Od niemal miesiąca transfer danych osobowych do państw trzecich – zwłaszcza do USA – stał się nieco bardziej skomplikowany. Nie wystarcza już samo zawarcie standardowych klauzul umownych z podmiotem z USA, a administrator powierzający dane powinien je dodatkowo przeanalizować. Jak sobie z tym poradzić?
Z artykułu dowiesz się m.in.:
- Do których państw trzecich można obecnie przekazywać dane osobowe bez dodatkowych zezwoleń czy zabezpieczeń.
- Jak postąpić chcąc wytransferować dane osobowe do państwa trzeciego, mimo negatywnej decyzji Komisji Europejskiej na temat adekwatności ochrony w tym państwie.
- Pod jakimi warunkami można wytransferować dane przy braku odpowiedniej ich ochrony?
- Co w praktyce oznacza przekazywanie danych do państwa trzeciego.
- Czyją wyłączną kompetencją jest decydowanie czy transfer do danego państwa trzeciego wymaga dodatkowych zezwoleń czy zabezpieczeń.
Transfer danych osobowych do państw trzecich ma miejsce znacznie częściej, niż przypuszczamy. Często choćby w przypadku korzystania z usług chmurowych. Nierzadko administratorzy danych nie zdają sobie sprawy z dokonywanego transferu danych narażając się na poważne konsekwencje ze strony organów nadzorczych.
Przekazywanie danych osobowych do państw trzecich, jeszcze w okresie poprzedzającym rozpoczęcie stosowania przepisów o tzw. RODO (tj. ogólnego rozporządzenia o ochronie danych z dnia 27 kwietnia 2016 r.) było obostrzone dodatkowymi obowiązkami. Takie transgraniczne przetwarzanie obejmuje przede wszystkim
- ograniczenie możliwości realizacji rozbudowanego katalogu praw przysługującego podmiotom danych,
- usunięcia danych,
- trudności w ustalenia faktycznej liczby podmiotów, które finalnie będą miały dostęp do danych osobowych będących przedmiotem transferu.
Obecnie mija niemalże miesiąc od stwierdzenia przez Trybunał Sprawiedliwości Unii Europejskiej nieważności decyzji wykonawczej Komisji Europejskiej (UE) 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA. Tym samym transfer danych osobowych do państw trzecich, a w szczególności do USA, stał się nieco bardziej skomplikowany.
Kluczowe definicje, dotyczące przekazywania danych osobowych do państw trzecich
Dla pewności, uporządkujmy podstawowe definicje. Państwo trzecie, to państwo spoza Europejskiego Obszaru Gospodarczego (EOG), które tworzą kraje należące do Unii Europejskiej oraz Islandia, Liechtenstein i Norwegia. Co istotne, przykładem państwa trzeciego jest także USA. W niedalekiej przyszłości zagadnienia związane z transferem danych osobowych do państw trzecich mogą stać się ponownie istotne w kontekście Wielkiej Brytanii (o związku z końcem okresu przejściowego w związku z tzw. Brexitem).
Transfer/przekazywanie danych osobowych do państw trzecich nie doczekało się oficjalnej definicji, jednak w literaturze przedmiotu można znaleźć stosowne wyjaśnienie. Zgodnie z nim
przekazaniem danych do państwa trzeciego będzie każda operacja, w wyniku której dane osobowe zostają fizycznie przekazane do państwa trzeciego, tj. przekraczają jego granice (…) Aby zakwalifikować określoną operację jako transfer do państwa trzeciego, nie ma znaczenia, czy przekazanie danych osobowych ma charakter jednorazowy (incydentalny), czy wielokrotny (set of transfers), sposób przekazywania, okres gromadzenia i przechowywania danych, forma prawna, na podstawie której dochodzi do przekazania. Z transferem danych będziemy mieli również do czynienia wtedy, gdy "importer" zapoznaje się z danymi bez ich utrwalania, a więc np. w trakcie czytania czy rozmowy telefonicznej.
Przekazywanie danych osobowych do państw trzecich w praktyce
Przekazanie danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego lub organizacji międzynarodowej, powinno następować tylko, gdy administrator i podmiot przetwarzający spełnią warunki określone rozdziale V RODO. Owe warunki, to w pierwszej kolejności decyzja stwierdzająca odpowiedni stopień ochrony. Jest to wyłączna kompetencja Komisji Europejskiej. Jeżeli w stosunku do danego państwa trzeciego pozytywna decyzja zostanie wydana, oznacza to, iż transfer danych do takiego państwa nie wymaga dodatkowych zezwoleń ani zabezpieczeń.
