Po trzecie, konieczna jest ocena całości porządku prawnego kraju, do którego zamierzamy eksportować dane osobowe. Badania takie musi obejmować:
- porządek prawny danego państwa trzeciego i czy jest ono w praktyce stosowane (jeśli miałoby spełniać formalnie standard europejski) oraz relewantne elementy praktyki w danym państwie trzecim – w tym możliwość korzystania przez osoby z Europy ze skutecznych środków ochrony;
- ustalenie czy organy publiczne mogą próbować uzyskać dostęp do danych bez wiedzy odbiorcy danych w państwie trzecim (w świetle obowiązującego prawa, praktyki i precedensów);
- ustalenie czy organy publiczne mogą próbować uzyskać dostęp do danych poprzez odbiorcę danych w państwie trzecim, operatorów telekomunikacyjnych lub kanały komunikacji (w świetle obowiązującego prawa, technicznych, finansowych i ludzkich możliwości takich organów);
- kontekst eksportu danych: cele przetwarzania, charakter odbiorcy danych i odpowiedni sektor, kategorie przekazywanych danych, gdzie dane będą przechowywane, format danych i kwestie dalszych transferów.
Należy pamiętać, że o ile eksporter danych może opierać się na informacjach i zapewnieniach pozyskanych od odbiorcy w państwie trzecim, o tyle odpowiedzialność za sprawdzenie wszelkich publicznie dostępnych źródeł – treści prawa, publicznie dostępnych decyzji, raportów organizacji pozarządowych czy biznesowych – nadal spoczywa na nim. Jeśli oświadczenia odbiorcy danych będą sprzeczne z powszechnie dostępnymi informacjami, odpowiedzialność za bezprawny transfer obciąży eksportera danych.
Po czwarte, jeśli to niezbędne ze względu na problematyczne ustawodawstwo lub praktykę w danym państwie trzecim, konieczne jest wprowadzenie dodatkowych środków zabezpieczających, które mają na celu utrzymanie transferu danych na bezpiecznym poziomie mimo takich trudności. Sugerowane przez Europejską Radę Ochrony Danych środki zabezpieczające to m.in.:
- Środki techniczne: przede wszystkim szyfrowanie (w tym w transferze), pseudonimizacja, rozdzielenie procesów między kilku odbiorców.
- Korzystanie z dostępnych wyjątków w prawie kraju odbiorcy – np. obowiązków w zakresie ustawowej tajemnicy zawodowej.
- Dodatkowe zobowiązania umowne: do wymienienia wszelkich mających zastosowanie przepisów, udzielania informacji o otrzymanych żądaniach wydania danych, w tym statystykach odnoszących się do przeszłości, o środkach podjętych dla zapobieżenia ujawnieniu danych, braku obowiązku zostawiania obejść dla organów władzy, przekazywania raportów o braku żądań (Warrant Canary), do wykorzystania całości środków odwoławczych w celu zakwestionowania wydania danych, do informowania podmiotu danych o żądaniu wydania danych, do wsparcia podmiotu danych przeciwko władzy publicznej.
- Zabezpieczenia organizacyjne u odbiorcy danych w państwie trzecim: wyznaczające jasne role i odpowiedzialności procedury, obejmujące również reakcję organizacji na żądanie wydania danych otrzymane od władzy publicznej; rejestry żądań i odpowiedzi udostępniane eksporterowi; zapewnienie ścisłego podejścia do dostępu do danych (na zasadnie konieczności), przestrzeganie tych zasad, ich regularny audyt i wdrażanie, także za pomocą środków dyscyplinarnych.
Warto przypomnieć, że jednym z dodatkowych środków zabezpieczających transfer danych osobowych do kraju trzeciego jest zobowiązanie odbiorcy do podjęcia wszelkich dostępnych w lokalnym prawie kroków proceduralnych w celu zakwestionowania żądania organów administracyjnych czy służb w zakresie dostępu do danych.
Taka sytuacja miała w praktyce miejsce w sprawie Microsoft Corp. V. United States z 2018 r. W sprawie tej Microsoft starał się wywalczyć przed sądami amerykańskimi prawo odmowy dostępu do danych swoich usługobiorców, które były przechowywane na serwerach Microsoft w Irlandii. Sprawa trafiła aż do Sądu Najwyższego, gdzie Microsoft był blisko wygranej (wygraną uniemożliwiło przyjęcie CLOUD Act, o którym piszemy we wcześniejszym okienku).
Po piąte, należy pojąć kroki konieczne w celu zapewnienia obowiązywania stosowanego przez nas sposobu zabezpieczenia. Może być tak, że zastosowane przez nas zmienione klauzule umowne będą np. wymagały potwierdzenia przez właściwy organ nadzorczy.
Po szóste, konieczne jest zapewnienie regularnego powtarzania całej procedury oceny skutków transferu dla ochrony danych, bowiem ryzyka, jak i stosowane środki zabezpieczające ulegają zmianie i starzeją się, zaś wysoki standard ochrony danych osobowych, jakiego wymaga Unia Europejska, nie ulega obniżeniu.
Konieczność aktualizacji klauzul
Jak wspominamy wyżej, zestawy standardowych klauzul umownych, które zostały przyjęte przed 2021 r. stopniowo przestają obowiązywać. Już od jesieni 2021 r. nie powinny być one wykorzystywane do zawierania nowych umów, a od 27 grudnia 2022 r. powinny zostać uaktualnione do nowego wzoru przyjętego decyzją Komisji 2021/914 z dnia 4 czerwca 2021 r.
Powodów dla aktualizacji zestawów standardowych klauzul umownych było kilka:
- Klauzule przyjęte w 2001 i 2010 r. (czyli te obowiązujące jeszcze do 2021 r.) były opracowywane w czasach, kiedy obowiązującym unijnym aktem prawnym w zakresie ochrony danych osobowych była jeszcze Dyrektywa 95/46/WE – od 2018 r. obowiązuje zaś RODO, które jednak wprowadza nowe obowiązki;
- Klauzule były opracowywane przeszło dekadę temu w rzeczywistości innej niż ta, z którą obecnie się mierzymy. Konieczne było zapewnienie, aby zestawy klauzul umożliwiły zarówno prawidłowe odzwierciedlenie sytuacji faktycznych – długich łańcuchów przetwarzania i dalszego powierzania danych, przekazywania danych między procesorami czy administratorami w różnych krajach, a także umożliwiały zawieranie klauzul pomiędzy więcej niż dwoma podmiotami i dynamicznego przystępowania do umów kolejnych podmiotów.
Nowe standardowe klauzule umowne są oparte na założeniu modułowym, które pozwala na dobranie takich elementów umowy, które będą najbardziej odpowiednie dla realnej relacji między stronami. Ma to zapewnić bardziej praktyczną ochronę danych w transferach poza EOG.