Jak przekazać dane osobowe do państw trzecich zgodnie z RODO?

« Aktualności 25 kwietnia 2019

W dniu 19 marca 2019 r. w Dzienniku Urzędowym Unii Europejskiej została opublikowana pierwsza wydana na podstawie ogólnego rozporządzenia o ochronie danych osobowych („RODO”) decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony danych osobowych przez państwo trzecie, tj. Japonię. Jest to jak na razie jedyna decyzja wydana na podstawie RODO, dlatego też chcemy przedstawić Wam krótkie zestawienie podstaw prawnych, pozwalających na przekazywanie danych osobowych poza Europejski Obszar Gospodarczy („EOG”).

zdjęcie_17

Na początku wyjaśnijmy, czym jest „przekazywanie” danych osobowych.

RODO nie zawiera definicji tego pojęcia, bez wątpienia możemy jednak wskazać, iż jest to jedna z operacji przetwarzania danych osobowych. Pojęcie „przekazywanie” pojawia się jedynie w kontekście przetwarzania danych osobowych wykraczającego poza granice EOG. Chodzi więc o wszelkie operacje na danych osobowych, w wyniku których dane te trafiają do państw trzecich (czyli poza EOG) [i]. Nie ma przy tym znaczenia sposób przekazywania danych, tj. czy dane są przesyłane drogą elektroniczną, czy na nośniku danych, ani też, czy dane są przekazywane na podstawie umowy czy też nie. Do przekazania dojdzie również co do zasady wtedy, gdy dane osobowe nie zostaną utrwalone w państwie trzecim, a jedynie wyświetlone np. na ekranie komputera. Generalnie chodzi więc o każdy przypadek, gdy dane osobowe przekraczają granice EOG.

Z przekazaniem danych osobowych do państwa trzeciego będziemy mieli do czynienia przykładowo w przypadku udostępnienia ich administratorowi w państwie trzecim, jak i powierzenia przetwarzania danych podmiotowi, mającemu siedzibę w państwie trzecim. Należy zwrócić uwagę, że nawet wtedy, gdy dane osobowe będą przekazywane w ramach jednej struktury organizacyjnej, tzn. między jednostkami organizacyjnymi tej samej osoby prawnej, znajdującymi się na terenie EOG i w państwie trzecim, również będą miały zastosowanie przepisy RODO dotyczące przekazywania danych osobowych do państwa trzeciego.

Przekazywanie danych osobowych w ramach Unii Europejskiej, czy szerzej – na terytorium EOG, wiąże się z takimi samymi obowiązkami jak udostępnianie czy powierzanie danych osobowych innemu podmiotowi w ramach tego samego państwa członkowskiego. W przypadku jednak przekazywania danych do państwa trzeciego (czyli kraju poza EOG) lub organizacji międzynarodowej, podmiot przekazujący dane osobowe musi spełnić więcej wymagań.

Co do zasady, aby móc przetwarzać dane osobowe, musi zaistnieć jedna z podstaw prawnych wskazanych w art. 6 ust. 1 RODO. Zatem taką podstawą prawną dla przetwarzania danych może być m.in.:

i. zgoda osoby, której dane są przetwarzane,

ii. niezbędność wykonania umowy, której stroną jest osoba, której dane dotyczą,

iii. niezbędność wypełnienia obowiązku prawnego, czy

iv. prawnie uzasadniony interes realizowany przez administratora lub stronę trzecią.

Nie będziemy szerzej omawiać poszczególnych podstaw prawnych przetwarzania danych osobowych, gdyż jest to dosyć obszerny materiał, a nasz aktualny artykuł dotyczy podstaw przekazania danych osobowych poza EOG.

Co istotne, gdy przekazujemy dane poza obszar EOG, poza koniecznością wykazania istnienia jednej z przesłanek przetwarzania danych wskazanych w art. 6 ust. 1 RODO, musimy także wykazać istnienie odpowiedniej podstawy prawnej pozwalającej na przekazanie danych osobowych do państwa trzeciego.

Co może być taką podstawą?

