RODO: jak firma ma przekazywać dane na arenie międzynarodowej
Postępująca globalizacja gospodarki światowej oznacza m.in. konieczność przekazywania danych osobowych do innych państw. Fakt ten nie został pominięty również przez przepisy RODO, które regulują zasady przekazywania danych osobowych do państwa trzecich, jako jednej z form przetwarzania danych. Przez Państwa trzecie powinniśmy rozumieć kraje spoza Europejskiego Obszaru Gospodarczego.
Jedna z przesłanek zapewniających, iż przekazanie danych do państw trzecich jest dozwolone, została określona w art. 45 ust. 1 i ust 3 RODO. Zgodnie z przywołanym przepisem staje się to możliwe i zgodne z prawem w momencie, gdy Komisja Europejska w wydanej przez siebie decyzji stwierdzi, że konkretne państwo trzecie lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony.
Jakie środki bezpieczeństwa?
– Na ocenę Komisji Europejskiej dotyczącą tego, czy dane państwo bądź organizacja międzynarodowa zapewniają należyty stopień ochrony danych wpływa wiele aspektów. Analizowane są takie kwestie jak m.in.: poszanowanie praw człowieka i podstawowych wolności, istnienie niezależnego organu nadzorczego mającego obowiązek zapewniać i egzekwować przestrzeganie przepisów o ochronie danych oraz międzynarodowe zobowiązania zaciągnięte przez dane państwo trzecie lub daną organizację międzynarodową w dziedzinie ochrony danych osobowych – mówi adw. Łukasz Pociecha, ODO 24. Wykaz miejsc, co do których Komisja Europejska przyjęła decyzję stwierdzającą odpowiedni stopień ochrony lub jego brak opublikowany jest w Dzienniku Urzędowym Unii Europejskiej oraz na stronie internetowej Komisji Europejskiej. Co najistotniejsze, wydanie tego typu decyzji skutkuje możliwością przekazywania danych osobowych do państw w niej wskazanych bez specjalnego zezwolenia.
W przypadku nieuznania państwa trzeciego jako zapewniającego odpowiedni stopień ochrony, przekazanie danych możliwe jest wyłącznie wtedy, gdy administrator lub podmiot przetwarzający informacje na zlecenie administratora, zapewni osobie, której dane dotyczą ich odpowiednie zabezpieczenie. Środki mające zapewnić odpowiedni poziom bezpieczeństwa wskazane są w art. 46 ust. 2 RODO oraz w art. 46 ust. 3 RODO. Pierwszy z przywołanych przepisów zawiera katalog odpowiednich środków, które podmiot przekazujący dane może stosować bez zezwolenia odpowiedniego organu nadzorczego. Są to m. in. prawnie wiążące i egzekwowalne instrumenty między organami lub podmiotami publicznymi, standardowe klauzule ochrony danych przyjęte przez Komisję Europejską, zatwierdzony kodeks postępowania zgodnie z art. 40 RODO oraz zatwierdzony mechanizm certyfikacji zgodnie z art. 42 RODO. Jak podkreśla adw. Łukasz Pociecha, ODO24: „Odpowiednie zabezpieczenie danych w zw. z ich przekazaniem do państwa trzeciego może również nastąpić m.in. poprzez zastosowanie klauzul umownych między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej. W takiej sytuacji stosowanie do art. 46 ust. 3 RODO wymagane jest jednak uzyskanie zgody organu nadzorczego na przekazanie danych do państwa trzeciego.”
Transfer informacji do państw trzecich
Należy również zwrócić uwagę, że przepisy RODO przewidują dodatkowe przesłanki zezwalające na przekazanie danych do państw trzecich w przypadku braku odpowiedniej decyzji Komisji Europejskiej lub niemożliwości spełnienia zabezpieczeń wskazanych w art. 46 RODO. Katalog dodatkowych przesłanek został określony w art. 49 RODO.
– Przesłanką legalizującą transfer informacji do państw trzecich może być również wyraźna zgoda samej osoby, której dane dotyczą. Aby jednak było to możliwe, osoba ta, musi wcześniej zostać poinformowana o ewentualnym ryzyku związanym z przekazaniem danych do danego państwa trzeciego, które to może wynikać chociażby z braku odpowiedniej decyzji Komisji Europejskiej stwierdzającej dopuszczalny stopień ochrony danych. Ponadto do przekazania danych osobowych do państwa trzeciego może również dojść w sytuacji gdy jest to konieczne dla wykonania umowy pomiędzy administratorem a osobą, której dane dotyczą – wskazuje adw. Łukasz Pociecha, ODO 24.
Przedsiębiorcy prowadzący działalność na arenie międzynarodowej zobligowani są do sprawdzenia i upewnienia się, czy mogą legalnie przekazywać dane osobowe poza obszar UE. W sytuacji, kiedy działanie to nie jest uregulowane odpowiednią podstawą prawną narażeni są oni na wysokie kary pieniężne, wynoszące nawet 20 mln euro, a w przypadku przedsiębiorstwa w wysokości do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Źródło: ODO 24