Page 24 - Klinika Nr 31–32 (36–37)/2021

Page 24 - Klinika Nr 31–32 (36–37)/2021–2022

P. 24

KORONAWIRUS A ORZECZNICTWO EUROPEJSKIE

i zajęciem stanowiska do czasu dokładnego przeanalizowania czy można i w jaki sposób legalnie transferować dane osobowe
sytuacji; do państw trzecich, w szczególności do USA?
Information Commissioner’s Office (ICO, Wielka Brytania/Zjed- Koniec 2020 r. zaczął przynosić mniej lub bardziej jednoznaczne
noczone Królestwo) : ICO oficjalnie poparł wyrok i jego tezy, rozwiązania problemu transatlantyckich transferów. Wskazać
29
niemniej zadeklarował „wsparcie administratorów w legaliza- w tym miejscu należy przede wszystkim zalecenia wydane w li-
cji transferów”, zatem nie wykluczał możliwości skorzystania stopadzie 2020 r. przez EROD: Zalecenia 01/2020 dot. środków
z innych mechanizmów legalizacji transferu danych osobowych uzupełniających narzędzia przekazywania w celu zapewnienia
do USA; zgodności z unijnym stopniem ochrony danych osobowych oraz
34
Berliński Organ Nadzorczy : Berlin oficjalnie poparł wyrok Zalecenia 02/2020 dot. niezbędnych gwarancji europejskich dla
30
i pouczył administratorów o konieczności wycofania danych środków nadzoru . Wskazane dokumenty przewidują przede
35
osobowych z centrów przetwarzania w USA, tym samym wy- wszystkim konieczność przeprowadzenia wstępnych audytów
kluczając możliwość transatlantyckiego przetwarzania danych w zakresie przestrzegania przez państwo, na terenie którego znaj-
(UE–USA) przynajmniej w obecnym stanie prawnym; duje się odbiorca danych, obowiązków zapewnienia odpowiednich
31
Organ Nadzorczy Nadrenii-Palatynatu : Nadrenia-Palaty- zabezpieczeń przetwarzania danych osobowych i gwarancji pry-
nat oficjalnie poparł wyrok, niemniej w zakresie transferów watności osób, których dane dotyczą. Na podstawie wyników prze-
do USA udzielił mniej zdecydowanej odpowiedzi: „i tak i nie”. prowadzonej analizy administrator lub podmiot przetwarzający
Był to pierwszy i jedyny organ nadzorczy w Europie, który po- może zdecydować, że państwo trzecie, w którym ma siedzibę od-
dał jakiekolwiek szczegóły dotyczące tego, jak będzie oceniał le- bierający dane, spełnia europejskie standardy poszanowania pry-
galność transferów danych osobowych do USA. Był to również watności lub może uznać, że takie gwarancje nie są przewidziane.
organ, który najszybciej zareagował na wyrok C-311/18, już Jeżeli państwo trzecie nie zapewni odpowiedniego poziomu bez-
w 7 godz. po wyroku, publikując tzw. FAQ; pieczeństwa praw i wolności osób, których dane dotyczą, nawet
Prezes Urzędu Ochrony Danych Osobowych (PUODO, Pol- zawarcie umowy opartej na standardowych klauzulach umownych
ska) : Polski regulator poparł wyrok i podkreślił jego wagę, nie może nie zalegalizować transferu, chyba że zostaną podjęte dodat-
32
zajął jednak jednoznacznego stanowiska w sprawie transferów kowe środki bezpieczeństwa. W swoich zaleceniach EROD pro-
do USA na podstawie innych instrumentów legalizujących. Pod- ponuje podjęcie dodatkowych działań, które w jej opinii stanowić
kreślił natomiast, że europejskie organy nadzorcze powinny będą odpowiednie zabezpieczenia gwarantujące bezpieczeństwo
w konsekwencji tej sytuacji podjąć wysiłki w celu wypracowania i przestrzeganie wspólnotowych standardów ochrony danych
wspólnego stanowiska. osobowych.
Wiele organów nadzorczych (w tym np. AEPD, Hiszpania) długo Zgodnie z zaleceniami EROD 01/2020 można wprowadzić trzy ro-
milczało w sprawie możliwych implikacji wyroku C-311/18. Za- dzaje dodatkowych środków w celu wykazania zamiarów, zarówno
gadnienia nie objaśniało również stanowisko Europejskiej Rady podmiotu przekazującego, jak i odbierającego dane, aby działać
Ochrony Danych (EROD) . EROD poparła wyrok i podejście zgodnie z prawem dotyczącym prywatności i ochrony danych
33