1. Decyzja Komisji Europejskiej, stwierdzająca odpowiedni stopień ochrony.

Gdy chcemy przekazać dane osobowe do podmiotu spoza EOG, w pierwszej kolejności powinniśmy sprawdzić, czy została wydana przez Komisję Europejską decyzja, stwierdzająca, że dane państwo trzecie, terytorium lub określony sektor(-y) w państwie trzecim lub dana organizacja międzynarodowa, zapewniają tzw. odpowiedni stopień ochrony. Co oznacza to pojęcie? W RODO brak definicji. Najogólniej mówiąc, jest to zapewnienie przez określone państwo lub organizację międzynarodową ochrony danych osobowych na poziomie zbliżonym dla standardów Unii Europejskiej. Oceniając, czy dane państwo taką ochronę zapewnia, Komisja bierze pod uwagę w szczególności następujące czynniki: praworządność, poszanowanie praw człowieka i podstawowych wolności, odpowiednie ustawodawstwo, zasady ochrony danych osobowych, istnienie skutecznych i egzekwowalnych praw osób, których dane dotyczą, istnienie i skuteczne działanie co najmniej jednego niezależnego organu nadzorczego w państwie trzecim, mającego obowiązek zapewniać i egzekwować przestrzeganie przepisów o ochronie danych osobowych [ii].

Jeśli decyzja stwierdzająca odpowiedni stopień ochrony została wydana, nie musimy uzyskiwać żadnego dodatkowego zezwolenia na przekazanie danych poza EOG. Przy przekazywaniu powołujemy się po prostu na właściwą decyzję Komisji Europejskiej.

Jak zostało zasygnalizowane na wstępie, od czasu wejścia w życie RODO została wydana tylko jedna tego rodzaju decyzja dotycząca Japonii.

Czy oznacza to, że można przekazywać dane osobowe na podstawie decyzji Komisji tylko do Japonii? Otóż nie. Gdy obowiązywały poprzednie przepisy dotyczące ochrony danych osobowych [iii], Komisja również była uprawniona do wydawania decyzji stwierdzających odpowiedni poziom ochrony. Zgodnie z RODO wszystkie decyzje przyjęte na mocy uchylonych już przepisów pozostają w mocy do czasu ich zmiany, zastąpienia lub uchylenia decyzją Komisji przyjętą na podstawie RODO.

Aktualnie, łącznie z Japonią, takich państw (terytoriów) jest 13 [iv]. Zawsze przed przekazaniem danych osobowych do państwa trzeciego należy jednak zajrzeć do wydanych decyzji, aby sprawdzić, czy możliwy jest każdy rodzaj przekazania danych osobowych poza EOG, czy też istnieją w tym zakresie jakieś ograniczenia (np. decyzja wydana w stosunku do Izraela dotyczy tylko zautomatyzowanego przetwarzania danych). Dla ułatwienia mamy dla Was listę państw trzecich, co do których zostały wydane decyzje Komisji, wraz z odesłaniem do tych aktów oraz z uwagami dotyczącymi zakresu stosowania decyzji. Lista jest aktualna na dzień 25.04.2019 r. Gdy pojawią się zmiany na liście, niezwłocznie przedstawimy Wam aktualizację.

Tabelę z listą państw trzecich możecie pobrać bezpłatnie na końcu artykułu.

2. Standardowe klauzule umowne.

Jeżeli nie ma wydanej decyzji Komisji Europejskiej odnośnie do przekazywania danych do określonego państwa, należy szukać innych podstaw. Zazwyczaj w stosunkach między przedsiębiorcami takim instrumentem mogą być standardowe klauzule ochrony danych przyjęte przez Komisję Europejską (tzw. standardowe klauzule umowne). Co to takiego?

Najkrócej mówiąc są to wzory umów przyjęte przez Komisję Europejską, którymi można posługiwać się przy przekazywaniu danych osobowych administratorowi lub podmiotowi przetwarzającemu, który ma siedzibę w państwie trzecim. Co do zasady nie można zmieniać postanowień zawartych w standardowych klauzulach umownych. Istota zawartych w nich praw i obowiązków, a przede wszystkim gwarancji ochrony danych, nie może zostać zmniejszona. Można natomiast zamieszczać w nich dodatkowe obowiązki, zwiększające standardy ochrony danych osobowych.

