Poradnik Przedsiębiorcy

RODO – transfer danych osobowych poza terytorium Unii Europejskiej

Zasięg terytorialny przepisów rozporządzenia RODO jest bardzo szeroki. RODO dotyczy administratorów danych osobowych oraz podmiotów przetwarzających, którzy mają swoją siedzibę na terytorium Unii Europejskiej. Czynniki w postaci rodzaju danych lub właściwości osób, których dane dotyczą, nie mają znaczenia dla zakresu stosowania przepisów. Jeśli administrator danych spełnia kryterium dotyczące siedziby (przykładowo, jeśli siedzibą przedsiębiorcy przetwarzającego dane osobowe jest Polska), wówczas musi stosować przepisy RODO, nawet jeżeli przetwarza dane osób fizycznych (np. klientów czy kontrahentów) zamieszkałych na terenie państw spoza UE. Jednocześnie, jeśli administrator danych planuje transfer danych osobowych posiadanych przez siebie poza terytorium Unii Europejskiej, musi zastosować się do szczególnych zasad przewidzianych przez przepisy rozporządzenia.

Transfer danych osobowych - zasada swobodnego przepływu

RODO wprowadziło tzw. zasadę swobodnego przepływu danych osobowych, która obowiązuje na terytorium krajów należących do Europejskiego Obszaru Gospodarczego (kraje Unii Europejskiej oraz Islandia, Norwegia i Liechtenstein). Pozostałe kraje traktowane są jako tzw. państwa trzecie. Od 30 marca 2019 r. Wielka Brytania również jest traktowana jako państwo trzecie.

Zgodnie z zasadą swobodnego transferu, przekazywanie danych pomiędzy administratorami danych osobowych i podmiotami przetwarzającymi mającymi siedzibę na wskazanym powyżej obszarze nie wymaga uzyskiwania żadnych dodatkowych zgód czy pozwoleń. Administratorzy danych mający siedzibę na terenie EOG mają obowiązek stosowania przepisów RODO, a zatem dane osobowe powinny być bezpieczne w równym stopniu.

Odpowiedni stopień ochrony albo odpowiednie zabezpieczenia

Jeśli administrator danych zamierza je przekazać poza terytorium Unii Europejskiej, musi zadbać o bezpieczeństwo transferu. Zgodnie z przepisami RODO procedura postępowania jest zależna od kraju, do którego dane mają zostać przekazane:

  • jeśli Komisja Europejska stwierdzi, że dane państwo spełnia odpowiedni stopień ochrony, przekazanie nie wymaga uzyskania odrębnego zezwolenia;

  • w pozostałych przypadkach administrator danych jest – co do zasady – zobowiązany do uzyskania zezwolenia na przekazanie danych, chyba że zachodzą wyjątki wymienione w treści rozporządzenia.

Przepis art. 45 ust. 1 rozporządzenia RODO – zasada przekazywania danych do państw trzecich
„Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja stwierdzi, że to państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Takie przekazanie nie wymaga specjalnego zezwolenia”.

Wykaz państw trzecich, które spełniają warunek w postaci zapewnienia danym osobowym „odpowiedniego stopnia ochrony”, jest publikowany w Dzienniku Urzędowym Unii Europejskiej. Oznacza to, że jeśli przedsiębiorca planuje przekazanie danych osobowych poza UE (przykładowo, przedsiębiorca pośredniczy wyłącznie w zawarciu umowy sprzedaży towarów, realizacja zlecenia i wysyłka produktu występuje bezpośrednio z państwa trzeciego i przedsiębiorca musi przekazać dane osobowe celem realizacji zlecenia do swojego kontrahenta tam zlokalizowanego), powinien przed podjęciem tych działań sprawdzić w wykazie publikowanym przez Komisję Europejską, czy może przekazać dane bez konieczności starania się o uzyskanie specjalnego pozwolenia. Przykładami państw, względem których Komisja Europejska wydała decyzję o zapewnieniu odpowiedniego stopnia ochrony (tzw. decyzję o adekwatności), są m.in. Kanada, Nowa Zelandia czy Izrael.

