Jak bezpiecznie przekazywać dane osobowe poza Unię Europejską?

Wielu administratorów optymalizuje środki i decyduje się na korzystanie z serwerów poza granicami Polski, a często także poza terytorium UE. Niekiedy konieczność przekazania danych osobowych wynika również z międzynarodowej struktury powiązanych ze sobą przedsiębiorstw. Administrator nie tylko musi poinformować osoby, których dane dotyczą o takim transgranicznym transferze, ale także powinien zadbać o szczególne ich bezpieczeństwo.

Jak bezpiecznie przekazywać dane osobowe poza Unię Europejską?

Anna Stępniewska

19 grudnia 2018

Wielu administratorów optymalizuje środki i decyduje się na korzystanie z serwerów poza granicami Polski, a często także poza terytorium UE. Niekiedy konieczność przekazania danych osobowych wynika również z międzynarodowej struktury powiązanych ze sobą przedsiębiorstw. Administrator nie tylko musi poinformować osoby, których dane dotyczą o takim transgranicznym transferze, ale także powinien zadbać o szczególne ich bezpieczeństwo.

W zależności od tego, czy wobec państwa, do którego mają trafić dane zapadła decyzja Komisji Europejskiej stwierdzająca odpowiedni poziom ochrony danych osobowych, będzie zależała ilość formalności związanych z przekazaniem danych, np. powierzeniem zagranicznemu hostingodawcy.

Transfer danych osobowych do państwa trzeciego, czyli poza Europejski Obszar Gospodarczy oraz do organizacji międzynarodowej możliwy jest w przypadku, kiedy nie będzie naruszał stopnia ochrony osób fizycznych zagwarantowanego w RODO oraz kiedy zostanie potwierdzony odpowiedni poziom zabezpieczeń danych osobowych w podmiocie, do którego dane mają trafić. Nasi czytelnicy znajdą omówienie postępowania w przypadku, gdy Komisja Europejska stwierdziła odpowiedni poziom ochrony w przypadku państwa trzeciego w poprzednich artykułach. W tym artykule odpowiemy na pytanie, jakie inne mechanizmy pozwalają na zgodny z prawem transfer danych do państwa, co do którego nie wydano takiej decyzji.

Przekazywanie danych z zastrzeżeniem odpowiednich zabezpieczeń

Zgodnie z art. 46 ust. 1 RODO w razie braku decyzji Komisji Europejskiej stwierdzającej odpowiedni poziom ochrony danych osobowych w państwie trzecim (spoza Europejskiego Obszaru Gospodarczego) lub organizacji międzynarodowej możliwe jest przekazanie danych osobowych, jeżeli:

  • państwa te lub organizacje zapewniają odpowiednie zabezpieczenia danych,
  • w państwach tych lub organizacjach obowiązują egzekwowalne prawa osób, których dane dotyczą i skuteczne środki ochrony prawnej.

W RODO wskazane zostały instrumenty, których zastosowanie formalnie potwierdzi odpowiedni stopień zabezpieczenia danych (art. 46 ust. 2). Ich wykorzystanie przez administratora lub podmiot przetwarzający w stosunkach z podmiotem w państwie trzecim lub organizacją międzynarodową nie wymaga dodatkowego zezwolenia ze strony organu nadzorczego na dokonanie transferu danych. W Polsce więc nie będzie wymagane dodatkowe zezwolenie od Prezesa Urzędu Ochrony Danych Osobowych.

Podsumowując, w  przypadku państw i organizacji, co do których nie zapadła ww. decyzja Komisji możliwe jest indywidualne zapewnienie poziomu bezpieczeństwa. Służą temu:

  • prawnie wiążące i egzekwowalne instrumenty między organami lub podmiotami publicznymi (będą miały zastosowanie do podmiotów publicznych),
  • wiążące reguły korporacyjne, zatwierdzone zgodnie z art. 47 RODO,
  • standardowe klauzule ochrony danych (standardowe klauzule umowne),
  • kodeksy postępowania, zatwierdzone zgodnie z art. 40 RODO,
  • mechanizmy certyfikacji, zatwierdzone zgodnie z art. 42 RODO.

Wiążące reguły korporacyjne

Ten  instrument przewidziany jest w głównej mierze dla dużych podmiotów i korporacji międzynarodowych. Wiążące reguły korporacyjne to polityki ochrony danych stosowane przez administratora lub podmiot przetwarzający posiadający jednostkę organizacyjną na terytorium państwa członkowskiego przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi lub podmiotowi przetwarzającemu mającemu siedzibę w co najmniej jednym państwie trzecim (w ramach grupy przedsiębiorstw lub grupy przedsiębiorców, prowadzących wspólną działalność gospodarczą).

Nową regulacją jest dopuszczenie do transferu danych do państw trzecich również podmioty przetwarzające. W tym przypadku dla zgodnego z przepisami prawa transferu danych do państwa trzeciego niezbędne będzie  także — oprócz zastosowania wiążącej reguły korporacyjnej — zawarcie umowy powierzenia.

Wiążące reguły korporacyjne wykorzystywane są wewnątrz korporacji międzynarodowej, a wewnętrzna polityka ochrony danych ma na celu zapewnienie tego samego standardu ochrony danych osobowych bez względu na to, gdzie spółka z grupy kapitałowej ma siedzibę.

RODO określa elementy takich wiążących reguł korporacyjnych oraz mechanizm ich zatwierdzania. Zatwierdza je organ nadzorczy, do którego trafił wniosek, po konsultacji z Europejską Radą Ochrony Danych Osobowych. Po zatwierdzeniu reguła korporacyjna obowiązuje w całej UE.

