Kłopoty z transferem danych osobowych poza UE
Europejskie urzędy ochrony danych osobowych i firmy nadal poszukują wyjścia z sytuacji po wyroku TSUE w tzw. sprawie Schrems II. Wyrok zaostrza warunki transferu danych osobowych poza UE. Literalne jego stosowanie mogłoby np. sparaliżować zdalne nauczanie.
W lipcu 2020 r. TSUE uznał, że dotychczasowe warunki transferu danych osobowych, zebranych w UE, a więc chronionych przez RODO są niewystarczające. Wyrok przewiduje m.in. nałożenie na eksporterów danych obowiązku sprawdzenia sprawdzania, jakie prawa dotyczące danych osobowych przysługują w kraju, do którego się transferuje dane. Problem dotyczy np. używania chmur obliczeniowych, leżących poza UE.
CZYTAJ TEŻ: Polska gospodarka: Post-COVID-19
Sprawa Schrems II dotyczyła konkretnie transferu danych osobowych przez Facebooka z Irlandii do USA. TSUE orzekł, że podpisywany dotychczas z krajami poza UE umowy ws. danych osobowych nie gwarantują poziomu ochrony, jakie daje RODO i konieczne są dodatkowe bezpieczniki. Trybunał nie wskazał jednak konkretnie rozwiązań. Nie wyznaczył też żadnego okresu przejściowego.
Do tej pory to polegało przede wszystkim na zawieraniu dodatkowych umów między eksporterem danych, a np. pozaunijnym dostawcą chmury. Tam nakładano na chmurę dodatkową ochronę - powiedział PAP prezes Stowarzyszenia Prawa Nowych Technologii Xawery Konarski. Jak podkreślił, wyrok stwierdza, że zatwierdzony przez KE wzór dodatkowej umowy nie wystarcza i dodał, że decyzja TSUE jest powszechnie krytykowana za brak okresu przejściowego.
CZYTAJ TEŻ: Maas: Nord Stream 2 zostanie ukończony
Literalne stosowanie wyroku sparaliżowało by np. zdalne nauczanie - ocenia Xawery Konarski. Jak przypomniał, większość popularnych aplikacji, stosowanych w szkołach i na uczelniach do zdalnego nauczania jest amerykańska i korzysta z chmur w USA.
Konsekwencje mogą być takie, że polska firma korzystająca z amerykańskiej chmury może potencjalnie zostać za to ukarana. To jest duże ryzyko i odpowiedzialność dla eksporterów danych - podkreślił Konarski.
Zgodnie z wyrokiem każdy eksporter danych powinien przeanalizować, czy państwo trzecie daje podobną ochronę jak RODO. Są firmy, które działają w kilkudziesięciu krajach, to dla nich olbrzymie obciążenie biurokratyczne, zwłaszcza dla małych podmiotów - wskazał Konarski.
Jak przypomniał, nowych wymagań przy transferze danych osobowych poza UE nie skodyfikowano, a europejskie urzędy ochrony danych osobowych dopiero nad tym myślą.
Jak powiedział PAP rzecznik Urzędu Ochrony Danych Osobowych Adam Sanocki, Europejska Rada Ochrony Danych na posiedzeniu plenarnym 2 września 2020 r. powołała grupę zadaniową, która będzie koordynowała działania w tym zakresie.
CZYTAJ TEŻ: WIDEO. Co można załatwić w urzędzie przez internet
Na obecnym etapie postępowania trudno jest rozstrzygnąć jak i kiedy się ono zakończy. W opinii Prezesa UODO bardzo ważne jest zapewnienie jednolitego podejścia wszystkich organów nadzorczych w państwach członkowskich UE w tych sprawach, czemu służą działania podejmowane w ramach EROD - podkreślił Adam Sanocki.
PAP/RO