{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
Personal Data Transfers Analyzer
Trybunał Sprawiedliwości UE (TSUE) wydał jeden z najważniejszych wyroków w kontekście ochrony danych osobowych zmieniając istotnie mechanizmy transferu danych osobowych do krajów spoza Europejskiego Obszaru Gospodarczego (EOG), w szczególności do USA.
– każda organizacja przekazująca dane do krajów spoza EOG powinna zweryfikować aktualnie wykorzystywane mechanizmy transferu zarówno pod kątem prawnym jak również bezpieczeństwa danych.
Nowe obowiązki dotyczą każdego podmiotu, który w ramach swoich procesów biznesowych przekazuje dane osobowe do krajów spoza EOG, w szczególności:
grup kapitałowych, które przekazują dane swoich pracowników, kandydatów, klientów, kontrahentów poza EOG (np. w ramach takich systemów jak CRM, ERP, inne);
podmiotów, które korzystają z międzynarodowej infrastruktury IT, np. chmury z serwerami w USA lub innych krajach poza EOG, wsparcia technicznego z Indii, kopii zapasowych na serwerach na Tajwanie, etc.
Europejska Rada Ochrony Danych Osobowych (EROD) wskazuje, że podczas oceny okoliczności transferów danych należy wziąć pod uwagę np.:
EROD wskazuje, że podczas oceny przepisów obowiązujących w krajach importerów danych należy wziąć pod uwagę, w szczególności:
Wytyczne EROD z 10 listopada 2020 r. doprecyzowują, że wyrok TSUE nakłada na eksporterów danych obowiązek oceny ryzyka transferów z uwzględnieniem kryteriów takich jak przepisy prawa obowiązujące w krajach importerów danych, okoliczności transferów czy podstawa prawna transferów. Podobnie jak w przypadku oceny skutków dla przetwarzania (tzw. DPIA) ocena ryzyka powinna być przeprowadzona w sposób możliwie jak najbardziej obiektywny i metodyczny.
Eksporterzy danych są zobowiązani do stałego monitorowania czy wystąpiły jakiekolwiek zmiany w ramach przeprowadzonych analiz i w razie potrzeby ich aktualizowana. Zasada rozliczalności wymaga zachowania stałej czujności w odniesieniu do stopnia ochrony danych osobowych.
W zależności od wyniku powyższych analiz, należy zastosować odpowiednie mechanizmy prawne i techniczne pozwalające obniżyć lub wyeliminować określone ryzyka transferu. – odpowiedzialność jakie środki należy uznać za odpowiednie leży po stronie eksportera danych. Wybór środków powinien uwzględniać wnioski wynikające z przeprowadzonych analiz.
Nasi specjaliści w obszarze prawa ochrony danych osobowych, compliance or zarządzania cyberbezpieczeństwem pomogą Państwu w identyfikacji, inwentaryzacji, ocenie oraz monitorowaniu zachodzących w organizacji transferów danych osobowych.
Dzięki połączeniu wiedzy i bogatego doświadczenia z zakresu ochrony danych z elementami zarządzania ryzykiem, compliance i technologii zespół TMT & Ochrony danych osobowych PwC Legal opracował unikalną metodykę wspieraną przez dedykowane do niej narzędzie IT pozwalające inwentaryzować, oceniać oraz zarządzać transferami danych osobowych w organizacjach.
Jeden z najlepszych na rynku zespołów ekspertów w zakresie prawa ochrony danych osobowych, bezpieczeństwa IT, Compliance oraz LegalTech pomoże Państwu wyselekcjonować odpowiednie środki prawne, techniczne lub organizacyjne, które pomogą w efektywny sposób zabezpieczyć transfery danych osobowych.
Dzięki potężnej sieci PwC jesteśmy w stanie zapewnić stałe wsparcie polegające na monitorowaniu legislacji w obszarze ochrony danych osobowych niemal na całym świecie.
Metodyka powstała we współpracy z Inspektorem Ochrony Danych Osobowych PwC, Grzegorzem Kędziorą.
Paulina Komorowska
Counsel, Radca prawny, Lider TMT/IP i Ochrony Danych Osobowych | PwC Polska
+48 519 504 777
Paweł Seremak
Senior Associate, PwC Polska
+48 519 507 163