Europejska Rada Ochrony Danych EROD przyjęła wytyczne w sprawie certyfikacji jako narzędzia do przekazywania danych[1]. Co to oznacza?
Nowe wytyczne stanowią uzupełnienie Wytycznych 1/2018 sprawie certyfikacji i określania kryteriów w sprawie certyfikacji zgodnie z art 42 i 43 Rozporządzenia[2], które zostały zatwierdzone w 2019 roku.
Transfer danych w świetle RODO
Przekazywanie danych do państw trzecich, czyli tak zwany transfer danych to wszelkie operacje i działania na danych osobowych, w wyniku których dochodzi do transgranicznego przekazywania danych osobowych poza obszar EOG.
Transfer danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić tylko wtedy, gdy zostanie spełniona co najmniej jedna z poniższych przesłanek:
- Komisja Europejska wyda decyzję stwierdzającą odpowiedni stopień ochrony danych na danym terytorium lub przez określony sektor w tym państwie trzecim lub danej organizacji międzynarodowej,
- zastosowane zostaną odpowiednie zabezpieczenia, do których na podstawie Rozporządzenia zalicza się: standardowe wiążące reguły korporacyjne, zatwierdzone kodeksy postępowania oraz mechanizmy certyfikacji,
- zastosowanie będą mieć inne wyjątki od zakazu transferu, jak na przykład zgoda podmiotu danych.
Na podstawie art. 46 ust. 1 RODO, w przypadku braku decyzji wydanej przez Komisję Europejską, która stwierdzałaby odpowiedni stopień ochrony, administrator lub podmiot przetwarzający może przekazać dane osobowe do państwa trzeciego albo organizacji międzynarodowej tylko wtedy, gdy zapewnione zostaną odpowiednie zabezpieczenia, a także pod warunkiem, że w tym państwie trzecim obowiązują egzekwowalne prawa osób, których dane dotyczą, a także skuteczne środki ochrony prawnej.
Certyfikacja
Proces certyfikacji to zdobycie przez administratora lub podmiot przetwarzający pewnego rodzaju zaświadczenia potwierdzającego, że przetwarzanie przez nich danych osobowych jest zgodne z wymogami Rozporządzenia oraz innymi przepisami z zakresu ochrony danych osobowych.
Zgodnie z art. 42 ust. 5 RODO, certyfikacji dokonują podmioty certyfikujące. Mowa tutaj o właściwym organie nadzorczym (w naszym przypadku jest to Urząd Ochrony Danych Osobowych), a także Europejskiej Radzie Ochrony Danych EROD.
Do czego odnoszą się wytyczne?
Wytyczne nr 1/2018 zatwierdzone przez EROD zapewniają spójność na poziomie całej Unii Europejskiej i przejrzystość działań podejmowanych przez krajowe organy ochrony danych osobowych w ramach przedsięwzięć certyfikacyjnych. Kryteria zawarte w wytycznych dają możliwość rozpatrzenia składanych wniosków o certyfikacje.
Nowe wytyczne stanowią uzupełnienie i doprecyzowanie poprzednich. Odzwierciedlają szczególne aspekty dotyczące certyfikacji jako narzędzia do transferów, a także udzielają praktycznych wskazówek w zakresie zastosowania art. 46 ust. 2 lit. f) i 42 RODO wprowadzając nowe elementy do już opublikowanych wytycznych.
Podstawowym celem nowych wytycznych jest zapewnienie bardziej szczegółowego objaśnienia w kontekście wykorzystywania narzędzia jakim jest certyfikacja, do przekazywania danych. Na proponowane wytyczne składa się cztery części. Każda z nich koncentruje się na konkretnych aspektach dotyczących certyfikacji, są to:
- cel, zakres i różnorodność zaangażowanych podmiotów;
- wytyczne wykonawcze dotyczące wymogów akredytacyjnych dla podmiotów certyfikujących;
- szczegółowe kryteria certyfikacji w celu wykazania istnienia odpowiednich zabezpieczeń przy przekazywaniu danych;
- oraz wiążące i egzekwowalne zobowiązania jakie należy wdrożyć.
EROD dokona oceny funkcjonowania niniejszych wytycznych w świetle doświadczeń zdobytych z ich zastosowania w praktyce i dostarczy dalszych wskazówek w celu wyjaśnienia zastosowanych środków. Nowe wytyczne są przedmiotem konsultacji publicznych do końca września tego roku.
[1] Pełny tekst wytycznych można znaleźć tutaj: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-072022-certification-tool-transfers_pl
[2] Pełny tekst wytycznych można znaleźć tutaj: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-12018-certification-and-identifying_en