Ryzyka w transferze danych osobowych poza Unię Europejską i do USA

Unijne ogólne rozporządzenie o ochronie danych osobowych (RODO) zawiera szczególne regulacje dotyczące transferu danych osobowych poza Europejski Obszar Gospodarczy. Regulacje te nie są łatwe do stosowania.

Publikacja: 01.03.2024 14:53

Ryzyka w transferze danych osobowych poza Unię Europejską i do USA

Foto: Adobe Stock

Szymon Szurgacz, Karolina Drapińska

Zasygnalizowane już wyżej szczególne regulacje RODO dotyczą przekazywania danych osobowych do przetwarzania w tak zwanych państwach trzecich lub organizacjach międzynarodowych. Państwa trzecie to państwa spoza EOG. Chodzi zatem o kraje inne niż państwa członkowskie Unii Europejskiej, Islandia, Norwegia i Liechtenstein. Problem ten dotyczy zatem choćby przekazywania danych do Wielkiej Brytanii, Indii, Chin czy USA. Przyczyną, dla której wprowadzono w RODO szczególne regulacje dotyczące transferów danych poza EOG, jest konieczność zapewnienia jednolitego poziomu ochrony danych osobowych Europejczyków również poza EOG.

Przekazywanie danych do państw trzecich

Właściwe ukształtowanie systemu transferów danych poza EOG powinno zostać poprzedzone swoistą inwentaryzacją procesów przetwarzania danych. Aby działać zgodnie z RODO, przedsiębiorca powinien wiedzieć, czy w jego organizacji dochodzi do takich transferów danych osobowych. Konieczność przekazania danych poza EOG może wynikać choćby z korzystania ze wspólnych systemów w ramach grupy kapitałowej. Będzie tak, gdy członkami tej grupy będą również spółki spoza EOG. Inne przykłady to korzystanie z narzędzi Google, instalacja wtyczek Facebook’a czy korzystanie z usług podwykonawców, których serwery są zlokalizowane w państwach trzecich.

Kiedy transfer danych jest legalny

Transfer danych jest legalny, gdy spełniony jest jeden z trzech warunków określonych przez RODO:

1. przekazywanie na podstawie decyzji Komisji Europejskiej (KE) stwierdzającej odpowiedni poziom ochrony (decyzja o adekwatności),

2. przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń (gdy brak decyzji KE),

3. przekazywanie w szczególnych sytuacjach wskazanych w RODO (gry brak decyzji KE i wspomnianych wyżej zabezpieczeń).

Czytaj więcej:

Biznes

Wykorzystywanie danych osobowych z rejestrów publicznych – ograniczenia

Pro

Decyzje Komisji Europejskiej

Komisja Europejska może stwierdzić, że dane państwo zapewnia odpowiedni stopień ochrony danych osobowych. Do tej pory Komisja Europejska wydała 15 takich decyzji, obejmujących między innymi Szwajcarię, Kanadę, Japonię, Wielką Brytanię i – w 2023 roku – USA.

Odpowiednie zabezpieczenie transferu danych

W braku decyzji o adekwatności, przedsiębiorca musi dokonać udokumentowanej oceny bezpieczeństwa transferu oraz zapewnić inne narzędzie legalizujące ten transfer. RODO przewiduje katalog narzędzi umożliwiających transfer. Najczęściej stosowane są tak zwane standardowe klauzule umowne. Są to wzorce umowne, które należy dostosować do konkretnego przypadku wymiany danych. Innym rozwiązaniem jest wykorzystanie wiążących reguł korporacyjnych. Z tego narzędzia mogą skorzystać grupy kapitałowe. Jest to swego rodzaju regulamin wiążący przystępujące do niego spółki z grupy. Dokument ten wymaga zatwierdzenia przez właściwy organ ochrony danych.

RODO przewiduje także możliwość wykorzystania zatwierdzonych (przez organ nadzorczy) kodeksów postępowania lub mechanizmów certyfikacji. Są to jednak mniej popularne narzędzia. W Polsce zatwierdzono do tej pory jedynie dwa kodeksy postępowania. Oba są kierowane do branży medycznej.