Standardowe klauzule ochrony danych (standardowe klauzule umowne)

Standardowe klauzule ochrony danych osobowych obejmują klauzule:

  • przyjęte przez Komisję Europejską oraz
  • przyjęte przez organ nadzorczy i zatwierdzone  przez Komisję Europejską.

W obu przypadkach przyjęcie lub zatwierdzenie klauzul przez Komisję odbywa się zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2 RODO. Przepis ten zaś odsyła do art. 5 rozporządzania UE 182/2011 ustanawiającego przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję. W przytoczonym przepisie określona zastała procedura sprawdzająca dokonywana przez Komisję Europejską.

Standardowe klauzule umowne były przyjmowane i zatwierdzane w decyzjach przez Komisję Europejską, jeszcze na gruncie obowiązującej przed RODO dyrektywy 95/46/WE. Są one dostępne we wszystkich językach urzędowych państw członkowskich Unii Europejskiej, co zapewnia ich jednolite stosowanie (korzystanie z tłumaczeń dokonywanych na własną rękę nie jest w tym wypadku zalecane z uwagi na specjalistyczny zakres regulowanej w tych klauzulach materii). Nie powinny być modyfikowane, gdyby zostały istotnie zmienione stałyby się klauzulami ad hoc, wymagającymi zatwierdzenia przez organ ochrony danych.

Zatwierdzone kodeksy postępowania oraz mechanizmy certyfikacji

Zatwierdzone kodeksy postępowania oraz mechanizmy certyfikacji, tworzone w warunkach określonych przepisami RODO mogą być środkami zapewniającymi odpowiednie zabezpieczenie danych w razie transferu danych do państwa trzeciego lub organizacji narodowej. Wymogiem jest tu jednak obudowanie zarówno kodeksów, jak i mechanizmów certyfikacji zobowiązaniami odbiorców danych w państwach trzecich (lub zobowiązaniami organizacji międzynarodowych) do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą. Zobowiązania te muszą być wobec administratorów, podmiotów przetwarzających i pozostałych odbiorców w państwach trzecich i organizacjach międzynarodowych:

  • prawnie wiążące,
  • możliwe do wyegzekwowania.

Ponieważ zatwierdzone kodeksy postępowania oraz mechanizmy certyfikacji są nowymi instrumentami, wprowadzonymi do stosowania dopiero wraz z rozpoczęciem obowiązywania RODO, instrumenty te jeszcze nie funkcjonują. W praktyce jednak, o ile projektowane kodeksy postępowania czy mechanizmy certyfikacji będą zakładały wymogi wobec transferu danych do państw trzecich lub organizacji międzynarodowych, po ich zatwierdzeniu przez organ nadzorczy (Prezesa Urzędu Ochrony Danych Osobowych), zapewnienie ich stosowania będzie umożliwiało transfer do odbiorców, którzy złożyli takie zapewnienie.

Zabezpieczenia wymagające zezwolenia organu nadzorczego

Zgodnie z art. 46 ust. 3 RODO, niezależnie od wyżej wskazanych zatwierdzonych niejako z góry środków zapewniających odpowiednie zabezpieczenie danych, ponieważ niewymagających już dodatkowego zezwolenia możliwe jest ubieganie się o uzyskanie zezwolenia właściwego organu nadzorczego dla zabezpieczeń zapewnionych za pomocą indywidualnie tworzonych:

  • klauzul umownych między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej; lub
  • postanowień uzgodnień administracyjnych między organami lub podmiotami publicznymi, w których przewidziane będą egzekwowalne i skuteczne prawa osób, których dane dotyczą.

Oznacza to, że jeżeli strony umowy związanej z transferem danych osobowych nie mogą skorzystać z utrwalonych, opisanych wyżej instrumentów, powinny zawrzeć indywidualnie wypracowaną umowę i zwrócić się o jej zatwierdzenie przez Prezesa Urzędu Ochrony Danych Osobowych.

Ważność zezwoleń wydawanych przed rozpoczęciem obowiązywania RODO

Uchylona na mocy RODO, dotychczas obowiązująca w zakresie ochrony danych osobowych dyrektywa 95/46/WE również odnosiła się do kwestii przekazywania danych do państw trzecich. Zgodnie z art. 46 ust. 5 RODO, zezwolenia wydane przez państwa członkowskie lub krajowe organy nadzorcze, a także decyzje przyjęte przez Komisje Europejską związane z potwierdzeniem zapewnienia odpowiednich zabezpieczeń danych zachowują ważność – do czasu ich zmiany, zastąpienia lub uchylenia w razie zajścia takiej potrzeby.

Podsumowanie

Istnieje szereg możliwości w zakresie transferowania danych do państw trzecich oraz organizacji międzynarodowych bez konieczności uzyskiwania zezwolenia organu nadzorczego. Natomiast w razie gdyby przewidywania nie mieściły się w żadnych z zatwierdzonych środków, RODO dopuszcza możliwość indywidualnego ubiegania się o zezwolenie na określone klauzule umowne zapewniające odpowiednie zabezpieczenie danych. Częściowo, dzięki obowiązującej ponad 20 lat dyrektywie, w zakresie przekazywania danych osobowych do państw spoza Europejskiego Obszaru Gospodarczego utrwaliła się już praktyka oraz funkcjonują zezwolenia wydane na podstawie dotychczas obowiązujących przepisów, które nadal zachowują ważność.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2020
Blog prawny dla firm
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!