Ryzyka w transferze danych osobowych poza Unię Europejską i do USA

Unijne ogólne rozporządzenie o ochronie danych osobowych (RODO) zawiera szczególne regulacje dotyczące transferu danych osobowych poza Europejski Obszar Gospodarczy. Regulacje te nie są łatwe do stosowania.

Publikacja: 01.03.2024 14:53

Ryzyka w transferze danych osobowych poza Unię Europejską i do USA

Foto: Adobe Stock

Zasygnalizowane już wyżej szczególne regulacje RODO dotyczą przekazywania danych osobowych do przetwarzania w tak zwanych państwach trzecich lub organizacjach międzynarodowych. Państwa trzecie to państwa spoza EOG. Chodzi zatem o kraje inne niż państwa członkowskie Unii Europejskiej, Islandia, Norwegia i Liechtenstein. Problem ten dotyczy zatem choćby przekazywania danych do Wielkiej Brytanii, Indii, Chin czy USA. Przyczyną, dla której wprowadzono w RODO szczególne regulacje dotyczące transferów danych poza EOG, jest konieczność zapewnienia jednolitego poziomu ochrony danych osobowych Europejczyków również poza EOG.

Przekazywanie danych do państw trzecich

Właściwe ukształtowanie systemu transferów danych poza EOG powinno zostać poprzedzone swoistą inwentaryzacją procesów przetwarzania danych. Aby działać zgodnie z RODO, przedsiębiorca powinien wiedzieć, czy w jego organizacji dochodzi do takich transferów danych osobowych. Konieczność przekazania danych poza EOG może wynikać choćby z korzystania ze wspólnych systemów w ramach grupy kapitałowej. Będzie tak, gdy członkami tej grupy będą również spółki spoza EOG. Inne przykłady to korzystanie z narzędzi Google, instalacja wtyczek Facebook’a czy korzystanie z usług podwykonawców, których serwery są zlokalizowane w państwach trzecich.

Kiedy transfer danych jest legalny

Transfer danych jest legalny, gdy spełniony jest jeden z trzech warunków określonych przez RODO:

1. przekazywanie na podstawie decyzji Komisji Europejskiej (KE) stwierdzającej odpowiedni poziom ochrony (decyzja o adekwatności),

2. przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń (gdy brak decyzji KE),

3. przekazywanie w szczególnych sytuacjach wskazanych w RODO (gry brak decyzji KE i wspomnianych wyżej zabezpieczeń).

Czytaj więcej

Wykorzystywanie danych osobowych z rejestrów publicznych – ograniczenia

Decyzje Komisji Europejskiej

Komisja Europejska może stwierdzić, że dane państwo zapewnia odpowiedni stopień ochrony danych osobowych. Do tej pory Komisja Europejska wydała 15 takich decyzji, obejmujących między innymi Szwajcarię, Kanadę, Japonię, Wielką Brytanię i – w 2023 roku – USA.

Odpowiednie zabezpieczenie transferu danych

W braku decyzji o adekwatności, przedsiębiorca musi dokonać udokumentowanej oceny bezpieczeństwa transferu oraz zapewnić inne narzędzie legalizujące ten transfer. RODO przewiduje katalog narzędzi umożliwiających transfer. Najczęściej stosowane są tak zwane standardowe klauzule umowne. Są to wzorce umowne, które należy dostosować do konkretnego przypadku wymiany danych. Innym rozwiązaniem jest wykorzystanie wiążących reguł korporacyjnych. Z tego narzędzia mogą skorzystać grupy kapitałowe. Jest to swego rodzaju regulamin wiążący przystępujące do niego spółki z grupy. Dokument ten wymaga zatwierdzenia przez właściwy organ ochrony danych.

RODO przewiduje także możliwość wykorzystania zatwierdzonych (przez organ nadzorczy) kodeksów postępowania lub mechanizmów certyfikacji. Są to jednak mniej popularne narzędzia. W Polsce zatwierdzono do tej pory jedynie dwa kodeksy postępowania. Oba są kierowane do branży medycznej.

