Bezpieczeństwo, GDPR, Porównania
Bezpieczeństwo, GDPR, Porównania
W zakresie przekazywania danych poza EOG należy wspomnieć o dwóch podstawowych grupach; wyróżniamy kraje względem których Komisja Europejska wydała decyzję stwierdzającą prawidłowy poziom ochrony danych oraz kraje względem których takiej decyzji nie wydano. W przypadku państw, co do których wydano decyzję Komisji Europejskiej, przekazanie do nich danych osobowych można traktować w zasadzie na równi z przekazaniem danych wewnątrz EOG. W tej grupie państw nie znajduje się jednak USA. Jakie oznacza to konsekwencje dla administratorów?
Spółka publiczna Vercom S.A. do której należy projekt EmailLabs, jest europejską firmą, w pełni zgodną z przepisami RODO i bazuje tylko i wyłącznie na własnych serwerach zlokalizowanych w CEE, natomiast usługi świadczymy w oparciu o własne know-how oraz technologię. Potwierdzeniem dbałości o bezpieczeństwo informacji jest zakończony sukcesem audyt nadzoru ISO 27001 oraz certyfikacja ISO 27018. Audyty są potwierdzeniem stosowania najlepszych praktyk systemu zarządzania bezpieczeństwem informacji oraz stosowania kodeksu międzynarodowych zasad służącym wsparciu w zakresie zarządzania danymi osobowymi w chmurze obliczeniowej.
Czy korzystanie z zagranicznych, zwłaszcza amerykańskich, rozwiązań typu SMTP, email api jest bezpieczne i co to oznacza dla administratorów? Przekazujesz dane osobowe, jak adresy e-mail swoich Klientów poza EOG? – koniecznie przeczytaj nasze opracowanie.
W dniu 16 lipca 2020 r. Trybunał Sprawiedliwości UE wydał wyrok w sprawie Data Protection Commissioner przeciwko Facebook Ireland Ltd, Maximillian Schrems (tzw. Shrems II), w którym stwierdził, że decyzja Komisji dla USA, tzw. Tarcza Prywatności, nie spełnia wymogu adekwatności i nie jest zgodna z RODO. To oznacza, że aby przekazywać dane do USA spełnić należy dodatkowe przesłanki, w szczególności: można zastosować w umowie z podmiotem przetwarzającym z USA tzw. standardowe klauzule umowne oraz dodatkowo zbadać ustawodawstwo tego kraju, ustalając czy zapewnia ono należyty poziom ochrony (tak wskazano w powoływanym wyroku Shrems II). Wyrok w sprawie Shrems II przesądza, że ustawodawstwo USA takiej ochrony nie zapewnia.
Zgodnie zatem z wytycznymi Europejskiej Rady Ochrony Danych, przekazując dane do USA należy wymagać od usługodawcy nie tylko zawarcia umowy powierzenia przetwarzania w oparciu o standardowe klauzule umowne, ale też zapewnienia dodatkowych środków ochrony (m. in. przyjęcie i udokumentowanie środków technicznych zapewniających bardziej adekwatną ochronę poprzez utrudnienie dostępu do danych, np. szyfrowanie, pseudonimizacja, dalsze monitorowanie zmian zachodzących w ustawodawstwie państwa trzeciego). Wobec braku spełnienia powyższych warunków możliwe jest wyjątkowo powołanie się na dodatkową, szczególną zgodę podmiotu danych na ich przekazanie poza EOG lub inne niż zgoda przesłanki, które jednak nie są w praktyce szeroko stosowane (art. 49 RODO). Jeśli warunki te nie zostaną spełnione, udostępnienie danych osobowych dostawcy z USA należy uznać za nielegalne i rodzące ryzyko nałożenia kary.
