Od Safe Harbor do Schrems III
Przekazywanie danych osobowych poza EOG to jedno z najtrudniejszych zagadnień GDPR. Historia TSUE: Safe Harbor unieważniony (Schrems I, 2015), Privacy Shield unieważniony (Schrems II, 2020), a teraz EU-US Data Privacy Framework (DPF) jest zaskarżany przez NOYB.
Standardowe klauzule umowne — czy wystarczą?
SCC pozostają najczęstszym mechanizmem transferu, ale po Schrems II wymagają oceny wpływu transferu (TIA). Samo podpisanie SCC nie wystarczy — oceń, czy ramy prawne państwa odbiorcy zapewniają odpowiednią ochronę.
- Przeprowadź TIA dla każdego transferu do państwa bez decyzji o adekwatności
- Wdróż środki uzupełniające, jeśli TIA zidentyfikuje ryzyka
- Udokumentuj analizę na potrzeby organu nadzorczego
- Aktualizuj TIA po zmianach legislacyjnych w państwie odbiorcy
Praktyczne kroki
- Inwentaryzacja transferów — zmapuj wszystkie przepływy danych poza EOG
- Hierarchia mechanizmów — decyzje o adekwatności jako priorytet, SCC jako Plan B
- Szyfrowanie end-to-end — kluczowy środek uzupełniający
- Plan awaryjny — przygotuj scenariusz na unieważnienie DPF
Wiążące reguły korporacyjne (BCR)
Dla firm z rozbudowanymi strukturami międzynarodowymi BCR to najsolidniejszy mechanizm. Zatwierdzenie trwa 12–18 miesięcy, ale zapewnia elastyczność wewnątrzgrupowych transferów.
Potrzebujesz pomocy z transferami danych? Umów konsultację.