Legalizacja przekazania danych osobowych do państw trzecich

Zasady powierzenia przetwarzania danych do państw trzecich reguluje rozdział V rozporządzenia ODO. W tym zakresie przekazywanie danych osobowych jest ograniczone przez przepisy rozporządzenia ODO. Przyjęto bowiem (słusznie), że o ile RODO wprowadza jednolity, wysoki standard ochrony danych osobowych i przekazywanie danych w granicach EOG niczym nie powinno się różnić od powierzania go w granicach jednego kraju, to w innych państwach nie zawsze ochrona danych jest zapewniona na równym poziomie. Jednocześnie osobom fizycznym, których dane są przekazywane odbiorcom różnego rodzaju w państwach trzecich nie należy obniżać stopnia ochrony ich danych zapewnianego w Unii. Wobec tego przepisy przewidują kilka możliwości aby zalegalizować przekazywanie danych do państw trzecich.

Uwaga! Za państwo trzecie jest uznawane każde państwo, które nie jest członkiem Europejskiego Obszaru Gospodarczego (28 państw członkowskich UE oraz Islandia, Norwegia i Lichtenstein).

Praktyczne zastosowanie mają jednak obecnie dwie metody. Pierwsza z nich to przekazywanie danych  na podstawie decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony w państwie trzecim. Takich decyzji jest jednak bardzo niewiele. Dotychczas wydano takie decyzje w stosunku do takich Państw jak Szwajcaria, Kanada, Argentyna, Izrael, Urugwaj, Nowa Zelandia, Wysp Owczych oraz USA (tarcza prywatności) i paru innych małych państw, często będące egzotycznymi wysepkami. Komisja obecnie pracuje nad decyzją dotyczącą Japonii.

Uwaga! Nie każda z tych decyzji pozwala na swobodne przekazywanie danych osobowych do tego państwa. Niektóre z decyzji, jak na przykład ta z USA, pozwala na przekazywanie danych osobowych tylko do tych podmiotów, które dołączyły do programu ochrony danych osobowych (Tarcza prywatności – tzw. Privacy Shield). Każdorazowo trzeba wobec tego sprawdzić jakie reguły ustalone zostały w stosunku do tych państw w decyzji Komisji.

Druga praktycznie stosowana metoda to posługiwanie się tzw. standardowymi klauzulami umownymi przyjętymi przez Komisję Europejską. Komisja przygotowała i uchwaliła odrębne klauzule dla relacji administrator – podmiot przetwarzający oraz odrębne dla relacji administrator – administrator. Uznaje się, że zastosowanie przez administratora standardowych klauzul umownych, stanowi odpowiednią gwarancję transferu danych osobowych do państwa trzeciego. Samo zastosowanie klauzul nie powoduje jednak, że przekazanie danych może być całkowicie swobodne. Trzeba pamiętać o tym, że przekazując dane osobowe jakiemukolwiek podmiotowi powinniśmy mieć pewność, że zapewnia on odpowiednią gwarancję ochrony danych osobowych i respektowania praw jednostki. Nie inaczej jest w tym przypadku.

Stosując te klauzule należy  pamiętać o tym, że nie można dokonywać ich istotnej modyfikacji oraz o tym, że w praktyce warto posługiwać się oficjalnymi wersjami językowymi przygotowanymi dla wszystkich języków państw unijnych. Tłumaczenie tych klauzul powinno się dokonywać tylko wtedy, gdy brakuje oficjalnej ich wersji.

Uwaga! Klauzule umowne mogą być zawarte w szerszej umowie zawartej między administratorem danych osobowych a odbiorcą danych w państwie trzecim, mogą być dodane do niej w formie aneksu lub mogą być zawarte w zupełnie odrębnym dokumencie.

Przekazując dane do państwa trzeciego należy pamiętać, że trzeba o tym poinformować osoby, których dane są przetwarzane. Art. 12 RODO stanowi, że zbierając dane istnieje obowiązek przekazania informacji o zamiarze przekazania danych osobowych do państwa trzeciego oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych. Obowiązek ten należy mieć na uwadze!

TIP: sprawdzenia podmiotu z USA można dokonać w oficjalnych rejestrze Tarczy prywatności dostępnym pod adresem: https://www.privacyshield.gov/list

W razie pytań, lub wątpliwości – zachęcam do kontaktu.