Bezpieczeństwo, GDPR, Porównania

Dlaczego lepiej przetwarzać dane osobowe w ramach EOG?

Katarzyna Garbaciak, 19 lutego 2022

serwery-eog

 

EOG a RODO

W zakresie przekazywania danych poza EOG należy wspomnieć o dwóch podstawowych grupach; wyróżniamy kraje względem których Komisja Europejska wydała decyzję stwierdzającą prawidłowy poziom ochrony danych oraz kraje względem których takiej decyzji nie wydano. W przypadku państw, co do których wydano decyzję Komisji Europejskiej, przekazanie do nich danych osobowych można traktować w zasadzie na równi z przekazaniem danych wewnątrz EOG. W tej grupie państw nie znajduje się jednak USA. Jakie oznacza to konsekwencje dla administratorów?

Vercom, do którego należy EmailLabs jest europejską firmą, w pełni zgodną z przepisami RODO i bazuje tylko i wyłącznie na własnych serwerach zlokalizowanych w CEE. Usługi świadczymy w oparciu o własne know-how oraz technologię. Potwierdzeniem dbałości o bezpieczeństwo informacji jest zakończony sukcesem audyt certyfikujący oraz audyt nadzoru Systemu Zarządzania Bezpieczeństwem Informacji według normy ISO/IEC 27001:2013, zakres których dotyczy „Tworzenia, utrzymania i rozwoju rozwiązań komunikacji elektronicznej, w tym e-maili SMS, pushy w modelu CPaaS.” Przygotowujemy się także do audytu w obszarze ISO 27018 Bezpieczeństwo danych w chmurze.

Czy korzystanie z zagranicznych, zwłaszcza amerykańskich, rozwiązań typu smtp, email api jest bezpieczne i co to oznacza dla administratorów? Przekazujesz dane osobowe, jak adresy e-mail swoich Klientów poza EOG? – koniecznie przeczytaj nasze opracowanie. 

Siedziba spółki i serwery zlokalizowane w EOG

  • Przetwarzanie danych osobowych poza EOG jest traktowane przez RODO surowiej i wymaga spełnienia dodatkowych wymogów, których w odniesieniu do przetwarzania w EOG spełniać nie trzeba. 
  • Przetwarzanie poza EOG rodzi zatem dodatkowe ryzyka złamania przepisów RODO i nałożenia kar pieniężnych. Za przekazanie danych nieodpowiedniemu podmiotowi w EOG grozi mniej surowa kara niż za nielegalne przekazanie danych poza EOG.
  • Powierzenie przetwarzania danych podmiotowi posiadającemu zarówno siedzibę, jak i serwery na terenie EOG, ogranicza zakres czynności jakie musi wykonać administrator danych w związku z powierzeniem.

Jakie są wymogi przekazywania danych poza EOG?

W dniu 16 lipca 2020 r. Trybunał Sprawiedliwości UE wydał wyrok w sprawie Data Protection Commissioner przeciwko Facebook Ireland Ltd, Maximillian Schrems (tzw. Shrems II), w którym stwierdził, że decyzja Komisji dla USA, tzw. Tarcza Prywatności, nie spełnia wymogu adekwatności i nie jest zgodna z RODO. To oznacza, że aby przekazywać dane do USA spełnić należy dodatkowe przesłanki, w szczególności: można zastosować w umowie z podmiotem przetwarzającym z USA tzw. standardowe klauzule umowne oraz dodatkowo zbadać ustawodawstwo tego kraju, ustalając czy zapewnia ono należyty poziom ochrony (tak wskazano w powoływanym wyroku Shrems II). Wyrok w sprawie Shrems II przesądza, że ustawodawstwo USA takiej ochrony nie zapewnia.

Zgodnie zatem z wytycznymi Europejskiej Rady Ochrony Danych, przekazując dane do USA należy wymagać od usługodawcy nie tylko zawarcia umowy powierzenia przetwarzania w oparciu o standardowe klauzule umowne, ale też zapewnienia dodatkowych środków ochrony (m. in. przyjęcie i udokumentowanie środków technicznych zapewniających bardziej adekwatną ochronę poprzez utrudnienie dostępu do danych, np. szyfrowanie, pseudonimizacja, dalsze monitorowanie zmian zachodzących w ustawodawstwie państwa trzeciego). Wobec braku spełnienia powyższych warunków możliwe jest wyjątkowo powołanie się na dodatkową, szczególną zgodę podmiotu danych na ich przekazanie poza EOG lub inne niż zgoda przesłanki, które jednak nie są w praktyce szeroko stosowane (art. 49 RODO). Jeśli warunki te nie zostaną spełnione, udostępnienie danych osobowych dostawcy z USA należy uznać za nielegalne i rodzące ryzyko nałożenia kary.

