Czy przekazywanie danych osobowych za granicę jest bezpieczne?

• Rafał Stępniewski
• /
• 4 listopada 2018

RODO ujednoliciło standardy w zakresie przepisów o ochronie danych osobowych w całej Unii Europejskiej. Ważnym postulatem prawodawcy unijnego jest zasada swobodnego transferu danych osobowych pomiędzy państwami członkowskimi UE. Ma ona sprzyjać współpracy gospodarczej w ramach Unii. Oznacza to, że przekazywanie danych na terytorium Europejskiego Obszaru Gospodarczego (dalej EOG) jest bezpieczne. Jednak pozostała kwestia tego, co z ochroną danych osobowych w przypadku ich transferu poza EOG.

RODO objęło regulacją warunki dopuszczalności przekazywania danych osobowych w przypadku, gdy mają one trafić od administratorów znajdujących się na obszarze Unii Europejskiej do odbiorców mających siedzibę poza EOG oraz do organizacji międzynarodowych. Podmioty z państw trzecich zapewniające odpowiedni poziom bezpieczeństwa, który zostanie potwierdzony, mogą być administratorami lub podmiotami przetwarzającymi dane osobowe obywateli UE.

Co to znaczy, że moje dane zostaną przekazane do państwa trzeciego?

Administrator ma obowiązek poinformować osobę o zamiarze przekazania danych do państwa trzeciego lub organizacji międzynarodowej (art. 13 ust. 1 lit. f RODO).

Wypełniając wszelkie formularze osobowe często nie zagłębiamy się w obszerne klauzule informacyjne. Pewne elementy obowiązku informacyjnego są standardowe i niezmienne, dlatego je pomijamy. Przykładem takich zapisów są prawa osoby w zakresie ochrony danych osobowych czy prawo skargi do organu nadzorczego.

Zawsze powinniśmy zwracać uwagę na to, kto ma być odbiorcą naszych danych osobowych i czy nasze dane nie trafią poza obszar obowiązywania RODO. Jeżeli administrator w klauzuli informacyjnej wskazuje, że będzie przekazywał dane do państwa trzeciego, zwróćmy uwagę na taki zapis. Mamy prawo wiedzieć, do jakiego państwa trafią nasze dane i czy podmiot, który ma je przetwarzać zapewnia odpowiedni poziom zabezpieczeń. Takie prawo gwarantuje nam RODO.

Jeśli administrator informuje, że nasze dane będą przekazane do państwa trzeciego oznacza to, że trafią poza obszar obowiązywania unijnego prawa o ochronie danych osobowych. Jeżeli podmiot w państwie trzecim, do którego mają być przekazane nasze dane osobowe nie zapewnia odpowiedniego poziomu zabezpieczeń, jesteśmy o krok od utraty kontroli nad naszymi danymi. Jeżeli dane trafią do podmiotu z siedzibą w państwie, w którym nie funkcjonują przepisy o ochronie danych osobowych, może dojść do ich przetwarzania w sposób dowolny, nieograniczony przepisami unijnymi.

Nie oznacza to, że każde przekazanie danych osobowych poza strefę RODO jest niebezpieczne. Prawodawca unijny przewidział szereg mechanizmów pozwalających podmiotom w państwach trzecich na wykazanie, że stosują ochronę danych osobowych na poziomie dorównującym podmiotom w państwach członkowskich UE. O tym, czy dane w państwie trzecim lub organizacji międzynarodowej będą bezpieczne powinien poinformować nas administrator (art. 13 ust. 1 lit.f RODO). Administrator ma obowiązek podania informacji o stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony w stosunku do podmiotu, do którego mają trafić dane. W przypadku braku takiej decyzji Komisji, administrator powinien poinformować o odpowiednich zabezpieczeniach stosowanych przez ten podmiot lub o tym, że zachodzi wyjątek uprawniający do transferu danych do państwa trzeciego (art. 46, art. 47 lub 49 ust. 1 RODO).

