Transfer danych osobowych do krajów trzecich jest jednym z obszarów RODO, który podlega istotnym i intensywnym zmianom. Wielu przedsiębiorców uznaje, że ta problematyka ich nie dotyczy. Czy to uprawnione założenie?
Z artykułu dowiesz się m.in.:
- Czym jest transfer danych osobowych do krajów trzecich?
- Kiedy wolno transferować dane osobowe do krajów trzecich?
- Jakie standardowe klauzule umowne są obowiązkowe po 27 września 2021 roku?
- Czy sam fakt zastosowania nowych klauzul wystarczy do uzyskania legalności transferu?
Czym jest transfer danych osobowych poza EOG? Transfer danych osobowych do krajów trzecich, to pojęcie z obszaru ochrony danych osobowych, które nigdy nie doczekało się kompleksowej definicji. Jest to rodzaj przetwarzania danych osobowych, które skutkuje przekazaniem danych osobowych do państwa nienależącego do Europejskiego Obszaru Gospodarczego. Przekazanie danych osobowych może odbyć się fizycznie, jak i z użyciem środków masowego przekazu, a za transfer możemy uznać np. fakt umieszczenia danych na serwerze zlokalizowanym poza Unią Europejską.
Usługi w chmurze? Zabezpiecz dane, jeśli transferujesz je poza EOG!
Z powyższych informacji wynika, że korzystanie z popularnych usług chmurowych, czy też portali społecznościowych, może powodować transfer danych osobowych poza EOG. Jest to zatem zagadnienie, które dotyczy większości przedsiębiorców.
Rozdział V RODO definiuje zabezpieczenia transferu danych poza EOG. Wato pamiętać, że ów transfer musi podlegać specjalnym zabezpieczeniom. Takim zabezpieczeniem jest m.in.:
- decyzja Komisji Europejskiej potwierdzająca standard ochrony danych w danym państwie,
- wiążące reguły korporacyjne,
- czy też najpopularniejszy środek w postaci standardowych klauzul umownych.
UWAGA! Decyzja Komisji z dnia 15 czerwca 2001 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich, na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, traci moc ze skutkiem od 27 września 2021 roku.
Decyzja Komisji z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady traci moc ze skutkiem od dnia 27 września 2021 roku.
Uznaje się, że umowy zawarte przed dniem 27 września 2021 r. na podstawie decyzji 2001/497/WE lub decyzji 2010/87/UE zapewniają odpowiednie gwarancje w rozumieniu art. 46 ust. 1 rozporządzenia (UE) 2016/679 do dnia 27 grudnia 2022 r., pod warunkiem że operacje przetwarzania stanowiące przedmiot umowy pozostaną niezmienione oraz że stosowanie tych klauzul zapewnia, aby przekazywanie danych osobowych odbywało się z zastrzeżeniem odpowiednich zabezpieczeń.
„Nowe” standardowe klauzule umowne przekazywania danych
Dotychczas stosowane klauzule utrudniały transfer danych osobowych między podmiotem przetwarzającym (procesorem) i dalszym podmiotem przetwarzającym. Jednakże w czerwcu tego roku zaczęła obowiązywać decyzja Komisji Europejskiej 2021/914 w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państwa trzecich. W związku z powyższym „nowe” standardowe klauzule umowne odnoszą się do różnych scenariuszy przekazywania danych, tj. do:
- przekazywania danych między administratorami,
- przekazywania danych przez administratora podmiotowi przetwarzającemu w państwie trzecim
- przekazywania między podmiotami przetwarzającymi
- przekazywania danych przez podmiot przetwarzający administratorowi w państwie trzecim.
Ważny fragment
Ponieważ z dniem 27 września wcześniejsze decyzje Komisji Europejskiej tracą moc, od 27 września 2021 r. decyzje te nie będą stosowane do umów zawieranych po dniu 27 września 2021 r. Jednocześnie umowy zawarte przed 27 września 2021 r. pozostają w mocy pod warunkiem, że operacje przetwarzania stanowiące przedmiot takich umów pozostaną niezmienione oraz że stosowanie dotychczasowych klauzul zapewnia, aby przekazywanie danych osobowych odbywało się z zastrzeżeniem odpowiednich zabezpieczeń, do dnia 27 grudnia 2022 roku.
Zastosowanie „nowych” klauzul to nie wszystko
Zastosowanie „nowych” standardowych klauzul umownych nie wyłącza konieczności oceny planowanego transferu pod kątem zapewnienia zgodności z wyrokiem TSUE w tzw. sprawie Schrems II i ewentualnego wdrożenia środków uzupełniających standardowe klauzule umowne. Zatem stosowanie „nowych klauzul” nie wyklucza konieczności stosowania Zaleceń 1/2020 w sprawie środków uzupełniających narzędzia przekazywania danych w celu zapewnienia zgodności ze stopniem ochrony danych osobowych UE.
Zalecenia 1/2020 to swojego rodzaju lista kontrolna, którą należy zrealizować według wytycznych w przypadku planowanego transferu danych poza EOG. Dokument ten jest dostępny na stronie Europejskiej Rady Ochrony Danych.
Co należy wiedzieć przed dokonaniem transferu danych?
Omawiany w niniejszej publikacji obszar nie jest klarowny ze względu na następstwa tzw. sprawy Schrems II, jak i inne, nowsze stanowiska europejskich organów nadzorczych.
W ostatnim czasie pojawiły się stanowiska takie jak m.in. stanowisko Hamburskiego komisarz ds. ochrony danych i wolności informacji, wydające ostrzeżenie i kwestionujące legalność przetwarzania danych z użyciem popularnej platformy Zoom. Z kolei norweski organ nadzorczy skupił się w ostatnim czasie nad ryzykiem wynikającym z przetwarzania danych osobowych w ramach platformy Facebook. W dalszym ciągu istotne są także kroki irlandzkiego organu nadzorczego w sprawie aplikacji WhatsApp. Jest to kolejny z wątków, który łączy się z omawianą tematyką. Wszystkie poruszane zagadnienia odnoszą się do przekazywania danych osobowych do USA i potencjalnie możliwego dostępu do takich danych przez amerykańskie organy państwowe oraz służby.
Temat transferu danych osobowych poza EOG jest obszarem podlegającym stałym zmianom. Czy obszar ten wiążące się tylko z komplikacjami? Nie, a przykładem tego jest nowa decyzja Komisji Europejskiej w sprawie Wielkiej Brytanii, dzięki której przekazywanie danych osobowych do Zjednoczonego Królestwa po Brexicie, będzie możliwie bez konieczności podejmowania dodatkowych środków ochronnych zabezpieczających transfer, tj. omawianych już wcześniej standardowych klauzul umownych, jak i dodatkowej weryfikacji opisanej w Zaleceniach 1/2020.
AUTOR: Kacper Rączkowiak