Transfer danych osobowych do państw trzecich-problematyka

Państwa trzecie na gruncie RODO

Samo Ogólne rozporządzenie o ochronie danych (RODO) nie zawiera definicji państwa trzeciego, pomimo faktu, iż termin ten pada tam wielokrotnie. RODO obowiązuje we wszystkich państwach Europejskiego Obszaru Gospodarczego (EOG), więc państwem trzecim jest każde niewchodzące do tego obszaru. Takimi krajami są np. Meksyk, Chiny, Kanada, Szwajcaria czy też Ukraina. W przypadku niektórych z tych państw przekazywanie danych osobowych nie stanowi większego problemu ze względu na uznanie ich za mające wystarczający poziom zabezpieczeń na mocy decyzji Komisji Europejskiej. Należą do tego grona między innymi Kanada, Japonia, Szwajcaria czy Izrael.

Przekazywanie danych osobowych do państwa trzeciego

Problematyczne może być zidentyfikowanie co kwalifikuje się jako przekazywanie danych do państwa trzeciego. Literalne rozumienie tego sformułowania, omawianego na gruncie art. 44 RODO wskazywałoby, że KAŻDA forma transferu danych do tych państw wchodzi w zakres przytoczonego artykułu. Przesyłanie danych do podmiotu zewnętrznego z siedzibą np. w Chile czy korzystanie z serwerowni znajdującej się w Turcji nie budzi wątpliwości względem kwalifikacji. Bezapelacyjnie w takich przypadkach administrator danych osobowych musi dostosować się do wymogów stawianych przed nim w rozdziale V RODO (art. od 44 do 49). Można to osiągnąć poprzez m.in. zastosowanie standardowych klauzul umownych przyjętych przez Komisję Europejską. Jednakże, są sytuacje bardziej niejasne.

Kwalifikacja okazjonalnego transferu danych

Jak zakwalifikować sytuację, w której pracownik spółki z siedzibą w Polsce wysyła kurtuazyjną wiadomość e-mail do firmy z siedzibą w Turcji? Przyjmując scenariusz, że owa wiadomość nie zawiera żadnych dodatkowych danych osobowych, to mamy w niej dane samego nadawcy. Administratorem danych tego pracownika jest wspomniana polska spółka, na polecenie której pracownik przesyła swoje dane do podmiotu ulokowanego w kraju trzecim. Zgodnie z literalnym brzmieniem art. 44, takie działanie oznacza transfer danych poza EOG. Jak je w takim razie uregulować? Stosowanie standardowych klauzul umownych wydaje się być niepraktycznym rozwiązaniem ze względu na jednorazowy charakter. Powołać się można tutaj na wyjątki w szczególnych sytuacjach zawarte w art. 49 RODO. Jednakże, żaden z warunków określonych w art. 1 lit. a) -g) nie ma zastosowania w tym przypadku. Administratorowi pozostaje wtedy powołać się na ostatni akapit tego artykułu, zgodnie z którym transfer danych jest dopuszczalny, jeśli przekazywanie nie jest powtarzalne, dotyczy ograniczonej liczby osób oraz uzasadniony interes administratora przeważa nad interesami osoby, której dane dotyczą. Można przyjąć, że przytoczona sytuacja spełnia te warunki, jednakże nawet wtedy pozostaje jeszcze obowiązek informowania o tym procesie organu nadzorczego. Innymi słowy, na gruncie art. 44 i 49 RODO, w przypadku wysyłania pojedynczego maila do państwa trzeciego jest to dopuszczalne, ale trzeba informować o tym organ nadzorczy, co może być uciążliwe.