Ważny fragment
Obecnie kraje, w stosunku do których stwierdzono odpowiedni stopień ochrony, to: Andora, Argentyna, Kanada, Wyspy Owcze Guernsey, Izrael, Wyspa Man, Japonia, Jersey, Nowa Zelandia, Szwajcaria oraz Urugwaj.
Nasz ekspert Kacper Rączkowiak jest do Twojej dyspozycji.
Transfer danych do USA już nie na mocy Tarczy Prywatności
Przyczynkiem do niniejszego artykułu jest wyrok TSUE w tzw. sprawie Schrems II. Przypomnijmy, że do momentu wydania ww. wyroku i stwierdzenia przez Trybunał Sprawiedliwości Unii Europejskiej nieważności decyzji wykonawczej Komisji Europejskiej (UE) 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności, krajem, co do którego istniała decyzja Komisji Europejskiej potwierdzająca odpowiedni stopień ochrony, były także USA. Oznacza to w praktyce, że obecnie transfer danych do USA może odbywać się nadal, ale podstawą transferu nie może być już Tarcza Prywatności.
Co dalej, jeśli KE stwierdzi brak adekwatnej ochrony w przypadku transferu danych?
W razie braku wyżej opisanej decyzji Komisji Europejskiej, a w tym także w związku z unieważnieniem Tarczy Prywatności, administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią one odpowiednie zabezpieczenia i skuteczne środki ochrony prawnej. Owo odpowiednie zabezpieczenie można osiągnąć przede wszystkim przy pomocy:
- prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi,
- wiążących reguł korporacyjnych (są stosowane relatywnie rzadko i głównie w dużych grupach międzynarodowych przedsiębiorstw),
- standardowych klauzul ochrony danych (jest to najbardziej popularne zabezpieczenie transferu, jednak UWAGA – nie istnieją klauzule zakładające „podpowierzenie” danych osobowych),
- zatwierdzonego kodeksu postępowania,
- zatwierdzonego mechanizmu certyfikacji.
Stosowanie powyższych zabezpieczeń nie wymaga dodatkowego zezwolenia organu nadzorczego. Wymaga go natomiast stosowanie następujących rodzajów zabezpieczeń:
- klauzul umownych między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej,
- postanowień uzgodnień administracyjnych między organami lub podmiotami publicznymi, w których przewidziane będą egzekwowalne i skuteczne prawa osób, których dane dotyczą.
Zapisz się do newslettera „Alerty RODO” – nie daj się zaskoczyć!
Pod jakimi warunkami można wytransferować dane przy braku pozytywnej decyzji KE?
W przypadku braku pozytywnej decyzji stwierdzającej odpowiedni stopień ochrony lub przy braku odpowiednich zabezpieczeń umożliwiających jednorazowe lub wielokrotne przekazanie danych osobowych do państwa trzeciego/organizacji międzynarodowej może ono nastąpić wyłącznie pod warunkiem, że:
- osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, wyraźnie wyraziła na nie zgodę;
- przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą;
- przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;
- przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;
- przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;
- przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
- przekazanie następuje z rejestru, który zgodnie z prawem UE lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego.
Warto mieć na uwadze, że wspomniana wyżej grupa sytuacji to wyjątki, dopuszczalne w szczególnych sytuacjach.
Przyszłość na razie niepewna
Najbardziej popularne w praktyce rynkowej standardowe klauzule umowne co do zasady są ważne, jednak jak podkreślono w wyroku w tzw. sprawie Schrems II (który odnosił się do decyzji Komisji 2010/87/UE z dnia 5 lutego 2010 w sprawie standardowych klauzul umownych dot. przekazywania danych przez administratorów podmiotom przetwarzającym mającym siedzibę w krajach trzecich), nie wystarcza już samo zawarcie standardowych klauzul umownych z podmiotem z USA, a administrator powierzający dane powinien je dodatkowo przeanalizować.
W praktyce oznacza to, że transfer danych także do innych państw spoza EOG będzie utrudniony, ponieważ standardowe klauzule umowne odnoszą się do większej liczby państw.
Jak dotąd organy nadzorcze państw unijnych, czy też Europejska Rada Ochrony Danych Osobowych, nie wydały jednolitych i jasnych wskazówek dotyczących metod potwierdzania adekwatności ochrony gwarantowanej standardowymi klauzulami umownymi.
W kolejnym artykule postaramy się skupić na konkretnych wskazówkach dalszego postępowania publikowanych przez Europejską Radę Ochrony Danych Osobowych.
AUTOR: Kacper Rączkowiak
