fbpx

Treść artykułu

Transfer danych osobowych do krajów trzecich jest jednym z obszarów RODO, który podlega istotnym i intensywnym zmianom. Wielu przedsiębiorców uznaje, że ta problematyka ich nie dotyczy. Czy to uprawnione założenie?

Czym jest transfer danych osobowych poza EOG? Transfer danych osobowych do krajów trzecich, to pojęcie z obszaru ochrony danych osobowych, które nigdy nie doczekało się kompleksowej definicji. Jest to rodzaj przetwarzania danych osobowych, które skutkuje przekazaniem danych osobowych do państwa nienależącego do Europejskiego Obszaru Gospodarczego. Przekazanie danych osobowych może odbyć się fizycznie, jak i z użyciem środków masowego przekazu, a za transfer możemy uznać np. fakt umieszczenia danych na serwerze zlokalizowanym poza Unią Europejską.

Usługi w chmurze? Zabezpiecz dane, jeśli transferujesz je poza EOG!

Z powyższych informacji wynika, że korzystanie z popularnych usług chmurowych, czy też portali społecznościowych, może powodować transfer danych osobowych poza EOG. Jest to zatem zagadnienie, które dotyczy większości przedsiębiorców.

Rozdział V RODO definiuje zabezpieczenia transferu danych poza EOG. Wato pamiętać, że ów transfer musi podlegać specjalnym zabezpieczeniom. Takim zabezpieczeniem jest m.in.:

  • decyzja Komisji Europejskiej potwierdzająca standard ochrony danych w danym państwie,
  • wiążące reguły korporacyjne,
  • czy też najpopularniejszy środek w postaci standardowych klauzul umownych.

UWAGA! Decyzja Komisji z dnia 15 czerwca 2001 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich, na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, traci moc ze skutkiem od 27 września 2021 roku.

Decyzja Komisji z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady traci moc ze skutkiem od dnia 27 września 2021 roku.

Uznaje się, że umowy zawarte przed dniem 27 września 2021 r. na podstawie decyzji 2001/497/WE lub decyzji 2010/87/UE zapewniają odpowiednie gwarancje w rozumieniu art. 46 ust. 1 rozporządzenia (UE) 2016/679 do dnia 27 grudnia 2022 r., pod warunkiem że operacje przetwarzania stanowiące przedmiot umowy pozostaną niezmienione oraz że stosowanie tych klauzul zapewnia, aby przekazywanie danych osobowych odbywało się z zastrzeżeniem odpowiednich zabezpieczeń.

Sprawdź Ochrona danych osobowych (RODO) Grant Thornton

„Nowe” standardowe klauzule umowne przekazywania danych

Dotychczas stosowane klauzule utrudniały transfer danych osobowych między podmiotem przetwarzającym (procesorem) i dalszym podmiotem przetwarzającym. Jednakże w czerwcu tego roku zaczęła obowiązywać decyzja Komisji Europejskiej 2021/914 w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państwa trzecich. W związku z powyższym „nowe” standardowe klauzule umowne odnoszą się do różnych scenariuszy przekazywania danych, tj. do:

  • przekazywania danych między administratorami,
  • przekazywania danych przez administratora podmiotowi przetwarzającemu w państwie trzecim
  • przekazywania między podmiotami przetwarzającymi
  • przekazywania danych przez podmiot przetwarzający administratorowi w państwie trzecim.

Ważny fragment

Ponieważ z dniem 27 września wcześniejsze decyzje Komisji Europejskiej tracą moc, od 27 września 2021 r. decyzje te nie będą stosowane do umów zawieranych po dniu 27 września 2021 r. Jednocześnie umowy zawarte przed 27 września 2021 r. pozostają w mocy pod warunkiem, że operacje przetwarzania stanowiące przedmiot takich umów pozostaną niezmienione oraz że stosowanie dotychczasowych klauzul zapewnia, aby przekazywanie danych osobowych odbywało się z zastrzeżeniem odpowiednich zabezpieczeń, do dnia 27 grudnia 2022 roku.

Zastosowanie „nowych” klauzul to nie wszystko

Zastosowanie „nowych” standardowych klauzul umownych nie wyłącza konieczności oceny planowanego transferu pod kątem zapewnienia zgodności z wyrokiem TSUE w tzw. sprawie Schrems II i ewentualnego wdrożenia środków uzupełniających standardowe klauzule umowne. Zatem stosowanie „nowych klauzul” nie wyklucza konieczności stosowania Zaleceń 1/2020 w sprawie środków uzupełniających narzędzia przekazywania danych w celu zapewnienia zgodności ze stopniem ochrony danych osobowych UE.

Zalecenia 1/2020 to swojego rodzaju lista kontrolna, którą należy zrealizować według wytycznych w przypadku planowanego transferu danych poza EOG. Dokument ten jest dostępny na stronie Europejskiej Rady Ochrony Danych.

Sprawdź Ochrona danych osobowych (RODO) Grant Thornton

Co należy wiedzieć przed dokonaniem transferu danych?

Omawiany w niniejszej publikacji obszar nie jest klarowny ze względu na następstwa tzw. sprawy Schrems II, jak i inne, nowsze stanowiska europejskich organów nadzorczych.

W ostatnim czasie pojawiły się stanowiska takie jak m.in. stanowisko Hamburskiego komisarz ds. ochrony danych i wolności informacji, wydające ostrzeżenie i kwestionujące legalność przetwarzania danych z użyciem popularnej platformy Zoom. Z kolei norweski organ nadzorczy skupił się w ostatnim czasie nad ryzykiem wynikającym z przetwarzania danych osobowych w ramach platformy Facebook. W dalszym ciągu istotne są także kroki irlandzkiego organu nadzorczego w sprawie aplikacji WhatsApp. Jest to kolejny z wątków, który łączy się z omawianą tematyką. Wszystkie poruszane zagadnienia odnoszą się do przekazywania danych osobowych do USA i potencjalnie możliwego dostępu do takich danych przez amerykańskie organy państwowe oraz służby.

Temat transferu danych osobowych poza EOG jest obszarem podlegającym stałym zmianom. Czy obszar ten wiążące się tylko z komplikacjami? Nie, a przykładem tego jest nowa decyzja Komisji Europejskiej w sprawie Wielkiej Brytanii, dzięki której przekazywanie danych osobowych do Zjednoczonego Królestwa po Brexicie, będzie możliwie bez konieczności podejmowania dodatkowych środków ochronnych zabezpieczających transfer, tj. omawianych już wcześniej standardowych klauzul umownych, jak i dodatkowej weryfikacji opisanej w Zaleceniach 1/2020.

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.

Inne artykuły z kategorii: Ochrona danych osobowych (RODO) Zobacz wszystkie

Usługi Grant Thornton z obszaru: Ochrona danych osobowych (RODO)

Skorzystaj z wiedzy naszych ekspertów

Najczęściej czytane