Problematyczna kwestia wyjazdów zagranicznych i działania poza EOG

Warto przeanalizować też inny przykład, przy którym brak powtarzalności trudny byłby do wykazania. W przypadku wielu firm ich pracownicy wyjeżdżają na delegacje służbowe, które niejednokrotnie mają miejsce w kraju spoza EOG. Jeśli pracownik zabiera swojego służbowego laptopa celem pracy w toku delegacji, na którym ma dane osobowe, to zgodnie z literalnym brzmieniem art. 44 RODO mamy do czynienia z transferem danych do państwa trzeciego. W końcu przenosi fizycznie dane z EOG do państwa niewchodzącego w jego skład. Oczywiście, w przypadku jednorazowego wyjazdu, który trwałby kilka dni, zagadnienie to być może można byłoby rozwiązać w podobny sposób, jak powyższy kazus maila do Turcji. Aczkolwiek dyskusyjne byłoby tu uznanie tego transferu za obejmujący ograniczoną liczbę osób, co jest wymogiem opierania się na przytoczonym zapisie art. 49 RODO. Jednakże, jeżeli takie wyjazdy odbywają się regularnie, czy też wręcz cyklicznie, np. raz w miesiącu, to powyższe rozwiązanie zastosowane być nie może. W takim przypadku administrator zdaje się być pozbawiony możliwości legalnego uregulowania tego transferu danych. Nie wydaje się być możliwe zastosowanie standardowych klauzul umownych, skoro nie ma w tej sytuacji z kim lub czym ich zawrzeć. Nie są też spełniane wymogi wskazane w wyjątkach zawartych w art. 49 lit. a) -g). W takim razie, jak powinien postąpić administrator?

Transfer danych-inne podejście

W przytoczonej powyżej sytuacji jedynym podejściem, jakie zdaje się ratować administratora, jest inna interpretacja pojęcia „przekazywania danych do państwa trzeciego”. Zamiast traktować każde przeniesienie danych na terytorium poza EOG, nawet fizyczne w formie chociażby dysku twardego w laptopie, jako transfer danych w rozumieniu art. 44, to skupić się na istnieniu jakiegoś odbiorcy danych. Innymi słowy, w toku tej interpretacji, samo wjechanie na teren państwa trzeciego z fizycznym nośnikiem danych nie stanowiłoby ich transferu czy przekazywania, gdyż w istocie nie są one właśnie nikomu realnie przekazywane. Można stwierdzić, że pomimo fizycznego przebywania poza EOG, znajdują się pod pełną kontrolą, który w tym obszarze jest ulokowany. Niestety, takie podejście nie jest jednoznacznie akceptowalne. Paweł Fajgielski w swoim komentarzu do art. 44 wskazuje, iż „W piśmiennictwie przedmiotu wskazuje się, że należy przyjąć szerokie rozumienie pojęcia przekazywania danych osobowych do państwa trzeciego, które obejmować powinno wszelkie działania nakierowane na fizyczne przekazanie danych osobowych do państwa trzeciego („przeniesienie” danych przez granice państw, wysłanie, transmisja danych itp.) bez względu na postać danych i sposób takiego przekazania (np. za pośrednictwem sieci telekomunikacyjnych, przekazanie na nośniku danych, przekazanie dokumentu papierowego)” (P. Fajgielski, w: Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Lex/el. 2022, art. 44, teza 4). Przyjmując taką wykładnię, administrator w przytoczonej sytuacji jest w praktyce pozbawiony realnej możliwości prowadzenia takich działań w sposób zgodny z RODO. Nawet, jeżeli są one niezbędne dla skutecznego prowadzenia jego działalności gospodarczej.

Indywidualne wsparcie w zakresie transferu danych

Zagadnienia dotyczące przekazywania danych osobowych do państw trzecich mogą powodować niemało problemów administratorom. W szczególności w sytuacjach, których kwalifikacja na gruncie rozdziału V RODO budzi wątpliwości. Dlatego też, niezwykle cenne może okazać się wsparcie specjalistów w dziedzinie ochrony danych osobowych, w szczególności zewnętrznego Inspektora Ochrony Danych. Jego ekspertyza pozwoli dokładnie przeanalizować każdy proces przekazywania danych do państw trzecich i odpowiednio dostosować do wymogów wynikających z przepisów RODO. Taką właśnie usługę, jak również wiele innych w zakresie ochrony danych osobowych świadczą Inspektorzy ODO sp. z o.o. Szczegółowe informacje w tym zakresie znajdują się na stronie internetowej www.inspektorzyodo.pl/ochrona-danych-osobowych/inspektor-ochrony-danych/.