Abstrakt

Obecnie krajobraz regulacyjny nie jest przyjazny dla podmiotów biorących udział w transferze danych. Schrems II zmienił optykę w zakresie legalizowania transferu danych do państw trzecich. Transfer Impact Assessment, czyli ocena ryzyka transferu danych do państwa trzeciego, została pierwotnie wskazana w wyroku Schrems II, następnie potwierdzona i rozwinięta w Zaleceniach EROD 01/2020 oraz potwierdzona w klauzuli 14 Nowych SKU. W przeprowadzaniu TIA należy w szczególności zidentyfikować uczestników transferu danych, narzędzie transferowe, kontekst transferowanych danych, rodzaj odbiorcy danych czy formę przekazywanych danych oraz w szczególności regulacje prawne i praktykę państwa trzeciego. Wnioski z wyroku Schrems II wskazują, że transfer danych osobowych do USA wyłącznie na podstawie SKU nie zapewnia zgodności z unijnym stopniem ochrony danych osobowych. To techniczne środki bezpieczeństwa oraz odpowiednia konfiguracja oferowanych środków bezpieczeństwa przez dostawców usług w praktyce mają największe i najskuteczniejsze znaczenie przy przeprowadzaniu TIA.