Wyróżnik | EOG | Poza EOG (dot. krajów bez decyzji Komisji Europejskiej, w tym USA) |
---|---|---|
Co zbadać przed powierzeniem | Należy sprawdzić, czy podmiot przetwarzający daje gwarancję przetwarzania danych osobowych zgodnie z prawem, w tym zapewnia ich należyte bezpieczeństwo (art. 28 RODO) | Należy sprawdzić, czy podmiot przetwarzający daje gwarancję przetwarzania danych osobowych zgodnie z prawem, w tym zapewnia ich należyte bezpieczeństwo (art. 28 RODO); wielopoziomowa analiza prawna dopuszczalności przekazania danych do konkretnego kraju (art. 44 i nast. RODO). W przypadku USA najczęściej konieczne jest zbadanie, czy umowa dostawcy jest oparta na standardowych klauzulach umownych oraz czy dostawca ten dostarcza dodatkowych środków ochrony danych. Ewentualnie, możliwe jest przekazanie danych po uzyskaniu szczególnej zgody lub spełnienia innych, niewykorzystywanych często w praktyce przesłanek z art. 49 RODO. |
Środki ochrony | Brak obowiązku wdrożenia dodatkowych środków ochrony (standardowy poziom ochrony adekwatny do ryzyka). | Wymóg wdrożenia dodatkowych środków ochrony poprzez: – zidentyfikowanie wszystkich operacji przetwarzania danych osobowych do państwa trzeciego, – sprawdzenie czy w kontekście konkretnej operacji przetwarzanie poza EOG mogłoby mieć negatywny wpływ na skuteczność wprowadzonych zabezpieczeń, – przyjęcie środków technicznych, jakie są konieczne, żeby stopień ochrony przekazywanych danych w państwie spoza EOG był adekwatny temu gwarantowanemu na gruncie RODO (np. pseudonimizacja, szyfrowanie itp.), – monitorowanie zmian zachodzących w ustawodawstwie danego kraju oraz reagowanie na te zmiany wprowadzaniem dodatkowych zabezpieczeń w umowie z przetwarzającym. |
Obowiązek informacyjny względem podmiotów danych | Brak dodatkowych obowiązków informacyjnych. | Konieczność poinformowania osób korzystających z usług przedsiębiorstwa o zamiarze przekazywania danych do państw trzecich (na skutek współpracy z podmiotem przetwarzającym dane do państwa spoza EOG) wraz ze wskazaniem zastosowanych zabezpieczeń oraz informacją o stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony. |
Potencjalna kara za naruszenie przepisów | Możliwe naruszenie art. 28 RODO, co jest zagrożone karą pieniężną do 10 mln Euro lub w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. | Możliwe naruszenie zarówno art. 28, jak i dodatkowo art. 44 i nast. RODO. Jest to zagrożone karą pieniężną do 20 mln Euro lub w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. |
Wewnętrzna dokumentacja w zakresie przetwarzania danych | Brak dodatkowych obowiązków. | Konieczność uwzględnienia dodatkowych zapisów w Rejestrze Czynności Przetwarzania oraz wykonanie wskazanych wyżej analiz. |
Egzekwowalność roszczeń względem podmiotu przetwarzającego. | Możliwość wyegzekwowania roszczeń w oparciu o prawo polskie oraz prawo UE w zakresie sporów transgranicznych. | Faktyczna możliwość wyegzekwowania roszczeń zróżnicowana od konkretnego kraju. Istnieje ryzyko niemożliwości prowadzenia procesu w Polsce i w oparciu o prawo polskie (lub prawo UE), bądź ryzyko nieuznania orzeczenia sądu polskiego w kraju spoza EOG. |
Jak widzisz, jest wiele aspektów, jakie należy wziąć pod uwagę planując korzystanie z zagranicznych rozwiązań, w których przetwarza się dane Klientów. Warto być świadomym różnic, aby uniknąć przykrych konsekwencji i odpowiednio przygotować się pod kątem proceduralnym i prawnym.
Materiał powstał przy udziale mecenasa Macieja Jankowskiego, partnera Kancelarii Prawnej Media. Specjalizacja mecenasa obejmuje m.in. prawo nowych technologii, w tym prawo własności intelektualnej, prawo ochrony danych osobowych oraz poszczególne zagadnienia prawa telekomunikacyjnego.
GDPR, Zgodność i bezpieczeństwo
Z dumą informujemy, że firma Vercom S.A., prowadząca projekt EmailLabs, pomyślnie przeszła audyt zgodności z najnowszymi standardami ISO/IEC 27001:2022 oraz ISO/IEC 27018:2019. Potwierdzono, że nasz System Zarządzania spełnia wszelkie...
Dobre praktyki, Gmail, Yahoogle
Gmail zapowiada, że od 1 lutego 2024 wysyłający wiadomości email do swoich klientów będą musieli liczyć się ze sporymi zmianami w zakresie wymagań, jakie należy spełniać, aby cieszyć się...