Standardowe klauzule umowne zostały przyjęte przed wejściem w życie RODO, dopóki jednak Komisja nie wyda nowych klauzul, dotychczas funkcjonujące dokumenty można dalej stosować. Dwa zestawy klauzul odnoszą się do relacji między administratorami danych, a jeden z nich do przekazywania danych przez administratora podmiotowi przetwarzającemu znajdującemu się w państwie trzecim. Na razie nie zostały wydane standardowe klauzule, które mogłyby być zawierane między podmiotem przetwarzającym, mającym siedzibę na terenie EOG a dalszym podmiotem przetwarzającym, mającym siedzibę w państwie trzecim. Mamy nadzieję, że w tym roku pojawią się wytyczne Europejskiej Rady Ochrony Danych dotyczące m.in. ww. kwestii. Na razie funkcjonuje pogląd, że w tej sytuacji podmiot przetwarzający z EOG mógłby zawrzeć umowę z dalszym podmiotem przetwarzającym w imieniu administratora danych osobowych, stosując standardowe klauzule umowne przewidziane dla relacji administrator w EOG – podmiot przetwarzający poza EOG.

Dotychczas przyjęte standardowe klauzule umowne możecie znaleźć tutaj:

https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32001D0497&from=en

https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:385:0074:0084:PL:PDF

https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:039:0005:0018:PL:PDF

3.Przekazywanie z zastrzeżeniem innych odpowiednich zabezpieczeń.

Poza zastosowaniem standardowych klauzul umownych przyjętych przez Komisję Europejską, przekazywanie danych osobowych do państw trzecich może mieć miejsce m.in., gdy są stosowane:

i. wiążące reguły korporacyjne, zatwierdzone przez właściwy organ nadzorczy (tzw. BCR, binding corporate rules) [v],

ii. standardowe klauzule ochrony danych przyjęte przez organ nadzorczy [vi] i zatwierdzone przez Komisję Europejską,

iii. zatwierdzony zgodnie z art. 40 RODO kodeks postępowania [vii],

iv. zatwierdzony zgodnie z art. 42 RODO mechanizm certyfikacji [viii],

v. klauzule umowne między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej, pod warunkiem zezwolenia właściwego organu nadzorczego,

vi. inne zabezpieczenia wskazane w art. 46 RODO [ix].

4. Wyjątki w szczególnych sytuacjach.

Gdy brak decyzji Komisji Europejskiej lub innych odpowiednich zabezpieczeń wskazanych w art. 46 RODO, jednorazowe lub wielokrotnie przekazanie danych do państwa trzeciego lub organizacji międzynarodowej jest możliwe wyjątkowo pod warunkiem, że zostanie spełniona jedna z przesłanek wskazanych w art. 49 ust. 1 RODO. Powołane w tym przepisie podstawy przekazania danych osobowych do państw trzecich powinny być stosowane w szczególnych sytuacjach i jako wyjątki podlegają zawężającej interpretacji.

Przy braku wcześniej wymienionych instrumentów ewentualne zastosowanie w przypadku przedsiębiorców najczęściej będą miały [x]:

i. wyraźna i dobrowolna zgoda osoby, której dane dotyczą, o ile została poinformowana o ewentualnym ryzyku, z którym może wiązać się przekazanie danych wobec braku odpowiednich zabezpieczeń,

ii. przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem,

iii. przekazanie danych jest niezbędne do zawarcia lub realizacji umowy zawartej w interesie osoby, której dane dotyczą,

iv. przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń.

Podkreślenia wymaga okoliczność, że w przypadku transferu związanego z umową lub roszczeniem, może on mieć jedynie charakter sporadyczny.

