Miłosz Ciekalski
Europejska Rada Ochrony Danych opublikowała nowe wytyczne dotyczące przenoszenia danych osobowych poza granicę Unii Europejskiej. Dokument został przedstawiony 11 listopada i ma za zadanie wskazać drogę do wyjścia ze stanu niepewności. Sytuacja powstała po wyroku TSUE z lipca 2020 roku, który unieważnił Tarczę Prywatności UE-USA, a z tego powodu w tarapatach znalazły się takie firmy jak Facebook czy Google. Czy nowo przedstawione wytyczne EROD rozwiążą problem?
Warto przypomnieć całą sytuacje od początku - wszystko rozpoczęło się w lipcu tego roku, kiedy to Trybunał Sprawiedliwości Unii Europejskiej orzekł, że warunki transferu danych osobowych zebranych na terenie UE nie gwarantują poziomu ochrony, jakie daje RODO. Sprawa Schrems II, bo również tak jest nazywana, uderzyła m.in w amerykańskich gigantów, takich jak Facebook czy Google. Wyrok sprawił, że ówczesne środki ochrony danych osobowych stały się niewystarczające, a ich transferowanie poza granicę UE zostało zabronione. Jak wiemy, bez takiej możliwości Facebook, Google Analytic czy Gmail nie mogą dobrze funkcjonować.
Decyzja TSUE była krytykowana z wielu względów, zaczynając od zarzutów dotyczących rozjazdu wyroku z biznesową rzeczywistością, po brak okresu przejściowego i brak zaproponowania odpowiednich rozwiązań.
Jednakże, po 5 miesiącach, prace odpowiedniej grupy zadaniowej EROD dobiegły końca i doczekaliśmy się publikacji konkretnych wytycznych. Aktualny projekt rekomendacji został poddany publicznym konsultacjom, które mają potrwać do końca listopada.
Co znajdziemy w 38-stronicowym dokumencie?
- Przede wszystkim wskazuje on cały proces, jaki należy przejść, by zbadać konkretny przypadek przetwarzania danych, a następnie wskazuje środki, jakie należy zastosować - chociaż mogą one być uciążliwe dla firm - skomentował rekomendacje Jacek Grabowski, ekspert w dziedzinie ochrony danych osobowych.
Jeśli ktoś szuka konkretnych wskazówek umożliwiających transfer danych do państw trzecich, to dla niego najważniejszymi punktami nowego dokumentu będą zapisy wskazujące konieczne i wystarczające wymogi techniczne dla scenariuszy:
- przechowywania danych w celu tworzenia kopii zapasowych i dla innych celów, które nie wymagają jawnego dostępu do danych
- transferu danych spseudonimizowanych
- zaszyfrowania danych przesyłanych przez państwo trzecie
- ochrony odbiorcy danych przez prawo kraju trzeciego
- podziału danych przez eksportera danych i odbiorcę - odbiorca łączy dane z kilku źródeł wskazanych przez podmiot eksportujący dane
Kolejne strony dokumentu odnoszą się do scenariuszy przetwarzania danych, które można odnieść do usług, takich jak Gmail, Google Analytic czy Captcha. Punkty 88-91 przedstawiają scenariusz ochrony danych osobowych w przypadku korzystania z dostawcy usług w chmurze (jako z podmiotu przetwarzającego) w państwie trzecim. Jeśli administrator danych przekazuje je dostawcy, a dostawca usług w chmurze potrzebuje dostępu do danych w celu wykonania przydzielonego zadania (przy czym dane nie są zaszyfrowane) oraz uprawnienia władzy w kraju otrzymującego dostęp do danych są wysokie (jak w USA, gdzie rząd ma szerokie możliwości dostępu do danych) to EROD nie jest w stanie zapewnić, że owe dane są bezpieczne i nie dojdzie do naruszenia praw osób.
W kolejnej części rekomendacji jest opisany scenariusz, w którym przekazujący dane udostępnia dane osobowe podmiotom w państwie trzecim do wykorzystania w ich celach biznesowych. W tym przypadku również EROD stwierdza, że jego stan wiedzy nie pozwala na wyobrażenie sobie skutecznego środka technicznego, który sprawi, że dane będą bezpieczne i nie dojdzie do naruszenia.
Podsumowując - co nowe rekomendacje oznaczają dla technologicznych gigantów?
Spełnienie odpowiednich wytycznych w przypadku korzystania z usług Facebooka czy Google'a będzie bardzo trudne. Wymagają one dużego nakładu pracy, który i tak może okazać się niewystarczający. To nie jest jeszcze ostateczna wersja dokumentu i warto wstrzymać się ze zbyt pochopnymi ocenami wytycznych, ponieważ mogą one ulec zmianie. Takie rekomendacje rzadko ulegały gruntownym zmianom w toku konsultacji publicznych, jednak nigdy nie dotyczyły tak trudnej rynkowo sytuacji.
- Wytyczne są imponujące, odzwierciedlają ogromny wysiłek podejmowany przez EROD i krajowe organy w celu przedstawienia konkretnych przykładów i możliwości dla firm, aby sprostały prawie niemożliwemu do wykonania zadaniu - znalezieniu sposobu na utrzymanie unijnych standardów ochrony danych w z natury globalnym i wielokulturowym świecie, w którym normy i przepisy się różnią - podsumowuje Jacek Grabowski, ekspert od ochrony danych osobowych.
netPR.pl sp. z o.o. jest firmą technologiczną, dostawcą oprogramowania w chmurze wspomagającego komunikację firm, marketing, public relations oraz relacje inwestorskie. Firma uzyskała certyfikat ISO/IEC 27001:2013 oraz certyfikaty ISO/IEC 27017:2015 i ISO/IEC 27018:2019, dotyczące bezpieczeństwa przetwarzania danych (w tym danych osobowych) w chmurze.
netPR.pl sp. z o.o. jest właścicielem multimedialnej agencji informacyjnej infoWire.pl.
Zobacz na nasze certyfikaty.