To, że z roku na rok kampanii phishingowych jest coraz więcej i że ten trend będzie tylko rósł, raczej nikogo nie zdziwi. Wkrótce, może stać się to najpoważniejszym problemem...
Spośród wszystkich rzeczy, które mogą pójść źle podczas wysyłania e-maili marketingowych i transakcyjnych, trafienie do SPAMu jest prawdopodobnie najbardziej kłopotliwe – i łatwo zrozumieć, dlaczego. W końcu zależy nam...
DMARC, czyli Domain-based Message Authentication, Reporting, and Conformance jest protokołem uwierzytelniania, zasad i raportowania poczty elektronicznej. Jego zadaniem jest ochrona przed atakami phishingowymi i pomoc w zwalczaniu innych prób...
Wraz z pojawieniem się pandemii Covid-19, wiele marek zostało postawionych przed sporym wyzwaniem aby w krótkim czasie przystosować się do zmienionej rzeczywistości oraz nowego podejścia konsumentów i zreorganizować...
Załączanie folderu do wiadomości e-mail może na pierwszy rzut oka wydawać się skomplikowane, zwłaszcza jeśli próbujesz wysłać wiele plików, duże materiały wideo lub całą dokumentację projektu do współpracownika albo...
W dynamicznie zmieniającym się cyfrowym świecie, Google zapowiedziało ekscytujące zmiany w kartach podsumowań Gmaila. Aktualizacja, która ruszyła w październiku 2024 roku, ma na celu poprawę doświadczeń użytkowników i usprawnienie...
Wchodząc w świat szeroko pojętej komunikacji mailowej, zapoznajesz się z wieloma pojęciami, które na pierwszy rzut oka wydają się proste i intuicyjne. Inne z nich natomiast mogą przysporzyć nie...
Załączanie folderu do wiadomości e-mail może na pierwszy rzut oka wydawać się skomplikowane, zwłaszcza jeśli próbujesz wysłać wiele plików, duże materiały wideo lub całą dokumentację projektu do współpracownika albo...
W dynamicznie zmieniającym się cyfrowym świecie, Google zapowiedziało ekscytujące zmiany w kartach podsumowań Gmaila. Aktualizacja, która ruszyła w październiku 2024 roku, ma na celu poprawę doświadczeń użytkowników i usprawnienie...
Wchodząc w świat szeroko pojętej komunikacji mailowej, zapoznajesz się z wieloma pojęciami, które na pierwszy rzut oka wydają się proste i intuicyjne. Inne z nich natomiast mogą przysporzyć nie...
Best practices, Dostarczalność email
W dzisiejszej cyfrowej rzeczywistości e-mail stanowi kluczowy element komunikacji, zarówno w życiu prywatnym, jak i zawodowym. Wysyłamy za jego pośrednictwem istotne wiadomości, dokumenty oraz aktualizacje. Co jednak zrobić, gdy...
Best practices, Dobre praktyki
Masz trudności z poprawą dostarczalności i zaangażowania w kampaniach e-mail marketingowych? Wykorzystanie subdomen w adresach e-mail może być skutecznym rozwiązaniem. Stosowanie subdomen umożliwia ochronę głównej domeny oraz efektywne zarządzanie...
GDPR, Zgodność i bezpieczeństwo
Z dumą informujemy, że firma Vercom S.A., prowadząca projekt EmailLabs, pomyślnie przeszła audyt zgodności z najnowszymi standardami ISO/IEC 27001:2022 oraz ISO/IEC 27018:2019. Potwierdzono, że nasz System Zarządzania spełnia wszelkie...
Czym jest darknet? Otoczony przez wiele lat tajemnicą i nierzadko okrzyknięty mrocznymi mianami, darknet jest obszarem internetu, który u niejednej osoby wzbudza ciekawość, fascynacje a także strach. Ta “niewidoczna” część...
Kilka tygodni temu w Vercom rozpoczęliśmy proces wdrażania postanowień dyrektywy NIS2 i przygotowanie do wdrożenia wymagań wynikających z Rozporządzenia w sprawie operacyjnej odporności cyfrowej DORA. Jakie Korzyści Niosą ze...
Jeśli śledzisz nasze publikacje na bieżąco, na pewno wiesz o zmianach w wymaganiach dotyczących nadawców wiadomości mailowych wprowadzanych przez globalnych providerów Gmail i Yahoo. Od pierwszego lutego 2024 roku...