TIA (Transfer Impact Assessment), czyli ocena skutków transferu danych, to udokumentowana analiza prawna i faktyczna sprawdzająca, czy przekazywanie danych osobowych poza Europejski Obszar Gospodarczy jest bezpieczne – obowiązek jej przeprowadzenia wynika bezpośrednio z wyroku TSUE w sprawie Schrems II. Artykuł wyjaśnia, czym TIA różni się od DPIA, jak przebiega 6-krokowa metodologia rekomendowana przez Europejską Radę Ochrony Danych, jakie środki uzupełniające należy wdrożyć gdy ocena prawa państwa trzeciego wykaże braki, oraz jakie sankcje grożą za brak tej dokumentacji.
Skąd pochodzi obowiązek TIA? Wyrok Schrems II i upadek Tarczy Prywatności
Podstawa prawna TIA nie wynika bezpośrednio z treści RODO – jest konsekwencją wyroku Trybunału Sprawiedliwości UE w sprawie C-311/18, powszechnie określanego jako „Schrems II”. Wyrok ten unieważnił mechanizm Tarczy Prywatności – dotychczasową podstawę transferu danych między Unią Europejską a Stanami Zjednoczonymi.
TSUE orzekł, że stosowanie Standardowych Klauzul Umownych (SCC) może być niewystarczające, jeśli prawo państwa trzeciego, do którego dane są przekazywane, nie zapewnia ochrony zasadniczo równoważnej gwarancjom unijnym. Trybunał nałożył na eksportera danych – czyli przedsiębiorcę z EOG wysyłającego dane poza jego granicę – aktywny obowiązek weryfikacji, czy taki równoważny poziom ochrony w danym przypadku faktycznie istnieje.
Właśnie ten sformalizowany i udokumentowany proces stanowi istotę TIA – dowód należytej staranności, który eksporter musi być w stanie okazać organowi nadzorczemu.
TIA a DPIA – czym różnią się te dwa mechanizmy oceny ryzyka?
W nomenklaturze RODO funkcjonuje kilka mechanizmów oceny ryzyka. Podstawowym błędem jest utożsamianie TIA z Oceną Skutków dla Ochrony Danych (DPIA), mimo że obie procedury służą analizie ryzyka.
| Kryterium | TIA | DPIA |
|---|---|---|
| Pytanie przewodnie | Jakie jest ryzyko wynikające z tego, dokąd wysyłamy dane? | Jakie jest ryzyko wynikające z tego, co robimy z danymi? |
| Podstawa prawna | Wyrok TSUE Schrems II; mechanizmy zgodnie z art. 46 RODO | Art. 35 RODO |
| Przedmiot analizy | Prawo i praktyka państwa trzeciego (dostęp organów publicznych do danych) | Charakter, zakres i cele konkretnej operacji przetwarzania danych |
| Zakres geograficzny | Dotyczy wyłącznie transferów poza EOG | Dotyczy operacji przetwarzania niezależnie od lokalizacji |
Obie procedury mają odrębny przedmiot i zakres – mogą być wymagane niezależnie od siebie w ramach tej samej operacji.
Jak przeprowadzić TIA? 6-krokowa metodologia EROD
Europejska Rada Ochrony Danych (EROD) opublikowała rekomendacje systematyzujące przebieg oceny skutków transferu danych w spójną ścieżkę analityczną obejmującą sześć następujących po sobie kroków.
- Mapowanie transferu – identyfikacja wszystkich elementów operacji: kategorii przekazywanych danych, podmiotów zaangażowanych w transfer (eksporter, importer) oraz celu i podstawy prawnej przekazania.
- Weryfikacja narzędzia transferu – potwierdzenie, na jakim mechanizmie z art. 46 RODO opiera się operacja; najczęściej będą to Standardowe Klauzule Umowne (SCC).
- Dokonanie oceny prawa i praktyki państwa trzeciego – kluczowy etap: analiza, czy przepisy kraju docelowego umożliwiają organom publicznym dostęp do transferowanych danych w celach bezpieczeństwa narodowego w zakresie podważającym gwarancje SCC.
