Łukasz Kulicki
RADCA PRAWNY
Radca prawny w Kancelarii After Legal specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.
Opublikowano:
Swobodny przepływ danych stanowi fundament operacyjny dla większości przedsiębiorstw, w szczególności dla dynamicznie rozwijającego się sektora technologicznego. Jednakże, przekraczanie przez dane granicy Europejskiego Obszaru Gospodarczego (EOG) inicjuje reżim prawny o podwyższonym ryzyku, wymagający od organizacji transferującej dane poza EOG nie tylko najwyższej staranności, ale i wdrożenia konkretnych, weryfikowalnych procedur. W tym właśnie kontekście, kluczowego znaczenia nabiera Transfer Impact Assessment (TIA), czyli Ocena Skutków Transferu Danych.
Czym jest Transfer Impact Assessment?
Obowiązek przeprowadzania TIA nie wynika wprost z rozporządzenia RODO, lecz stanowi bezpośrednią konsekwencję historycznego wyroku Trybunału Sprawiedliwości UE w sprawie C-311/18, znanej jako ,,Schrems II”. Orzeczenie to, unieważniając mechanizm ,,Tarczy Prywatności”, fundamentalnie zmieniło krajobraz międzynarodowych transferów danych.
TSUE uznał, że stosowanie samych Standardowych Klauzul Umownych (SCC) może być niewystarczające, jeśli prawo państwa trzeciego, do którego dane są przekazywane, nie zapewnia ochrony zasadniczo równoważnej tej gwarantowanej w UE. Trybunał nałożył na eksportera danych (czyli przedsiębiorcę z EOG) aktywny obowiązek weryfikacji, czy w danym przypadku taki równoważny poziom ochrony faktycznie istnieje.
W konsekwencji, organizacja wysyłająca dane musi dokonać oceny, czy przepisy i praktyki kraju docelowego, zwłaszcza w zakresie dostępu organów publicznych do danych w celach bezpieczeństwa narodowego, nie niweczą gwarancji zawartych w SCC.
TIA jest właśnie sformalizowanym i udokumentowanym procesem tej weryfikacji oraz dowodem należytej staranności.
Różnice pomiędzy TIA (Ocena Skutków Transferu Danych) a DPIA (Ocena Skutków dla Ochrony Danych)
W nomenklaturze RODO funkcjonuje kilka mechanizmów oceny ryzyka, co może prowadzić do nieporozumień. Podstawowym błędem jest utożsamianie TIA z Oceną Skutków dla Ochrony Danych (DPIA), gdyż, mimo iż obie procedury służą analizie ryzyka, ich przedmiot, zakres i podstawa prawna są fundamentalnie odmienne.
DPIA, uregulowana w art. 35 RODO, koncentruje się na ryzyku dla praw i wolności osób fizycznych, jakie może generować konkretna operacja przetwarzania danych (np. wdrożenie nowego systemu analitycznego). Jej celem jest identyfikacja i minimalizacja zagrożeń wynikających z charakteru, zakresu i celów samego przetwarzania.
Z kolei TIA adresuje zupełnie inne ryzyko – to, które powstaje w związku z przekazaniem danych do jurysdykcji znajdującej się poza EOG. Analizie podlega tu nie proces technologiczny, lecz otoczenie prawne i praktyka stosowania prawa w państwie trzecim.
O ile DPIA pyta ,,jakie jest ryzyko tego, co robimy z danymi?”, o tyle TIA pyta ,,jakie jest ryzyko wynikające z tego, dokąd te dane wysyłamy?”.
Sprawdź również: Czym jest DPIA i kiedy należy ją przeprowadzić?
Metodologia przeprowadzania TIA – kroki rekomendowane przez Europejską Radę Ochrony Danych
Europejska Rada Ochrony Danych (EROD), mając na uwadze złożoność procesu, opublikowała rekomendacje systematyzujące przebieg TIA. Proces ten obejmuje sześć następujących po sobie kroków, które tworzą spójną ścieżkę analityczną.
Organizacja rozpoczyna od dokładnego zmapowania i poznania swojego transferu, identyfikując wszystkie jego elementy, od kategorii danych po podmioty zaangażowane w proces.
Następnie, weryfikuje narzędzie transferu, na którym opiera operację, najczęściej będą to wspomniane Standardowe Klauzule Umowne.
