Analiza smernic EDPB o prenosu osebnih podatkov v tretje države (SCC)

Schrems II

Evropski odbor za varstvo podatkov (EDPB) je 11. novembra 2020 objavil težko pričakovane smernice po odločitvi Sodišča Evropskih skupnosti (SES) julija 2020 v primweu Schrems II , v katerem je opisal postopek za zagotavljanje varstva osebnih podatkov v skladu z GDPR za osebne podatke s prebivališčem v EU, ki se prenašajo izven EU (celotno besedilo je na voljo tukaj ). Smernice opisujejo korake, ki jih morajo podjetja sprejeti, da zagotovijo, da bodo ti podatki ob pošiljanju v tretje države deležni enake ravni zaščite, kot je zagotovljena v EU, kar je vodilo Sodišče EU, da je razveljavilo okvir zasebnostnega ščita med ZDA in EU. “Uvozniki” in “izvozniki” podatkov morajo imeti dejavno vlogo pri zagotavljanju te zaščite in izkazati prizadevanja, ki so jih vložili v varnost obdelave. V povezavi s temi smernicami je EDPB izdal priporočila evropskih bistvenih jamstev (priporočila EDPB), ki dodatno pojasnjujejo nekatere korake, ki jih morajo sprejeti podjetja, na primer kako oceniti zakon ali prakso tretje države (celotno besedilo je na voljo tukaj).

Naslednji dan, 12. novembra 2020, je Evropska komisija predlagala osnutek sklepa, ki posodablja razpoložljive standardne pogodbene klavzule (SCC), ki so primarni mehanizem, ki ga GDPR priznava za ustrezno zaščito osebnih podatkov EU med prenosom v tretje države (celotno besedilo je na voljo za prenos na tej povezavi). Če bo odločitev sprejeta in bodo novi SCC učinkoviti, bodo upravljavci imeli na voljo prehodno 12-mesečno obdobje, da postopno uskladijo vse obstoječe SCC. Osnutek sklepa vsebuje prilogo z osnutkom nabora novih SCC-jev (na voljo za prenos na tej povezavi), ki med primarnima dvema vključujejo SCC-je za več scenarijev prenosa podatkov, med drugim tudi za dve glavni obliki:

Z uveljavitvijo takšne rešitve bi zapolnili precejšnjo vrzel v sistemu za prenos podatkov, ki je nastala po sodbi Schrems II. Osnutek sklepa je na voljo za pripombe do 10. decembra 2020.

V teh novo izdanih dokumentih EDPB in Evropska Komisija upravljavcem podatkov omogočata prenos osebnih podatkov po novem.  Je pa vendarle treba opozoriti na zanimivo razhajanje med njunima pristopoma, in sicer, kakšno težo, če sploh, je treba dati “subjektivnim dejavnikom” in dejanski verjetnosti vladnega dostopa.

Smernice EDPB: šeststopenjski pristop

Smernice EDPB temeljijo na načelu odgovornosti pri prenosu podatkov, ki od “izvoznikov” in “uvoznikov” podatkov zahteva, da igrajo aktivno vlogo pri zaščiti podatkov in da lahko ta prizadevanja tudi dokažejo. Smernice EDPB tako opisujejo šeststopenjski pristop k zagotavljanju izpolnjevanja te odgovornosti, zlasti ob odsotnosti razveljavljenega Ščita zasebnosti. Teh šest korakov je:

1. “Poznajte svoje prenose” .

Upravljavci mora najprej vedeti, kam se osebni podatki prenašajo, da “lahko zagotovijo v dejansko enakovredno raven zaščite, kjer koli že se obdelujejo.

Upoštevajte, da to vključuje tudi »nadaljnje prenose«, kar pomeni tiste, pri katerih obdelovalci zunaj Evropskega gospodarskega prostora (EGP) osebne podatke, ki ste jim jih zaupali, prenesejo na podizvajalce v drugi tretji državi. Oddaljen dostop iz tretje države (na primer v primerih podpore) in / ali shranjevanje v oblaku zunaj EGP se prav tako šteje za prenos.

2. “Preverite orodje za prenos, na katerega se zanašate, in ga primerjajte s tistimi, ki so našteti v poglavju V. GDPR”

ZDA v skladu s prakso EU in GDPR niso priznane kot država, ki bi zagotavljala enakovredno zaščito osebnih podatkov, kot to zagotavlja EU. Tako se mora upravljavec pri prenosu podatkov iz EU v ZDA zanašati na orodje za prenos člena 46 GDPR.

Glavne vrste orodij za prenos člena 46 GDPR so:

Za občasne in neponavljajoče se prenose lahko veljajo odstopanja po členu 49 (z restriktivno razlago).

3. “Ocenite, ali v zakonodaji ali praksi tretje države obstaja kaj, kar bi lahko vplivalo na učinkovitost ustreznih zaščitnih mehanizmov orodij za prenos, na katere se zanašate.”