Wymogi dla transgranicznego przekazywania danych osobowych

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

1. Ogólną zasadą jest przekazywanie danych do podmiotów w państwach trzecich oraz organizacji międzynarodowych, co do których potwierdzony został odpowiedni stopień zabezpieczenia danych osobowych. Takiemu potwierdzeniu odpowiedniego poziomu bezpieczeństwa mogą służyć (art. 46 ust. 2 RODO):
2. Decyzje stwierdzające odpowiedni stopień ochrony danych osobowych w państwie trzecim, wydawane przez Komisję Europejską.
3. Standardowe klauzule umowne – zatwierdzane przez Komisję Europejską, których treść udostępniana jest do stosowania przez administratorów¹.
4. Wiążące reguły korporacyjne – czyli polityki ochrony danych stosowane w międzynarodowych korporacjach.
5. Kodeksy postępowania – zatwierdzane przez krajowe organy nadzorcze, a w określonych przypadkach opiniowane także przez Europejską Radę Ochrony Danych (takie środki w Polsce są dopiero na etapie tworzenia).
6. Mechanizmy certyfikacji – zatwierdzane przez Europejską Radę Ochrony Danych (takie środki w Polsce są dopiero na etapie tworzenia).

Kiedy można przekazać dane do państwa trzeciego?

RODO reguluje również szereg wyjątków, w których administrator jednorazowo lub wielokrotnie może przekazać dane do podmiotu w państwie trzecim nie zabiegając o potwierdzenie przez niego odpowiedniego poziomu zabezpieczenia (art. 49 ust. 1 RODO). Będą to sytuacje, w których:

1. Osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którym może się dla niej wiązać proponowane przekazanie, wyraziła na nie zgodę, np. chce korzystać z usługi chmury udostępnianej przez firmę w państwie trzecim, do co której nie został potwierdzony odpowiedni poziom zabezpieczeń.
2. Przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą a administratorem, np. w zakresie transportu towarów z Azji.
3. Przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną, np. przez biuro podróży organizujące wycieczkę do Afryki.
4. Przekazanie jest niezbędne ze względu na ważne względy interesu publicznego, np. w razie wykrycia egzotycznej choroby zakaźnej u obywatela państwa trzeciego w celach epidemiologicznych.
5. Przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń, np. w razie sporu sądowego w państwie trzecim.
6. Przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody, np. kiedy chodzi o przekazanie dziecka, które trafiło w sposób nielegalny na obszar UE do odpowiedniej placówki w państwie pochodzenia, które jest państwem trzecim.
7. Przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli, np. rejestr osób skazanych za przestępstwa przeciwko małoletnim.

Państwo trzecie i organizacja międzynarodowa w rozumieniu RODO

W przepisach RODO pojawia się pojęcie państwa trzeciego. Należy je rozumieć jako państwo spoza Europejskiego Obszaru Gospodarczego. W skład EOG wchodzi 28 państw członkowskich UE oraz Islandia, Liechtenstein i Norwegia. Cały obszar EOG jest traktowany jako bezpieczny. Nie ma odrębnych regulacji w zakresie przekazywania danych osobowych pomiędzy państwami należącymi do EOG. Oznacza to, że przekazywanie danych pomiędzy podmiotami znajdujących się w państwach należących do EOG odbywa się na takich samych zasadach jak na terenie Polski. Zastosowanie do przekazywania mają więc zasady określone w RODO. Najważniejsze, aby zaistniała prawna podstawa przekazania danych. Przykładem takiej podstawy będą: przepis prawa, wykonanie umowy lub przekazywanie danych pomiędzy administratorem a podmiotem przetwarzającym na podstawie umowy powierzenia przetwarzania danych.

Wszystkie państwa spoza EOG traktowane są jako państwa trzecie. Wyjątkiem jest Szwajcaria, która mimo przynależności do strefy Schengen jest państwem trzecim.

