Publikacja dokumentu „FAQ”
Do wyroku Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-311/18 – Data Protection Commissioner przeciwko Facebook Ireland Ltd i Maximillianowi Schremsowi odniosła się EROD, publikując dokument z najczęściej zadawanymi pytaniami. Zawiera on wstępne wyjaśnienia, jak również udziela wskazówek na temat stosowania instrumentów prawnych przekazujących dane osobowe do państw spoza UE, w tym również do Stanów Zjednoczonych. Jednocześnie podkreśla, że dokument będzie uzupełniany o kolejne wskazówki. Poniżej opisujemy główne kwestie poruszane w dokumencie.
Trybunał, w swoim wyroku przedstawia badanie nt. ważności decyzji Komisji Europejskiej 2010/87/WE w sprawie standardowych klauzul umownych (ang. SCCs) uznając, że jest ona ważna. Wyrok w tej sprawie przygląda się kwestii oceny odpowiedniego zabezpieczenia przekazywania danych osobowych. Zgodnie z nim, audyt ochrony przekazania danych osobowych musi uwzględniać klauzule umowne uzgodnione między administratorem danych lub podmiotem je przetwarzającym (z siedzibą w UE), a ich odbiorcą (mającym siedzibę w państwie trzecim). Podkreśla, że przed przekazaniem danych osobowych zarówno na podmiocie przetwarzającym, jak i odbierającym ciąży obowiązek sprawdzenia (audyt) czy poziom ochrony danych w państwie trzecim jest zgodny ze stopniem ochrony merytorycznie równoważnym temu gwarantowanemu w UE przez RODO. Decyzja 2010/87/WE nakłada na odbierającego dane obowiązek poinformowania podmiotu przekazującego informacji o swojej ewentualnej niemożności zapewnienia przestrzegania standardowych klauzul ochrony danych. W takim wypadku podmiot przekazujący dane jest zobowiązany do zawieszenia ich przekazywania lub też rozwiązania umowy.
Ważność decyzji w prawie Tarczy Prywatności
Przeanalizowana została również kwestia ważności decyzji w prawie Tarczy Prywatności. Trybunał uznał, że wewnętrzne uregulowania Stanów Zjednoczonych dotyczące dostępu i wykorzystywania danych nie pozwalają uzyskać zainteresowanym praw do danych osobowych oraz nie zapewniają odpowiedniej ochrony sądowej, co stanowi o niemożności zapewnienia przez Stany Zjednoczone odpowiedniego stopnia ochrony danych osobowych. Tym samym uznano decyzję w sprawie Tarczy Prywatności za nieważną, nie stosując przy tym okresu karencji.
Stwierdzenie nieważności decyzji dotyczącej braku adekwatności ochrony zapewnianej przez Tarczę Prywatności UE – USA nie oznacza jednak, że zabronione jest przekazywanie danych osobowych do USA. W dalszym ciągu możliwe jest przekazywanie danych w oparciu o art. 49 RODO. Zgodnie w tym dokumentem, przekazanie danych może nastąpić, gdy:
- osoba, której dotyczą dane, została poinformowana o ryzyku, z którym może wiązać się owo przekazanie,
- osoba ta udzieliła wyraźnej zgody na przekazanie danych,
- przekazanie danych jest niezbędne do wykonania umowy,
- przekazanie danych podejmowane jest na żądanie osoby przekazującej w związku z planowanym zawarciem umowy,
- przekazanie danych jest niezbędne do ustalenia, dochodzenia albo ochrony roszczeń.
Jeżeli juz odwiedziłeś naszą stronę - zapraszamy do przejrzenia cennika usług!
- UODO ukarał Stołeczny Ośrodek dla Osób Nietrzeźwych - 1 lipca 2022
- Publiczne podawanie wagi niezgodne z zapisami RODO - 28 czerwca 2022
- Organy ochrony danych podejmują współpracę w sprawie platformy Vinted - 18 czerwca 2022