Personal Data Transfers Analyzer

Wsparcie w zarządzaniu ryzykiem związanym z transferami danych osobowych poza Europejski Obszar Gospodarczy

Trybunał Sprawiedliwości UE (TSUE) wydał jeden z najważniejszych wyroków w kontekście ochrony danych osobowych zmieniając istotnie mechanizmy transferu danych osobowych do krajów spoza Europejskiego Obszaru Gospodarczego (EOG), w szczególności do USA.

 

– każda organizacja przekazująca dane do krajów spoza EOG powinna zweryfikować aktualnie wykorzystywane mechanizmy transferu zarówno pod kątem prawnym jak również bezpieczeństwa danych.

Kogo dotyczą nowe obowiązki?

Nowe obowiązki dotyczą każdego podmiotu, który w ramach swoich procesów biznesowych przekazuje dane osobowe do krajów spoza EOG, w szczególności:

  • grup kapitałowych, które przekazują dane swoich pracowników, kandydatów, klientów, kontrahentów poza EOG (np. w ramach takich systemów jak CRM, ERP, inne);

  • podmiotów, które korzystają z międzynarodowej infrastruktury IT, np. chmury z serwerami w USA lub innych krajach poza EOG, wsparcia technicznego z Indii, kopii zapasowych na serwerach na Tajwanie, etc.

 

Weryfikacja musi uwzględniać ocenę ryzyka jaka wiąże się z obowiązywaniem przepisów z obszaru ochrony danych w kraju, do którego są przekazywane dane

 

Ocena okoliczności transferu

Europejska Rada Ochrony Danych Osobowych (EROD) wskazuje, że podczas oceny okoliczności transferów danych należy wziąć pod uwagę np.:

  • Jakie kategorie danych są przekazywane;
  • W jakich celach dane są przekazywane i przetwarzane;
  • W jakim formacie przekazywane są dane.

Ocena przepisów obowiązujących poza EOG

EROD wskazuje, że podczas oceny przepisów obowiązujących w krajach importerów danych należy wziąć pod uwagę, w szczególności:

  • Czy przepisy dotyczące dostępu organów publicznych do danych są niejednoznaczne lub nie są publicznie dostępne;
  • Czy w danym kraju istnieje administracyjny, sądowy lub inny niezależny organ nadzoru zapewniający kontrolę nad właściwym korzystaniem z uprawnień w zakresie dostępu do danych;
  • Czy prawo ochrony danych w danym kraju zapewnia równoważną ochronę co prawo UE

Ocena ryzyka

Wytyczne EROD z 10 listopada 2020 r. doprecyzowują, że wyrok TSUE nakłada na eksporterów danych obowiązek oceny ryzyka transferów z uwzględnieniem kryteriów takich jak przepisy prawa obowiązujące w krajach importerów danych, okoliczności transferów czy podstawa prawna transferów. Podobnie jak w przypadku oceny skutków dla przetwarzania (tzw. DPIA) ocena ryzyka powinna być przeprowadzona w sposób możliwie jak najbardziej obiektywny i metodyczny.

Obowiązek aktualizacji analiz

Eksporterzy danych są zobowiązani do stałego monitorowania czy wystąpiły jakiekolwiek zmiany w ramach przeprowadzonych analiz i w razie potrzeby ich aktualizowana. Zasada rozliczalności wymaga zachowania stałej czujności w odniesieniu do stopnia ochrony danych osobowych.


W zależności od wyniku powyższych analiz, należy zastosować odpowiednie mechanizmy prawne i techniczne pozwalające obniżyć lub wyeliminować określone ryzyka transferu. – odpowiedzialność jakie środki należy uznać za odpowiednie leży po stronie eksportera danych. Wybór środków powinien uwzględniać wnioski wynikające z przeprowadzonych analiz.


Sankcje za niedopełnienie obowiązków

  • Kara administracyjna do 4% globalnego obrotu organizacji lub 20 milionów euro;
  • Nakaz zaprzestania przekazywania danych poza EOG (może spowodować wstrzymanie procesów biznesowych w organizacji).

Jak możemy pomóc?


Wsparcie w inwentaryzacji oraz ocenie konkretnych transferów danych

Nasi specjaliści w obszarze prawa ochrony danych osobowych, compliance or zarządzania cyberbezpieczeństwem pomogą Państwu w identyfikacji, inwentaryzacji, ocenie oraz monitorowaniu zachodzących w organizacji transferów danych osobowych.

Metodyka oceny wraz z narzędziem IT

Dzięki połączeniu wiedzy i bogatego doświadczenia z zakresu ochrony danych z elementami zarządzania ryzykiem, compliance i technologii zespół TMT & Ochrony danych osobowych PwC Legal opracował unikalną metodykę wspieraną przez dedykowane do niej narzędzie IT pozwalające inwentaryzować, oceniać oraz zarządzać transferami danych osobowych w organizacjach.

Doradztwo przy wdrażaniu środków prawnych, technicznych i organizacyjnych

Jeden z najlepszych na rynku zespołów ekspertów w zakresie prawa ochrony danych osobowych, bezpieczeństwa IT, Compliance oraz LegalTech pomoże Państwu wyselekcjonować odpowiednie środki prawne, techniczne lub organizacyjne, które pomogą w efektywny sposób zabezpieczyć transfery danych osobowych.

Monitoring legislacji w krajach poza EOG

Dzięki potężnej sieci PwC jesteśmy w stanie zapewnić stałe wsparcie polegające na monitorowaniu legislacji w obszarze ochrony danych osobowych niemal na całym świecie.

Metodyka powstała we współpracy z Inspektorem Ochrony Danych Osobowych PwC, Grzegorzem Kędziorą.

Komorowska Paulina

Paulina Komorowska

Counsel, Radca prawny, Lider TMT/IP i Ochrony Danych Osobowych | PwC Polska

+48 519 504 777

Paweł Seremak

Paweł Seremak

Senior Associate, PwC Polska

+48 519 507 163

Obserwuj nas