informacje ujawnione przez E. Snowdena
16 Decyzja 2012/484/UE z 21.8.2012 r. w sprawie odpowiedniej ochrony danych
osobowych w Republice Urugwaju (Dz.Urz. L Nr 227, s. 11 ze zm.).
17 Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z 24.10. 1995 r. w spra-
wie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swo-
bodnego przepływu tych danych (Dz.Urz. L Nr 281, s. 31–50) (dalej jako: dyrek- 19 P. Drobek, [w:] E. Bielak-Jomaa, D. Lubasz (red.), RODO, op.cit., art. 45, Nb. 1,
tywa 95/46/WE); uchylona 24.5.2018 r. s. 865.
18 Art. 45 ust. 9 RODO; P. Drobek, [w:] E. Bielak-Jomaa, D. Lubasz (red.), RODO. 20 Decyzja wykonawcza Komisji 2018/1725 z 4.06.2021 r. w sprawie standardowych
Ogólne Rozporządzenie o Ochronie Danych. Komentarz, Warszawa 2018, art. 45, klauzul umownych między administratorami a podmiotami przetwarzającymi na
Nb. 11, s. 869; M. Kawecki, P. Barta, P. Litwiński, [w:] P. Litwiński (red.), Rozpo- podstawie art. 28 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE)
rządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem 2016/679 oraz art. 29 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady
danych osobowych i swobodnym przepływem takich danych. Komentarz, War- (UE) (Dz.Urz. UE L 199, s. 18).
szawa 2018, art. 45, Nb. 5, s. 635; B. Fischer, [w:] M. Sakowska-Baryła (red.), Ogól- 21 Decyzja wykonawcza Komisji 2016/679 z 4.6.2021 r. w sprawie standardowych
ne rozporządzenie o ochronie danych osobowych. Komentarz, Warszawa 2018, klauzul umownych dotyczących przekazywania danych osobowych do państw
art. 5, Nb. 2, s. 464; P. Fajgielski, Ogólne Rozporządzenie o Ochronie Danych. trzecich na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE)
Ustawa o Ochronie Danych Osobowych. Komentarz, Warszawa 2018, art. 45, (Dz.Urz. UE L 199, s. 31).
Nb. 7, s. 489; pkt 52, wyr. TSUE z 6.10.2015 r. w sprawie C-362/14, w postę- 22 Data Protection Commissionaire to organ nadzorczy sprawujący kontrolę i nad-
powaniu Maximillian Schrems przeciwko Data Protection Commissioner i powołane zór nad przetwarzaniem danych osobowych w Irlandii, będący odpowiednikiem
tam orzecznictwo. polskiego Prezesa Urzędu Ochrony Danych Osobowych.
edukacjaprawnicza.pl KLINIKA Nr 31-32 (36-37)/2021-2022 21
17.12.2021 11:33
Klinika 31-32(36-37) 2021-2022.indb 21 17.12.2021 11:33
Klinika 31-32(36-37) 2021-2022.indb 21

17 18 19 20 21 22 23 24 25 26 27