Wyjątki umożliwiające transfer danych

Finalnie możliwe jest oparcie transferu na wyjątkach wskazanych w RODO. Te wyjątki dotyczą między innymi sytuacji, gdy osoba, której dane dotyczą, wyraziła zgodę na przekazanie lub jest ono niezbędne dla wykonania umowy, której ta osoba jest stroną. Niemniej wyjątki te nie powinny być traktowane jako remedium na systemowe rozwiązanie problemu przekazywania danych poza EOG.

Czytaj więcej

Dane osobowe

TikTok zapowiada wzmocnienie ochrony danych do końca 2024 r.

W ramach projektu "Clover" chiński portal społecznościowy TikTok zamierza do końca przyszłego roku przechowywać wszystkie dane użytkowników z Europejskiego Obszaru Gospodarczego oraz Wielkiej Brytanii na terenie Europy.

Zamieszanie wokół transferów danych do USA

Historia transferów danych do USA jest wyjątkowo burzliwa. A to za sprawą aktywisty Maxa Schremsa. Walcząc z naruszeniami prywatności, jakich dopuszcza się w jego ocenie Facebook, podważa on ramy prawne transferów danych do USA. W konsekwencji doprowadził on do stwierdzenia nieważności dwóch decyzji KE o adekwatności (sprawa Schrems I – unieważnienie programu Safe Harbour; sprawa Schrems II – unieważnienie programu Privacy Shield). W lipcu 2023 pojawiła się nowa decyzja Komisji Europejskiej o adekwatności w odniesieniu do USA, ustanawiająca program Data Privacy Framework.

Specyficzne zasady transferów danych do USA na gruncie decyzji KE z 2023 roku

Decyzja o adekwatności wydana dla USA wymaga jednak od administratorów zachowania czujności. Decyzja ta uznaje za bezpieczne transfery danych jedynie do amerykańskich przedsiębiorstw, które uczestniczą w programie Data Privacy Framework. Lista podmiotów biorących udział w tym programie dostępna jest na stronie internetowej prowadzonej przez amerykański Departament Handlu . Na liście znajdują się podmioty takie jak Google, Microsoft czy Meta. Przekazywanie danych do podmiotów spoza listy wymaga skorzystania z innych, opisanych już powyżej narzędzi transferu poza EOG.

Szymon Szurgacz – radca prawny, Of Counsel, Sendero Tax & Legal

Karolina Drapińska – aplikant radcowski, Sendero Tax & Legal

Kancelaria jest zrzeszona w sieci Kancelarie RP działającej pod patronatem dziennika „Rzeczpospolita”.

Unia Europejska (UE) Europa Wielka Brytania Chiny Ameryka Północna Stany Zjednoczone Dane Osobowe RODO

Pozostało 89% artykułu

Konsumenci

Pozew grupowy oszukanych na pompy ciepła. Sąd wydał zabezpieczenie

Sąd Okręgowy w Gdańsku udzielił zabezpieczenia roszczeń w postępowaniu grupowym o ustalenie nieważności umów o kredyt konsumencki na zakup pomp ciepła. Bank wypłacił pieniądze sprzedawcom pomp ciepła, choć urządzenia te nie trafiły do ich klientów.

Materiał Promocyjny

Nowe pełne energii BMW serii 1. Stworzone z myślą o Tobie. Zapytaj o ofertę

Sądy i trybunały

Dr Tomasz Zalasiński: W Trybunale Konstytucyjnym gorzej już nie będzie

Ostatnie osiem lat to najgorszy okres w historii Trybunału Konstytucyjnego, który został doprowadzony na skraj organizacyjnej i etycznej zapaści. Gorzej zapewne nie będzie, bo to byłoby trudne – twierdzi dr Tomasz Zalasiński, konstytucjonalista.

Konsumenci

TSUE wydał ważny wyrok dla frankowiczów. To pokłosie sprawy Getin Banku

TSUE orzekł, że rozpoznanie skarg frankowiczów ma nastąpić w rozsądnym terminie i uwzględniać indywidualne zarzuty.