Tu mora upravljavec sam oceniti zakonodajo tretje države, ki je pomembna za določeno orodje za prenos. “Uvoznik” podatkov ima pri tej oceni ključno vlogo in mora izvozniku podatkov zagotoviti ustrezne vire in informacije. Priporočila EDPB razširjajo dejavnike, ki jih je treba upoštevati, vključno z naslednjimi:

4. “Ugotovite in sprejmite dodatne ukrepe”

Če ocena upravljavca iz 3. koraka pokaže, da zakonodaja tretjih držav vpliva na učinkovitost orodja za prenos člena 46 GDPR, na katero se opira, je treba sprejeti dodatne ukrepe.

Smernice EDPB vsebujejo seznam dejavnikov, ki jih je treba upoštevati pri izbiri najučinkovitejših dopolnilnih ukrepov:

Primeri ugotovitev za standardne pogodbene klavzule po smernicah EDPB

5. “Izvedite potrebne formalne postopkovne korake”

Ti postopkovni koraki so lahko odvisni od orodja za prenos, ki ga uporablja upravljavec. V smernicah je navedeno:

6. »Ponovna ocena v ustreznih intervalih«

Podjetja morajo spremljati, ali je prišlo do razvoja dogodkov, ki bi lahko vplivali na orodje za prenos, ki se uporabljajo.

Osnutek sklepa o standardnih pogodbenih klavzulah

Če bo osnutek sklepa sprejet, bodo imeli upravljavci na voljo 12 mesecev, da svoje prenose uskladijo s sklepom, vključno s sprejetjem in / ali zamenjavo posodobljenih standardnih pogodbenih klavzul. Pomembni bi bili naslednji koraki:

1. Upravljavci morajo stare SCC zamenjati z novimi osnutki iz Priloge

Priloga vsebuje seznam sprejemljivih SCC, ki bodo izpolnjevali zahteve GDPR, upravljavci pa bodo morala postopno odpraviti in nadomestiti vse stare SCC s temi. Dovoljeni SCC, navedeni v Prilogi, med drugim vključujejo vrsto funkcij, kot so zaščita podatkov (varnost obdelave), pravice posameznikov itd.

2. Vključeni so novi scenariji prenosa:

Priloga zajema dva nova scenarija prenosa podatkov, ki zagotavljata prožnost in priznavata, da obdelovalci pogosto izvozijo osebne podatke k podobdelovalcu ali (novemu) upravljavcu:

3. K enemu sklopu pogodbenih klavzul lahko pristopi več pogodbenih strank (ne več zgolj 2)

Ta sprememba koristno zmanjšuje število ločenih pogodb, ki jih morajo podjetja podpisati pri vključevanju novih prodajalcev ali ponudnikov storitev, kar je trenutno obremenjujoča naloga.

4. Potencialni premik pristopa prenosa s koncepta territory-based na koncept jurisdiction-based

Gre za dvoumnost osnutka sklepa, ki v nekaterih delih navaja, „da mehanizmi prenosa podatkov morda ne bodo potrebni, kadar se osebni podatki prenašajo v podjetje zunaj EU, za katero že velja člen 3(2) GDPR.”

Vzajemno delovanje in nekaj nasprotovanj med smernicami EDPB in osnutkom sklepa Komisije

Cilj obeh dokumentov je zagotoviti nadaljnja pojasnila glede na poletno odločitev Sodišča EU v zadevi Schrems II . Obstaja nekaj podobnosti med njima. Osnutek odločbe ES na primer omogoča sklicevanje na priporočila EDPB o dopolnilnih ukrepih. Poleg tega osnutek in priloga neposredno vključujeta nekatere dodatne zaščitne ukrepe, ki jih omenja EDPB. Vendar je treba omeniti ključno odprto postavko:

Kakšno težo (predvsem pa, kako to izvesti) bi morali dati »subjektivnim dejavnikom« in verjetnosti vladnega dostopa?

Čeprav oba dokumenta zagotavljata dejavnike, ki jih mora upravljavec upoštevati pri ocenjevanju, ali mu lokalna zakonodaja omogoča izpolnjevanje obveznosti varovanja podatkov, se dejavniki razlikujejo. Zdi se, da osnutek “uvoznikom” podatkov omogoča, da preučijo praktično verjetnost vladnega dostopa z oceno „ustreznih praktičnih izkušenj, ki kažejo na obstoj ali ne-obstoj predhodnih primerov oblastnih zahtev za razkritje osebnih podatkov, ki jih je “uvoznik” podatkov prejel za (enako ali podobno) vrsto osebnih podatkov, kot se vrste, ki se prenašajo.” Po drugi strani pa je EDPB “uvoznike” podatkov opozoril, naj se odmaknejo od „subjektivnih dejavnikov“, vključno z „verjetnostjo dostopa javnih organov do vaših podatkov na način, ki ni v skladu s standardi EU“. Oba dokumenta opozarjata, da je treba oceniti vso veljavno zakonodajo.

Povzetek smernic EDPB in osnutka sklepa Komisije

Po novem bi torej upravljavci morali izvajati naslednje korake:

 

Natisni 🖨
Povezani članki
Izhod iz mobilne verzije