A co z Wielką Brytanią, która w związku z Brexitem ma wystąpić z Unii Europejskiej? Na razie nie wiemy, czy dojdzie do porozumienia w zakresie tzw. okresu przejściowego. Wciąż trwają negocjacje pomiędzy Unią Europejską a Wielką Brytanią. Jeżeli nie dojdzie do porozumienia, to już od kwietnia 2019 roku Wielką Brytanię będziemy musieli traktować jako państwo trzecie.

Warto wspomnieć, że odrębna regulacja w zakresie transferu danych do państw trzecich, wprowadzająca dodatkowe wymogi funkcjonowała w Polsce już od 2015 roku na gruncie ustawy o ochronie danych osobowych. Wprowadzając taką nowelizację do krajowych przepisów, polski ustawodawca próbował przygotować administratorów na unijną reformę ochrony danych osobowych.

W odniesieniu do polskiej ustawy obowiązującej do 25 maja 2018 roku, RODO dodaje do katalogu odbiorców podlegających szczególnym warunkom również organizacje międzynarodowe (rozumiane jako organizacje i organy im podlegające działające na podstawie prawa międzynarodowego lub inne organy powołane przez co najmniej dwa państwa, a więc organizacje międzyrządowe). Kierując się definicją, należy uznać, że stowarzyszenie w państwie spoza EOG nie będzie organizacją międzynarodową, a jedynie podmiotem w państwie trzecim.

Modele przekazania danych do państwa trzeciego

Przekazanie danych jest ich przetwarzaniem. Do przekazania może dojść poprzez fizyczne przekazanie danych (na nośnikach). Częściej dochodzi do przekazania poprzez przesłanie danych do odbiorcy w innym państwie za pomocą systemu informatycznego.

Przykłady:

Przekazaniem danych do państwa trzeciego będzie udostępnienie podmiotowi z siedzibą poza EOG (np. spółce należącej do tej samej grupy kapitałowej) dostępu do bazy danych z Polski. Wynika to z faktu, że podmiot, którego miejsce działalności znajduje się w obszarze, dla którego RODO przewiduje dodatkowe wymogi w zakresie odpowiedniego poziomu zabezpieczenia danych, będzie miał dostęp do danych w celu ich dalszego przetwarzania.

Przekazaniem danych do państwa trzeciego nie będzie sytuacja, w której pracownik zostaje oddelegowany przez pracodawcę do państwa trzeciego, np. w celu udziału w międzynarodowej konferencji. W tym czasie pracownik komunikuje się ze swoim polskim biurem za pomocą służbowego laptopa. Nie dochodzi tu do przekazania danych podmiotowi spoza EOG, o ile laptop pozostaje odpowiednio zabezpieczony, np. jest chroniony przed dostępem osób nieuprawnionych w wyniku połączenia się z publiczną siecią Wi-Fi oraz o ile celem wyjazdu pracownika nie będzie udostępnienie organizatorowi konferencji posiadanych na sprzęcie służbowym danych osobowych.

RODO w przypadku przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej wskazuje na model składający się z dwóch elementów:

1. Każda operacja – niezależnie od tego, czy będzie obejmowała przekazanie danych do odrębnego administratora danych czy też będzie odbywała się w warunkach umowy powierzenia – powinna odpowiadać ogólnym zasadom przetwarzania danych, określonym w RODO. Dane powinny być w odpowiedni sposób zabezpieczone oraz powinna zostać spełniona przesłanka legalności tak, jakby te operacje miały miejsce na terenie Polski (art. 44 RODO).
2. Każdą taką operację przekazania danych do państwa trzeciego lub organizacji międzynarodowej należy skonfrontować z wymogami z rozdziału V RODO, a więc przewidzieć, czy zachodzi wyjątek do przekazania danych zgodnie z art. 49 ust. 1 RODO. Jeżeli nie, administrator powinien zastosować jeden z mechanizmów opisanych wyżej, a wskazanych w art. 46 ust. 2 i 3.

---

¹ https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=celex%3A32010D0087

Źródło: https://www.youtube.com/watch?v=fdCJUdzCHDU

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.