Ważne!
Jeśli administrator danych planuje przekazanie ich do państwa trzeciego, ma obowiązek poinformowania osoby, której dane dotyczą, o tym zamiarze (podstawa prawna: art. 13 ust. 1 lit. f rozporządzenia). Obowiązek informacyjny ciąży na administratorze danych w momencie ich pozyskiwania i nie jest zależny od kraju, do którego mają one zostać przekazane.

Długa lista wyjątków

Przepisy RODO przewidują, że jeśli Komisja Europejska nie wydała decyzji o zapewnieniu przez państwo trzecie odpowiedniej ochrony danych osobowych, administrator danych może je przekazać, jeśli:

  • zapewniono odpowiednie środki zabezpieczenia przekazywanych danych;

  • w państwie trzecim obowiązują egzekwowalne prawa osób dotyczące ochrony danych osobowych oraz skuteczne środki ochrony prawnej.

Oba wskazane powyżej warunki muszą zostać spełnione łącznie.

Zgodnie z przepisem art. 46 ust. 2 rozporządzenia RODO odpowiednie zabezpieczenia mogą zostać zapewnione na przykład poprzez:

  • zastosowanie tzw. reguł korporacyjnych;

  • wprowadzenie do umowy odpowiednich klauzul ochrony danych przyjętych przez Komisję Europejską albo organ nadzorczy (UODO);

  • poddanie się procesowi certyfikacji i uzyskanie certyfikatu potwierdzającego zgodność operacji dokonywanych przez administratora danych z obowiązującymi procedurami RODO.

Uwaga!
Reguły korporacyjne to dokumenty określające dane i rodzaj przedsiębiorców dokonujących przekazania danych osobowych, rodzaje przetwarzania i cele przetwarzania, grupy osób, których dane będą przetwarzane, ogólne zasady ochrony danych, przyjęcie przez administratorów odpowiedzialności prawnej za przetwarzane dane i ich bezpieczeństwo, obowiązki informacyjne administratorów, procedurę dotyczącą skarg, mechanizmy współpracy z organem nadzorczym.

W przypadku, w którym Komisja Europejska nie wydała decyzji o adekwatności, a administrator danych nie ma możliwości zapewnienia odpowiedniego stopnia zabezpieczeń za pomocą wskazanych powyżej metod, przekazanie danych do państwa trzeciego nadal jest dopuszczalne, jeśli zostanie spełniony jeden z warunków wskazanych w przepisie art. 49 rozporządzenia:

  • osoba, której dotyczą dane osobowe, wyraziła w sposób wyraźny zgodę na ich przekazanie, a przed jej udzieleniem została poinformowana o ewentualnym ryzyku, z którymi – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie;

  • przekazanie danych jest niezbędne do wykonania umowy zawieranej pomiędzy osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą;

  • przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, pomiędzy administratorem a inną osobą fizyczną lub prawną;

  • przekazanie jest niezbędne ze względu na ważne względy interesu publicznego (interes publiczny jest rozumiany jako interes uznany w prawie UE lub w prawie państwa członkowskiego, na którego terenie swoją siedzibę ma administrator danych);

  • przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;

  • przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;

  • przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes (wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego).

Ważne!Zgoda osoby fizycznej na przekazanie danych do państwa trzeciego musi zostać wyrażona w sposób wyraźny, po poinformowaniu o możliwych zagrożeniach związanych z procedurą przekazania i dotyczących braku odpowiednich zabezpieczeń danych.

Jeśli nie zachodzi żadna z przesłanek opisanych powyżej, administrator danych może przekazać je do państwa trzeciego tylko wówczas, gdy przekazanie danych następuje jednorazowo (nie jest powtarzalne), dotyczy ograniczonego kręgu osób, jest niezbędne z uwagi na ważny prawnie uzasadniony interes, a administrator danych we własnym zakresie dokonał oceny wszystkich okoliczności, w jakich odbywa się transfer danych osobowych i zapewnił odpowiednie środki zabezpieczeń. Na administratorze danych w takiej sytuacji ciąży obowiązek poinformowania o takim przekazaniu danych zarówno organu nadzoru (w Polsce jest to UODO), jak i osoby, której dane dotyczą.