Trzeci, kluczowy etap, to ocena prawa i praktyki państwa trzeciego, ze szczególnym uwzględnieniem przepisów umożliwiających organom publicznym dostęp do transferowanych danych.
Jeżeli ta ocena wykaże istnienie ryzyka, przedsiębiorca przechodzi do kroku czwartego, polegającego na zidentyfikowaniu i przyjęciu skutecznych środków uzupełniających, które to ryzyko zniwelują.
Piąty etap obejmuje formalne wdrożenie zidentyfikowanych środków. Całość procesu zamyka krok szósty, czyli cykliczna reewaluacja poziomu ochrony, zapewniająca adekwatność zabezpieczeń w czasie.
Co ważne, TIA możesz wykonać w dowolnej formie. Nie ma tutaj jednego sformalizowanego wzoru czy szablonu. Podobnie jak inne wewnętrzne dokumenty, które wdrażasz w ramach procesów ochrony danych osobowych w firmie, TIA może być wykonane zarówno w formie fizycznej jak i elektronicznej.
Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?
Co należy zrobić kiedy TIA wykaże braki?
W sytuacji, gdy ocena prawna kraju docelowego wykaże braki w procedurach ochrony danych, samo podpisanie SCC nie wystarczy.
Konieczne staje się wdrożenie dodatkowych środków zabezpieczających, które EROD dzieli na trzy kategorie.
Środki techniczne obejmują przede wszystkim silne, zaawansowane szyfrowanie danych (zarówno w tranzycie, jak i w spoczynku), którego klucze pozostają pod wyłączną kontrolą eksportera danych, oraz skuteczną pseudonimizację. Należy jednak pamiętać, że nawet najsilniejsza kryptografia może okazać się niewystarczająca, jeśli importer może zostać prawnie zmuszony do jej obejścia.
Drugą grupę stanowią środki organizacyjne, takie jak rygorystyczne polityki wewnętrzne, regularne audyty, szkolenia personelu czy publikowanie raportów transparentności.
Trzeci filar to środki kontraktowe, które wzmacniają SCC poprzez nałożenie na importera dodatkowych obowiązków, na przykład zobowiązanie do kwestionowania żądań dostępu od władz publicznych czy do informowania eksportera o takich żądaniach, o ile prawo na to zezwala.
Sprawdź również: Outsourcing funkcji Inspektora Ochrony Danych. Jak możemy Ci pomóc?
Polski kontekst i ryzyko biznesowe – stanowisko UODO
Polski organ nadzorczy, Prezes Urzędu Ochrony Danych Osobowych (UODO), nie opublikował odrębnych, szczegółowych wytycznych dotyczących przeprowadzania TIA. W swoim oficjalnym stanowisku w pełni popiera i odsyła do rekomendacji Europejskiej Rady Ochrony Danych, czyniąc je de facto obowiązującym standardem dla polskich przedsiębiorców.
Brak przeprowadzenia TIA lub jego wadliwe wykonanie nie stanowi odrębnego, nazwanego naruszenia RODO. Jest to jednak równoznaczne z niezdolnością do wykazania, że transfer danych do państwa trzeciego odbywa się z poszanowaniem prawa, co stanowi naruszenie zasad określonych w Rozdziale V rozporządzenia RODO.
Takie zaniechanie obarczone jest ryzykiem nałożenia administracyjnej kary pieniężnej w najwyższym wymiarze przewidzianym przez rozporządzenie – do 20 milionów euro lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku.
Sprawdź również: Kara za brak skutecznego wyznaczenia Inspektora Ochrony Danych
Ochrona danych osobowych – Kancelaria After Legal
Zespół Kancelarii After Legal już od lat zajmuje się wspieraniem Klientów w sferze ochrony danych osobowych. Nasze działania koncentrują się na różnych płaszczyznach, co daje nam możliwość zapewniania kompleksowego wsparcia prawnego. Przetwarzanie danych osobowych wciąż budzi wiele wątpliwości u administratorów. Wskazanie przesłanki legitymizującej taką operację nie zawsze będzie proste. Kluczem dla sprawnego funkcjonowania organizacji jest też wypracowanie kompletnych, jednoznacznych i bezpiecznych wytycznych pozwalających pracownikom na zarządzanie danymi osobowymi klientów firmy.