Unijne ogólne rozporządzenie o ochronie danych osobowych (RODO) zawiera szczególne regulacje dotyczące transferu danych osobowych poza Europejski Obszar Gospodarczy. Regulacje te nie są łatwe do stosowania.
Zasygnalizowane już wyżej szczególne regulacje RODO dotyczą przekazywania danych osobowych do przetwarzania w tak zwanych państwach trzecich lub organizacjach międzynarodowych. Państwa trzecie to państwa spoza EOG. Chodzi zatem o kraje inne niż państwa członkowskie Unii Europejskiej, Islandia, Norwegia i Liechtenstein. Problem ten dotyczy zatem choćby przekazywania danych do Wielkiej Brytanii, Indii, Chin czy USA. Przyczyną, dla której wprowadzono w RODO szczególne regulacje dotyczące transferów danych poza EOG, jest konieczność zapewnienia jednolitego poziomu ochrony danych osobowych Europejczyków również poza EOG.
Przekazywanie danych do państw trzecich
Właściwe ukształtowanie systemu transferów danych poza EOG powinno zostać poprzedzone swoistą inwentaryzacją procesów przetwarzania danych. Aby działać zgodnie z RODO, przedsiębiorca powinien wiedzieć, czy w jego organizacji dochodzi do takich transferów danych osobowych. Konieczność przekazania danych poza EOG może wynikać choćby z korzystania ze wspólnych systemów w ramach grupy kapitałowej. Będzie tak, gdy członkami tej grupy będą również spółki spoza EOG. Inne przykłady to korzystanie z narzędzi Google, instalacja wtyczek Facebook’a czy korzystanie z usług podwykonawców, których serwery są zlokalizowane w państwach trzecich.
Kiedy transfer danych jest legalny
Transfer danych jest legalny, gdy spełniony jest jeden z trzech warunków określonych przez RODO:
1. przekazywanie na podstawie decyzji Komisji Europejskiej (KE) stwierdzającej odpowiedni poziom ochrony (decyzja o adekwatności),
2. przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń (gdy brak decyzji KE),
3. przekazywanie w szczególnych sytuacjach wskazanych w RODO (gry brak decyzji KE i wspomnianych wyżej zabezpieczeń).
Decyzje Komisji Europejskiej
Komisja Europejska może stwierdzić, że dane państwo zapewnia odpowiedni stopień ochrony danych osobowych. Do tej pory Komisja Europejska wydała 15 takich decyzji, obejmujących między innymi Szwajcarię, Kanadę, Japonię, Wielką Brytanię i – w 2023 roku – USA.
Odpowiednie zabezpieczenie transferu danych
W braku decyzji o adekwatności, przedsiębiorca musi dokonać udokumentowanej oceny bezpieczeństwa transferu oraz zapewnić inne narzędzie legalizujące ten transfer. RODO przewiduje katalog narzędzi umożliwiających transfer. Najczęściej stosowane są tak zwane standardowe klauzule umowne. Są to wzorce umowne, które należy dostosować do konkretnego przypadku wymiany danych. Innym rozwiązaniem jest wykorzystanie wiążących reguł korporacyjnych. Z tego narzędzia mogą skorzystać grupy kapitałowe. Jest to swego rodzaju regulamin wiążący przystępujące do niego spółki z grupy. Dokument ten wymaga zatwierdzenia przez właściwy organ ochrony danych.
RODO przewiduje także możliwość wykorzystania zatwierdzonych (przez organ nadzorczy) kodeksów postępowania lub mechanizmów certyfikacji. Są to jednak mniej popularne narzędzia. W Polsce zatwierdzono do tej pory jedynie dwa kodeksy postępowania. Oba są kierowane do branży medycznej.
Wyjątki umożliwiające transfer danych
Finalnie możliwe jest oparcie transferu na wyjątkach wskazanych w RODO. Te wyjątki dotyczą między innymi sytuacji, gdy osoba, której dane dotyczą, wyraziła zgodę na przekazanie lub jest ono niezbędne dla wykonania umowy, której ta osoba jest stroną. Niemniej wyjątki te nie powinny być traktowane jako remedium na systemowe rozwiązanie problemu przekazywania danych poza EOG.
Zamieszanie wokół transferów danych do USA
Historia transferów danych do USA jest wyjątkowo burzliwa. A to za sprawą aktywisty Maxa Schremsa. Walcząc z naruszeniami prywatności, jakich dopuszcza się w jego ocenie Facebook, podważa on ramy prawne transferów danych do USA. W konsekwencji doprowadził on do stwierdzenia nieważności dwóch decyzji KE o adekwatności (sprawa Schrems I – unieważnienie programu Safe Harbour; sprawa Schrems II – unieważnienie programu Privacy Shield). W lipcu 2023 pojawiła się nowa decyzja Komisji Europejskiej o adekwatności w odniesieniu do USA, ustanawiająca program Data Privacy Framework.
Specyficzne zasady transferów danych do USA na gruncie decyzji KE z 2023 roku
Decyzja o adekwatności wydana dla USA wymaga jednak od administratorów zachowania czujności. Decyzja ta uznaje za bezpieczne transfery danych jedynie do amerykańskich przedsiębiorstw, które uczestniczą w programie Data Privacy Framework. Lista podmiotów biorących udział w tym programie dostępna jest na stronie internetowej prowadzonej przez amerykański Departament Handlu . Na liście znajdują się podmioty takie jak Google, Microsoft czy Meta. Przekazywanie danych do podmiotów spoza listy wymaga skorzystania z innych, opisanych już powyżej narzędzi transferu poza EOG.
Artykuł jest również dostępny dla prenumeratorów na stronie rp.pl