Nieruchomości

Właściciele starych budynków mogą mieć problem. Wygasają ważne przepisy

Z końcem 2024 r. wygasa obowiązek gmin zapewnienia lokali zamiennych lokatorom mieszkającym w budynkach wymagających rozbiórki lub remontu. Jeżeli nie będzie zmiany przepisów, obowiązek ten spocznie wyłącznie na właścicielach budynków, którzy ani nie mają na to pieniędzy, ani nie dysponują zasobem lokali zamiennych - alarmuje rzecznik praw obywatelskich.

Materiał Promocyjny

Bank Pekao wchodzi w świat gamingu ze swoją planszą w Fortnite

Bank wspiera rozwój pasji, dlatego miał już w swojej ofercie konto gamingowe, atrakcyjne wizerunki kart płatniczych oraz skórek w aplikacji nawiązujących do gier. Teraz, chcąc dotrzeć do młodych, stworzył w ramach trybu kreatywnego swoją mapę symulacyjną w Fortnite, łącząc innowacyjną rozgrywkę z edukacją finansową i udostępniając graczom możliwość stworzenia w wirtualnym świecie własnego banku.

Prawo rodzinne

Przy rozwodzie z żoną trzeba się też rozstać z częścią krów

Mąż przez kilkanaście lat utrzymywał stado krów, które dostał od rodziców. Przy rozwodzie i podziale majątku dorobkowego okazuje się, że stado należy już do wspólnego majątku i trzeba się nim podzielić.

Materiał Promocyjny

Jaecoo J7 w leasingu od 1670 zł/mies.

Nowa Energia

Korolec: Konkurencyjna Europa? Już nie stać nas na czekanie

Technologicznie nie nadążamy za innymi krajami, bo w Europie wcześniej nie nastąpiły odpowiednie inwestycje. Stąd konieczność pożyczenia i wydania dużych pieniędzy, które powinny przełożyć się na obniżkę kosztów produkcji produktów cleantech na naszym kontynencie - uważa Marcin Korolec, były minister środowiska, prezes Fundacji Promocji Pojazdów Elektrycznych oraz Instytutu Zielonej Gospodarki.

Sfinansowanie transformacji energetycznej jest celem wspólnego funduszu UE. Polska podczas prezydenc

Biznes

Prezydencja w UE: Polska ma pomysł na energię

Biznes płaci w zjednoczonej Europie o 80 proc. większe rachunki za energię niż w Ameryce i o 55 proc. większe niż w Chinach. Polska chce w pierwszym półroczu 2025 roku zacząć to zmieniać.

Ukraińscy żołnierze wojsk rakietowych w czasie prowadzenia ostrzału

Świat

Wojna Rosji z Ukrainą. Dzień 1024

24 lutego 2022 roku Rosja rozpoczęła pełnowymiarową inwazję na Ukrainę. USA zdecydowały o przekazaniu Ukrainie kolejnego pakietu pomocy wojskowej, tym razem o wartości 500 mln dolarów.

Świat

Szwajcaria odnowi schrony nuklearne. Już teraz kraj jest wzorem dla innych

Szwajcaria chce zmodernizować swoją sieć starzejących się schronów nuklearnych. Już teraz system przygotowany jest na to, by w przypadku globalnego konfliktu schronieni znalazł w nich każdy mieszkaniec kraju.

Apartamenty

Hiszpania kontroluje właścicieli apartamentów. Podejrzewa oszustwa

Hiszpania sprawdzi, czy duże firmy zarządzające setkami apartamentów turystycznych nie brały udziału w „oszukańczych praktykach” i innych naruszeniach praw w zakresie ochrony konsumentów.

Ceny Energii

Norwegowie mają dość. Chcą odciąć się od wysokich cen prądu w Europie

Norwegowie chcą ograniczyć przesył energii z resztą Europy. Powodem są zbyt wysokie ceny energii w Europie, co przekłada się także na wysokie ceny także w Norwegii. Tak drogo nie było tam od 15 lat.

Wojsko

Rosjanie wystrzelili pociski. Polska poderwała myśliwce

Dowództwo Operacyjne Rodzajów Sił Zbrojnych nad ranem poinformowało o rozpoczęciu operowania wojskowego lotnictwa w naszej przestrzeni powietrznej, w związku z rozpoczęciem przez Rosjan zmasowanego ataku rakietowego na Ukrainę.