do ochrony prywatności zaprezentowane w tezach wyroku, nie- oraz z unijnymi standardami ochrony i prywatności. Te dodat-
mniej nie odniosła się wprost do transferów danych osobowych kowe środki mogą mieć charakter umowny, techniczny lub orga-
do USA. nizacyjny (Zalecenia 01/2020, pkt 47, s. 15). Jednocześnie EROD
Abstrahując od powodów ekonomicznych czy społeczno-kulturo- podkreśla, że same środki umowne i organizacyjne nie wystarczą
wych procesów współzależności i integracji państw, zatrzymanie na ogół do przezwyciężenia podstawowych problemów związanych
transatlantyckich transferów nie jest możliwe z uwagi na bizne- z nieuzasadnionym dostępem rządu państwa trzeciego do danych
sowe powiązania wynikające z powszechnej globalizacji procesów osobowych (Zalecenia 01/2020, pkt 48, s. 15) – wdrożenie środ-
przetwarzania. W krótkim czasie po wyroku zaczęły się więc poja- ków technicznych, które uniemożliwią dostęp do danych osobo-
wiać liczne opracowania i stanowiska zarówno przedstawicieli or- wych przetwarzanych w państwie trzecim (np. szyfrowanie), jest
ganów nadzorczych, instytucji UE oraz Stanów Zjednoczonych, jak niezbędne. Podobne stanowisko prezentowane jest także w porad-
i przedstawicieli doktryny i specjalistów z zakresu ochrony danych niku wydanym przez organ ochrony danych niemieckiego kraju
36
osobowych. Miały one na celu wsparcie administratorów i pod- związkowego Badenia-Wirtembergia (Organ do spraw Ochrony Da-
miotów przetwarzających w szukaniu rozwiązań zaistniałej sytu- nych i Wolności Informacji, LfDI BW), zawierającym szczegółowe
acji. W większości pozostawały one jednak niespójne lub nie da- wytyczne dotyczące międzynarodowego przekazywania danych
wały podstaw do udzielenia jednoznacznej odpowiedzi na pytanie: osobowych po wyroku TSUE z 16.7.2020 r., sprawa C-311/18.
Poradnik opublikowano po raz pierwszy w sierpniu 2020 r. Osta-
teczna i aktualna wersja poradnika istnieje od września 2020 r. Jak
29 Stanowisko Information Commissioner’s Office (ICO, Wielka Brytania/Zjedno- podkreśla LfDI BW, wszystkie trzy typy środków zabezpieczających
czone Królestwo), https://ico.org.uk/about-the-ico/news-and-events/news-and- wskazanych przez EROD należy wziąć pod uwagę i wprowadzić
-blogs/2020/07/ico-statement-on-the-judgement-of-the-european-court-of- w celu wykazania najwyższego poziomu należytej staranności.
justice-in-the-schrems-ii-case/ (dostęp: 2.4.2021 r.).
30 Stanowisko Berlińskiego Organu Nadzorczego, https://www.datenschutz-berlin.
de/fileadmin/ user_upload/pdf/pressemitteilungen/2020/20200717-PM-Nach_
SchremsII_Digitale_Eigenstaendigkeit.pdf (dostęp: 2.4.2021 r.).
31 Stanowisko Organu Nadzorczego Nadrenii-Palatynatu, https://www.datenschutz.
rlp.de/de/themenfelder-themen/datenuebermittlung-in-drittlaender/ (dostęp:
2.4.2021 r.). 34 Zob. https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/re-
32 Stanowisko Prezesa Urzędu Ochrony Danych Osobowych (PUODO, Polska), commendations-012020-measures-supplement-transfer_pl (dostęp: 11.4.2021 r.).
https://uodo.gov.pl/pl/138/1603 (dostęp: 2.4.2021 r.). 35 Zob. https://edpb.europa.eu/our-work-tools/our-documents/preporki/recom-
33 Zob. https://edpb.europa.eu/news/news/2020/statement-court-justice- mendations-022020-european-essential-guarantees_pl (dostęp: 11.4.2021 r.).
european-union-judgment-case-c-31118-data-protection_pl; w wersji polskiej do- 36 https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/
stępne pod treścią stanowiska PUODO: https://uodo.gov.pl/pl/138/1603 (dostęp: 2020/08/Orientierungshilfe-Was-jetzt-in-Sachen-internationaler-Datentransfer.
2.4.2021 r.). pdf (dostęp: 11.4.2021 r.).

edukacjaprawnicza.pl KLINIKA Nr 31-32 (36-37)/2021-2022 23

17.12.2021 11:33
Klinika 31-32(36-37) 2021-2022.indb 23 17.12.2021 11:33
Klinika 31-32(36-37) 2021-2022.indb 23

19 20 21 22 23 24 25 26 27 28 29