Transfer danych poza EOG 

BySylwia Ostrowska

transfer danychWiele podmiotów będących częścią międzynarodowych korporacji spotyka się w swojej codziennej działalności z koniecznością przekazania (udostępnienia lub powierzenia) pewnych kategorii danych osobowych poza EOG. Przetwarzanie danych osobowych poza Europejskim Obszarem Gospodarczym wymaga zalegalizowania transmisji danych, a brak tej czynności stanowi naruszenie przepisów RODO. Podmioty z państw trzecich zapewniające odpowiedni poziom bezpieczeństwa, który zostanie potwierdzony, mogą być administratorami lub podmiotami przetwarzającymi dane osobowe obywateli UE. 

Dane przekazane do państwa trzeciego – co to oznacza? 

Oznacza to najprościej mówiąc, że nasze dane będą przekazane do państwa trzeciego, czyli trafią poza obszar obowiązywania unijnego prawa o ochronie danych osobowych. Podmiot w państwie trzecim, do którego mają być przekazane nasze dane nie zapewnia odpowiedniego poziomu zabezpieczeń. Co wiąże się z tym że jesteśmy o krok od utraty kontroli nad naszymi danymi. Gdy dane trafią do podmiotu z siedzibą w państwie, w którym nie funkcjonują przepisy o ochronie danych osobowych. Może wtedy dojść do ich przetwarzania w sposób dowolny, nieograniczony przepisami unijnymi. Nie oznacza to, że każde przekazanie danych osobowych poza strefę RODO jest niebezpieczne. Prawodawca unijny przewidział szereg mechanizmów pozwalających podmiotom w państwach trzecich na wykazanie, że stosują ochronę danych osobowych. Na poziomie dorównującym podmiotom w państwach członkowskich UE. 

Wymogi dla transgranicznego przekazywania danych osobowych.  

Ogólną zasadą jest przekazywanie danych do podmiotów w państwach trzecich oraz organizacji międzynarodowych. Co do których potwierdzony został odpowiedni stopień zabezpieczenia danych osobowych. Takiemu potwierdzeniu odpowiedniego poziomu bezpieczeństwa mogą służyć (art. 46 ust. 2 RODO): 

  • Decyzje stwierdzające odpowiedni stopień ochrony danych osobowych w państwie trzecim, wydawane przez Komisję Europejską. 
  • Standardowe klauzule umowne – zatwierdzane przez Komisję Europejską, których treść udostępniana jest do stosowania przez administratorów. 
  • Wiążące reguły korporacyjne – czyli polityki ochrony danych stosowane w międzynarodowych korporacjach. 
Kiedy można przekazać dane do państwa trzeciego? 

RODO reguluje również szereg wyjątków, w których administrator jednorazowo lub wielokrotnie może przekazać dane do podmiotu w państwie trzecim. Nie zabiegając o potwierdzenie przez niego odpowiedniego poziomu zabezpieczenia (art. 49 ust. 1 RODO). Będą to sytuacje, w których: 

  • Osoba, której dane dotyczą, poinformowana została o ewentualnym ryzyku, które może się dla niej wiązać z proponowanym przekazaniem. Wyraziła na nie zgodę, np. chce korzystać z usługi chmury udostępnianej przez firmę w państwie trzecim.  
  • Przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą a administratorem, np. w zakresie transportu towarów z Azji. 
  • Przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, której dane dotyczą, między administratorem, a inną osobą fizyczną lub prawną, np. przez biuro podróży organizujące wycieczkę do Afryki. 
  • Transfer danych jest niezbędny ze względu na ważne względy interesu publicznego. Może być to np. w razie wykrycia egzotycznej choroby zakaźnej u obywatela państwa trzeciego w celach epidemiologicznych. 
  • Dane przekazane są do ustalenia, dochodzenia lub ochrony roszczeń, np. w razie sporu sądowego w państwie trzecim. 
  • Przekazanie jest niezbędne do ochrony żywotnych interesów osób, których dane dotyczą lub innych osób. Jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody. Może to być np. kiedy chodzi o przekazanie dziecka, które trafiło w sposób nielegalny na obszar UE do odpowiedniej placówki w państwie pochodzenia, które jest państwem trzecim. 
  • Przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla obywateli, np. rejestr osób skazanych za przestępstwa przeciwko małoletnim. 
Firma przekazująca dane poza EOG powinna zastosować odpowiednie kroki.

By ocenić czy ochrona danych w tym kraju będzie spełniała wymogi RODO, należy podjąć takie działania jak: 

  • Identyfikacja transferu danych; 
  • Weryfikacja/określenie podstaw przekazywania danych; 
  • Ocena prawa lub praktyki państwa trzeciego oraz ocena jaki wpływ ma to prawo na ochronę danych osobowych; 
  • Zidentyfikowanie i przyjęcie środków uzupełniających; 
  • Podjęcie działań proceduralnych wymaganych do przyjęcia środków uzupełniających; 
  • Dokonywanie ponownej oceny stopnia ochrony danych w odpowiednich odstępach czasu.

Podmiot przekazujący dane będzie zobowiązany do zachowania należytej staranności przy przekazywaniu danych i sporządzania bardzo szczegółowej dokumentacji dotyczącej przetwarzanych przez niego danych. Powinien być przy tym świadomy, że nie w każdym przypadku możliwe jest wdrożenie wystarczających środków uzupełniających.

Decyzja Komisji Europejskiej 2021/914 w sprawie standardowych  klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich w linku. (https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=uriserv%3AOJ.L_.2021.199.01.0031.01.POL&toc=OJ%3AL%3A2021%3A199%3ATOC)