Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) z dnia 27 kwietnia 2016 r. (Dz. Urz. UE. L Nr 119, str. 1) przewiduje dodatkowe ograniczenia i obowiązki administratorów, jeżeli dane osobowe przez nich przetwarzane są transferowane do państw trzecich lub organizacji międzynarodowych. Wbrew pozorom transfer danych osobowych jest dokonywany przez wielu przedsiębiorców, chociażby wtedy, gdy umieszczają dane osobowe na dysku w chmurze lub korzystają z kont e-mail, których serwery znajdują się w państwie trzecim. Przedsiębiorco, sprawdź, o czym powinieneś pamiętać, przekazując dane osobowe poza obszar EOG!
Ogólne zasady legalnego przekazywania danych osobowych
Transfer danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego lub organizacji międzynarodowej, następuje gdy administrator i podmiot przetwarzający spełnią określone przez RODO warunki, w tym warunki dalszego przekazania danych z państwa trzeciego lub przez organizację międzynarodową do innego państwa trzeciego lub innej organizacji międzynarodowej.
Zgodnie z RODO legalne przekazanie danych osobowych może nastąpić w jednym z trzech trybów:
-
przekazywanie na podstawie decyzji stwierdzającej odpowiedni stopień ochrony (art. 45 RODO),
-
przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń (art. 46–47 RODO),
-
przekazywanie na zasadzie wyjątku w szczególnych sytuacjach (art. 49 RODO).
Transfer danych osobowych na podstawie decyzji
Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja Europejska stwierdzi, że to państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Takie przekazanie nie wymaga specjalnego zezwolenia.
Oceniając, czy stopień ochrony jest odpowiedni, Komisja Europejska uwzględnia w szczególności takie elementy jak praworządność, poszanowanie praw człowieka i podstawowych wolności, odpowiednie ustawodawstwo i jego wdrażanie, zasady ochrony danych osobowych, zasady dotyczące wykonywania zawodu, środki bezpieczeństwa, w tym zasady dalszego przekazywania danych osobowych do kolejnego państwa trzeciego lub innej organizacji międzynarodowej, istnienie skutecznych i egzekwowalnych praw osób, których dane dotyczą, skutecznych administracyjnych i sądowych środków zaskarżenia oraz istnienie i skuteczne działanie co najmniej jednego niezależnego organu nadzorczego.
Podstawową przesłanką legalizującą transfer danych jest decyzja Komisji Europejskiej o zapewnieniu odpowiedniego poziomu ochrony danych osobowych na danym obszarze.
W następstwie takiej oceny Komisja Europejska wydaje decyzję odnoszącą się do konkretnego kraju (obszaru). Uprawnia ona do transferu danych osobowych na dany obszar bez konieczności spełniania dodatkowych warunków. Należy jednak pamiętać, że spełnianie wymogów przez dany kraj jest monitorowane, co może pociągać za sobą uchylenie, zmianę lub zawieszenie stosowania decyzji.
Taka sytuacja miała miejsce w przypadku USA na gruncie zasad ochrony danych Safe Harbour. Po wyroku Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z 5 października 2015 r. w sprawie Schrems (C-362/14) zasady te przestały być skuteczną podstawą dla przekazywania danych osobowych. Obecnie transfer danych osobowych do USA jest możliwy na podstawie EU-US Privacy Shield.
Na lipiec 2018 r. decyzja o zapewnieniu odpowiedniego poziomu ochrony danych osobowych została wydana wobec Andory, Argentyny, Australii, Wyspy Guernsey, Izraela, Jersey, Kanady, Nowej Zelandii, USA, Szwajcarii, Wyspy Man oraz Wysp Owczych.
Przekazywanie danych osobowych z zastrzeżeniem zabezpieczeń
W razie braku decyzji Komisji Europejskiej administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią odpowiednie zabezpieczenia i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą oraz skuteczne środki ochrony prawnej.
Zgodnie z RODO odpowiednie zabezpieczenia można zapewnić za pomocą:
-
prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi,
-
wiążących reguł korporacyjnych (art. 47 RODO),
-
standardowych klauzul ochrony danych przyjętych przez Komisję Europejską,
-
standardowych klauzul ochrony danych przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję Europejską,
-
zatwierdzonego kodeksu postępowania wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą,
-
zatwierdzonego mechanizmu certyfikacji wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.
Ewentualnie, za zezwoleniem organu nadzorczego, odpowiedni poziom ochrony może zostać zapewniony poprzez zastosowanie klauzul umownych między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej. W tym wypadku zatem konieczne jest uzyskanie zgody na transfer danych osobowych.
Przekazywanie danych osobowych na zasadzie wyjątku w szczególnych sytuacjach
W razie braku decyzji Komisji Europejskiej lub braku odpowiednich zabezpieczeń, o których mowa wyżej, w tym wiążących reguł korporacyjnych (a zatem w sytuacji, gdy dwa poprzednie tryby nie znajdują zastosowania), jednorazowy lub wielokrotny transfer danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić wyłącznie pod warunkiem, że:
-
osoba, której dane dotyczą, wyraźnie wyraziła na nie zgodę oraz została poinformowana o ewentualnym ryzyku, z którym może się dla niej wiązać proponowane przekazanie;
-
przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą;
-
przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, której dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;
-
przekazanie jest niezbędne z uwagi na ważne względy interesu publicznego;
-
przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;
-
przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
-
przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego.
Jeżeli żadne z powyższych wyjątków nie znajduje zastosowania, przekazanie do państwa trzeciego lub organizacji międzynarodowej może nastąpić wyłącznie, gdy:
-
przekazanie nie jest powtarzalne;
-
dotyczy tylko ograniczonej liczby osób, których dane dotyczą;
-
jest niezbędne ze względu na ważne prawnie uzasadnione interesy realizowane przez administratora, wobec których charakteru nadrzędnego nie mają interesy ani prawa i wolności osoby, której dane dotyczą;
-
administrator ocenił wszystkie okoliczności przekazania danych i na podstawie tej oceny zapewnił odpowiednie zabezpieczenia w zakresie ochrony danych osobowych.
Administrator ma w takim wypadku obowiązek poinformować organ nadzorczy o przekazaniu. Powinien również dodatkowo (prócz standardowego obowiązku informacyjnego) poinformować osobę, której dane dotyczą, o przekazaniu i o ważnych prawnie uzasadnionych interesach realizowanych przez niego.