- Identyfikacja środków uzupełniających – jeżeli krok 3 wykaże ryzyko, konieczne jest wskazanie skutecznych środków technicznych, organizacyjnych lub kontraktowych niwelujących stwierdzone braki.
- Formalne wdrożenie środków – implementacja zidentyfikowanych środków uzupełniających i włączenie ich do umowy z importerem danych lub wewnętrznych procedur organizacji.
- Cykliczna reewaluacja poziomu ochrony – TIA nie jest dokumentem jednorazowym; poziom ochrony w państwie trzecim może się zmieniać, co wymaga regularnego przeglądu adekwatności przyjętych zabezpieczeń.
TIA nie ma jednego sformalizowanego wzoru ani urzędowego szablonu – może być sporządzona zarówno w formie fizycznej, jak i elektronicznej, podobnie jak inne wewnętrzne dokumenty organizacji z zakresu ochrony danych osobowych.
Co zrobić, gdy TIA wykaże braki? Środki uzupełniające w trzech kategoriach
Gdy ocena prawa państwa trzeciego wykaże braki w poziomie ochrony danych, samo podpisanie SCC jest niewystarczające – konieczne jest wdrożenie dodatkowych środków zabezpieczających. EROD wyróżnia trzy kategorie:
- Środki techniczne – przede wszystkim silne szyfrowanie danych zarówno w tranzycie, jak i w spoczynku, przy czym klucze szyfrujące muszą pozostawać pod wyłączną kontrolą eksportera danych, oraz skuteczna pseudonimizacja. Należy jednak pamiętać, że nawet zaawansowane szyfrowanie może okazać się niewystarczające, gdy importer jest prawnie zobowiązany do jego obejścia na żądanie organów publicznych.
- Środki organizacyjne – rygorystyczne polityki wewnętrzne regulujące dostęp do danych, regularne audyty przestrzegania tych polityk, szkolenia personelu oraz publikowanie raportów transparentności dotyczących żądań rządowych.
- Środki kontraktowe – wzmocnienie SCC poprzez nałożenie na importera danych dodatkowych obowiązków: zobowiązania do kwestionowania żądań dostępu ze strony organów publicznych oraz do informowania eksportera o takich żądaniach, o ile prawo państwa trzeciego na to zezwala.
Które środki są adekwatne dla Twojej organizacji – to zależy od specyfiki transferu i jurysdykcji docelowej, co warto ocenić z praktykiem znającym realia danego sektora.
Brak TIA a sankcje RODO – stanowisko Prezesa UODO
Prezes Urzędu Ochrony Danych Osobowych nie opublikował odrębnych, szczegółowych wytycznych dotyczących przeprowadzania TIA. W swoim stanowisku w pełni popiera rekomendacje EROD i odsyła do nich polskich przedsiębiorców – czyniąc je de facto obowiązującym standardem oceny skutków transferu danych w Polsce.
Brak TIA nie stanowi odrębnego, nazwanego naruszenia przepisów RODO. Jest to jednak równoznaczne z niezdolnością do wykazania, że transfer danych do państwa trzeciego zapewnia zgodność z zasadami określonymi w Rozdziale V rozporządzenia – a to otwiera drogę do nałożenia administracyjnej kary pieniężnej w najwyższym wymiarze: do 20 milionów euro lub 4% całkowitego rocznego światowego obrotu (stosuje się wartość wyższą). Organizacja powinna zatem nie tylko zapewnić przeprowadzenia oceny skutków transferu, ale również należycie ją udokumentować i aktualizować przy każdej zmianie prawa państwa trzeciego lub charakteru samego transferu.
Ocena, czy Twoja organizacja spełnia wymogi TIA zgodnie ze standardem EROD, wymaga indywidualnej analizy – szczególnie w przypadku transferów do jurysdykcji o złożonym otoczeniu regulacyjnym.