Różnice w powierzaniu danych podmiotom z Europejskiego Obszaru Gospodarczego i spoza EOG z perspektywy administratora

Wyróżnik EOG Poza EOG (dot. krajów bez decyzji Komisji Europejskiej, w tym USA)
Co zbadać przed powierzeniem Należy sprawdzić, czy podmiot przetwarzający daje gwarancję przetwarzania danych osobowych zgodnie z prawem, w tym zapewnia ich należyte bezpieczeństwo (art. 28 RODO) Należy sprawdzić, czy podmiot przetwarzający daje gwarancję przetwarzania danych osobowych zgodnie z prawem, w tym zapewnia ich należyte bezpieczeństwo (art. 28 RODO); wielopoziomowa analiza prawna dopuszczalności przekazania danych do konkretnego kraju (art. 44 i nast. RODO). W przypadku USA najczęściej konieczne jest zbadanie, czy umowa dostawcy jest oparta na standardowych klauzulach umownych oraz czy dostawca ten dostarcza dodatkowych środków ochrony danych. Ewentualnie, możliwe jest przekazanie danych po uzyskaniu szczególnej zgody lub spełnienia innych, niewykorzystywanych często w praktyce przesłanek z art. 49 RODO.
Środki ochrony Brak obowiązku wdrożenia dodatkowych środków ochrony (standardowy poziom ochrony adekwatny do ryzyka). Wymóg wdrożenia dodatkowych środków ochrony poprzez:
– zidentyfikowanie wszystkich operacji przetwarzania danych osobowych do państwa trzeciego,
– sprawdzenie czy w kontekście konkretnej operacji przetwarzanie poza EOG mogłoby mieć negatywny wpływ na skuteczność wprowadzonych zabezpieczeń,
– przyjęcie środków technicznych, jakie są konieczne, żeby stopień ochrony przekazywanych danych w państwie spoza EOG był adekwatny temu gwarantowanemu na gruncie RODO (np. pseudonimizacja, szyfrowanie itp.),
– monitorowanie zmian zachodzących w ustawodawstwie danego kraju oraz reagowanie na te zmiany wprowadzaniem dodatkowych zabezpieczeń w umowie z przetwarzającym.
Obowiązek informacyjny względem podmiotów danych Brak dodatkowych obowiązków informacyjnych. Konieczność poinformowania osób korzystających z usług przedsiębiorstwa o zamiarze przekazywania danych do państw trzecich (na skutek współpracy z podmiotem przetwarzającym dane do państwa spoza EOG) wraz ze wskazaniem zastosowanych zabezpieczeń oraz informacją o stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony.
Potencjalna kara za naruszenie przepisów Możliwe naruszenie art. 28 RODO, co jest zagrożone karą pieniężną do 10 mln Euro lub w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Możliwe naruszenie zarówno art. 28, jak i dodatkowo art. 44 i nast. RODO. Jest to zagrożone karą pieniężną do 20 mln Euro lub w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Wewnętrzna dokumentacja w zakresie przetwarzania danych Brak dodatkowych obowiązków. Konieczność uwzględnienia dodatkowych zapisów w Rejestrze Czynności Przetwarzania oraz wykonanie wskazanych wyżej analiz.
Egzekwowalność roszczeń względem podmiotu przetwarzającego. Możliwość wyegzekwowania roszczeń w oparciu o prawo polskie oraz prawo UE w zakresie sporów transgranicznych. Faktyczna możliwość wyegzekwowania roszczeń zróżnicowana od konkretnego kraju. Istnieje ryzyko niemożliwości prowadzenia procesu w Polsce i w oparciu o prawo polskie (lub prawo UE), bądź ryzyko nieuznania orzeczenia sądu polskiego w kraju spoza EOG.

Jak widzisz, jest wiele aspektów, jakie należy wziąć pod uwagę planując korzystanie z zagranicznych rozwiązań, w których przetwarza się dane Klientów. Warto być świadomym różnic, aby uniknąć przykrych konsekwencji i odpowiednio przygotować się pod kątem proceduralnym i prawnym.

Materiał powstał przy udziale mecenasa Macieja Jankowskiego, partnera Kancelarii Prawnej Media. Specjalizacja mecenasa obejmuje m.in. prawo nowych technologii, w tym prawo własności intelektualnej, prawo ochrony danych osobowych oraz poszczególne zagadnienia prawa telekomunikacyjnego.

Najczęściej czytane