Wyjątki umożliwiające transfer danych

Finalnie możliwe jest oparcie transferu na wyjątkach wskazanych w RODO. Te wyjątki dotyczą między innymi sytuacji, gdy osoba, której dane dotyczą, wyraziła zgodę na przekazanie lub jest ono niezbędne dla wykonania umowy, której ta osoba jest stroną. Niemniej wyjątki te nie powinny być traktowane jako remedium na systemowe rozwiązanie problemu przekazywania danych poza EOG.

Czytaj więcej

TikTok zapowiada wzmocnienie ochrony danych do końca 2024 r.

Zamieszanie wokół transferów danych do USA

Historia transferów danych do USA jest wyjątkowo burzliwa. A to za sprawą aktywisty Maxa Schremsa. Walcząc z naruszeniami prywatności, jakich dopuszcza się w jego ocenie Facebook, podważa on ramy prawne transferów danych do USA. W konsekwencji doprowadził on do stwierdzenia nieważności dwóch decyzji KE o adekwatności (sprawa Schrems I – unieważnienie programu Safe Harbour; sprawa Schrems II – unieważnienie programu Privacy Shield). W lipcu 2023 pojawiła się nowa decyzja Komisji Europejskiej o adekwatności w odniesieniu do USA, ustanawiająca program Data Privacy Framework.

Specyficzne zasady transferów danych do USA na gruncie decyzji KE z 2023 roku

Decyzja o adekwatności wydana dla USA wymaga jednak od administratorów zachowania czujności. Decyzja ta uznaje za bezpieczne transfery danych jedynie do amerykańskich przedsiębiorstw, które uczestniczą w programie Data Privacy Framework. Lista podmiotów biorących udział w tym programie dostępna jest na stronie internetowej prowadzonej przez amerykański Departament Handlu . Na liście znajdują się podmioty takie jak Google, Microsoft czy Meta. Przekazywanie danych do podmiotów spoza listy wymaga skorzystania z innych, opisanych już powyżej narzędzi transferu poza EOG.

Szymon Szurgacz – radca prawny, Of Counsel, Sendero Tax & Legal

Karolina Drapińska – aplikant radcowski, Sendero Tax & Legal

Kancelaria jest zrzeszona w sieci Kancelarie RP działającej pod patronatem dziennika „Rzeczpospolita”.

Zasygnalizowane już wyżej szczególne regulacje RODO dotyczą przekazywania danych osobowych do przetwarzania w tak zwanych państwach trzecich lub organizacjach międzynarodowych. Państwa trzecie to państwa spoza EOG. Chodzi zatem o kraje inne niż państwa członkowskie Unii Europejskiej, Islandia, Norwegia i Liechtenstein. Problem ten dotyczy zatem choćby przekazywania danych do Wielkiej Brytanii, Indii, Chin czy USA. Przyczyną, dla której wprowadzono w RODO szczególne regulacje dotyczące transferów danych poza EOG, jest konieczność zapewnienia jednolitego poziomu ochrony danych osobowych Europejczyków również poza EOG.

Pozostało 89% artykułu
Sądy i trybunały
Łukasz Piebiak wraca do sądu. Afera hejterska nadal nierozliczona
Zawody prawnicze
Korneluk uchyla polecenie Święczkowskiego ws. owoców zatrutego drzewa
Konsumenci
UOKiK ukarał dwie znane polskie firmy odzieżowe. "Wełna jedynie na etykiecie"
Zdrowie
Mec. Daniłowicz: Zły stan zdrowia myśliwych nie jest przyczyną wypadków na polowaniach
Materiał Promocyjny
Jak kupić oszczędnościowe obligacje skarbowe? Sposobów jest kilka
Sądy i trybunały
Rośnie lawina skarg kasacyjnych do Naczelnego Sądu Administracyjnego