Szczególnym wyjątkiem jest możliwość powołania się przez administratora na jego ważny prawnie uzasadniony interes, wobec którego nadrzędnego charakteru nie mają interesy ani prawa i wolności osoby, której dane dotyczą. Przekazanie może w tym przypadku nastąpić, gdy nie jest powtarzalne, dotyczy ograniczonej liczby osób, których dane dotyczą i administrator ocenił wszystkie okoliczności przekazania danych i na podstawie tej oceny zapewnił odpowiednie zabezpieczenia w zakresie ochrony danych osobowych. Dodatkowo konieczne jest poinformowanie organu nadzorczego o przekazaniu. Szczegółowe przesłanki określa akapit 2. art. 49 ust. 1 RODO.

Bardziej szczegółowe omówienie wszystkich powyższych podstaw prawnych przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych stanowiłoby bardzo obszerne opracowanie i niestety objętość artykułu nie pozwala nam na omówienie wszystkich zagadnień. Jeśli jednak jesteście zainteresowani bardziej szczegółowymi informacjami dotyczącymi tego tematu, prosimy o kontakt za pośrednictwem naszego formularza kontaktowego: https://www.esb-legal.pl/pl/kontakt. W kolejnym artykule chętnie wyjaśnimy Wasze wątpliwości.

25.04.2019 r., adw. Agnieszka Rapcewicz


[i] Postanowienia RODO mają zastosowanie również do państw członkowskich EOG, ponieważ RODO zostało uwzględnione (włączone) do Porozumienia o Europejskim Obszarze Gospodarczym. Więcej informacji można znaleźć tutaj: https://www.efta.int/eea-lex/32016R0679.

[ii] Szerszy katalog okoliczności, które Komisja musi wziąć pod uwagę przy stwierdzaniu, czy stopień ochrony jest odpowiedni, znajduje się w art. 46 ust. 2 RODO.

[iii] Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, art. 25 ust. 6.

[iv] Aby być precyzyjnym - w przypadku Tarczy Prywatności decyzja nie dotyczy państwa trzeciego, czyli USA, lecz prowadzonego w tym państwie programu Tarczy Prywatności (i podmiotów, które zostały zatwierdzone w ramach tego programu). Dla ułatwienia wskazujemy jednak USA wśród państw, co do których Komisja stwierdziła odpowiedni stopień ochrony.

[v] Chodzi o polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi lub podmiotowi przetwarzającemu w co najmniej jednym państwie trzecim w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą.

[vi] Np. Prezesa Urzędu Ochrony Danych Osobowych.

[vii] Kodeks musi zawierać wiążące i egzekwowalne zobowiązania administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą. Kodeksy są przewidziane jako narzędzie mające pomóc we w właściwym stosowaniu RODO, z uwzględnieniem specyfiki różnych sektorów dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.

[viii] Mechanizm certyfikacji musi zawierać wiążące i egzekwowalne zobowiązania administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą. Mechanizmy certyfikacji oraz znaki jakości i oznaczenia w zakresie ochrony danych osobowych mają świadczyć o zgodności z RODO operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające. Przy tym mają być uwzględnione szczególne potrzeby mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.

[ix] Chodzi o: prawnie wiążący i egzekwowalny instrument między organami lub podmiotami publicznymi oraz postanowienia uzgodnień administracyjnych między organami lub podmiotami publicznymi, w których przewidziane będą egzekwowalne i skuteczne prawa osób, których dane dotyczą (z zastrzeżeniem zezwolenia właściwego organu nadzorczego).

[x] Pełen katalog wyjątków zawiera art. 49 ust. 1 RODO.

   Nasza strona używa plików cookies. Pliki cookies wykorzystujemy w celu umożliwienia prawidłowego działania naszej strony internetowej oraz w celu prowadzenia anonimowych statystyk i innych działań analitycznych przedstawiających sposób korzystania ze strony internetowej przez użytkowników. Dalsze korzystanie ze strony internetowej oznacza zgodę na ich zapis lub wykorzystanie. Użytkownik może samodzielnie dokonać zmiany warunków przechowywania plików cookies w przeglądarce internetowej, z której korzysta.

Więcej informacji, w szczególności dotyczących przetwarzania danych osobowych, znajduje się w Polityce prywatności dostępnej tu.