Transfer danych osobowych poza Europejski Obszar Gospodarczy (EOG)
06/02/2019
Zmienność i dynamika rozwoju gospodarki światowej powoduje powstanie mechanizmów, w wyniku których dochodzi do transgranicznej wymiany danych osobowych. Kiedy wysłanie danych poza EOG jest dopuszczalnie?
W motywie 101 preambuły RODO wyjaśniono, że przepływ danych osobowych do państw spoza Unii i do organizacji międzynarodowych oraz z takich państw i z takich organizacji jest niezbędnym warunkiem rozwoju handlu międzynarodowego i współpracy międzynarodowej.
Z transferem danych mamy do czynienia w przypadku, gdy dane faktycznie przekraczają granice państw. Na przykład, jeśli dane osobowe są przechowywane na serwerze w państwie spoza Europejskiego Obszaru Gospodarczego (EOG), oddanie przez spółkę córkę na przechowanie spółce matce, zlokalizowanej poza EOG, nośnika (papierowego bądź informatycznego) albo kopii zapasowej bazy danych zawierających dane osobowe lub gdy spółka umożliwia dostęp do swoich baz danych przechowywanych na serwerach w UE pracownikom oddziału spółki znajdującej się poza EOG.
W związku z wyjściem Wielkiej Brytanii z Unii Europejskiej temat przekazania danych do państw trzecich staje się bardzo aktualny. Od 30 marca Wielka Brytania po opuszczeniu struktur UE bez zawarcia umowy międzynarodowej regulującej zasady tego wyjścia w świetle RODO będzie traktowana jako państwo trzecie. Oznacza to, że obecne zasady swobodnego przepływu danych do tego kraju nie będą obowiązywały, w związku z czym mogą wystąpić pewne utrudnienia. Szczególną uwagę na ten problem powinny zwrócić podmioty, które obecnie przekazują dane do Wielkiej Brytanii (patrz Transfer danych do Wielkiej Brytanii).
Aby przekazanie danych do państwa poza EOG i do organizacji międzynarodowych było zgodne z prawem, konieczne jest spełnienie specjalnych przesłanek przewidzianych rozdziałem V RODO:
I. Zakładając przekazanie danych do państwa trzeciego administrator danych lub podmiot przetwarzający w pierwszej kolejności powinien ustalić, czy w stosunku do tego państwa wydana została:
- Decyzja Komisji Europejskiej (KE) stwierdzająca, że to państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony (art. 45 RODO).
Takie przekazanie nie wymaga specjalnego zezwolenia (pkt.1 art.45 RODO). Wydane decyzje odnoszą się do następujących państw: Andory, Argentyny, Kanady, Izraela, Wysp Owczych, wyspy Man, Jersey, okręgu Guernsey, Nowej Zelandii, Szwajcarii, Wschodniej Republiki Urugwaju, Stanów Zjednoczonych Ameryki (na stronie internetowej GIODO wymieniono dziewięć takich państw, m.in. Australia).
II. W razie braku decyzji KE, podmiot przekazujący dane powinien zastosować następne przewidziane RODO środki, zapewniające odpowiednie zabezpieczenie (art. 46 RODO):
- zabezpieczenia, na których podstawie transfer nie wymaga zatwierdzenia przez organ nadzorczy (polegające na dokonaniu wyboru przez podmiot planujący transfer danych):
a) prawnie wiążący i egzekwowalny instrument między organami lub podmiotami publicznymi (umowy międzynarodowe oraz inne uzgodnienia administracyjne mające wiążący prawnie charakter w świetle prawa międzynarodowego publicznego oraz prawa krajowego ich stron);
b) wiążące reguły korporacyjne (wiążące porozumienie w grupie kapitałowej, polityka ochrony danych osobowych);
c) standardowe klauzule ochrony danych przyjęte przez Komisję Europejską oraz standardowe klauzule ochrony danych przyjęte przez organ nadzorczy i zatwierdzone przez Komisję.
Obecnie obowiązują trzy decyzje Komisji Europejskiej w sprawie standardowych klauzul:
d) zatwierdzone zgodnie z art. 40 RODO kodeksy postępowania (na razie brak takich kodeksów);
e) zatwierdzony zgodnie z art. 42 RODO mechanizm certyfikacji (jeszcze nieukształtowane rozwiązanie).
- zabezpieczenia, których wykorzystanie do przekazania danych wymaga zatwierdzenia przez organ nadzorczy (zezwolenia wydane w ramach procedury spójności określonej w art. 63 RODO):
a) klauzule umowne między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowe (umowy ad hoc);
b) postanowienia uzgodnień administracyjnych między organami lub podmiotami publicznymi, w których przewidziane będą egzekwowalne i skuteczne prawa osób, których dane dotyczą.
III. W razie braku decyzji KE stwierdzającej odpowiedni stopień ochrony (art. 45 RODO) oraz braku odpowiednich zabezpieczeń (art. 46 RODO) podstawą dla transferu danych (jednorazowego lub wielokrotnego) do państwa trzeciego lub organizacji międzynarodowej mogą być:
- przesłanki, wymienione w art. 49 RODO:
- zgoda osoby poinformowanej o ewentualnym ryzyku;
- konieczność wykonania umowy lub wprowadzenia środków przedumownych na żądanie osoby, której dane dotyczą;
- konieczność zawarcia lub wykonania umowy zawartej w interesie osoby, której dane dotyczą
- niezbędność ze względu na ważne względy interesu publicznego (może to mieć miejsce w przypadku międzynarodowej wymiany danych między organami ds. konkurencji, organami podatkowymi lub celnymi, organami nadzoru finansowego, służbami odpowiedzialnymi za sprawy zabezpieczenia społecznego lub za zdrowie publiczne);
- niezbędność do ustalenia, dochodzenia lub ochrony roszczeń (transfer powinien być sporadyczny i niezbędny w związku z roszczeniem);
- niezbędność do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody (jeżeli nie można skorzystać z innych przesłanek, a w szczególności osoba, której dane dotyczą, nie może wyrazić zgody na taki transfer);
- przekazanie danych z rejestru, który ma służyć za źródło informacji dla ogółu obywateli.
Te przesłanki maja charakter wyjątkowy i mogą być wykorzystane w szczególnych sytuacjach
IV. Szczególny wyjątek dla przekazania danych, w sytuacji braku możliwości zastosowania wcześniej wymienionych w art. 45 i 46 RODO odstępstw, został wprowadzony przepisem art. 49 ust. 1 akapit drugi RODO:
- niezbędność transferu danych ze względu na ważne prawnie uzasadnione interesy realizowane przez administratora.
Podstawa ta może być wykorzystana wyłącznie w sytuacji, gdzie nie ma zastosowania żadna z pozostałych podstaw. Taki transfer może nastąpić gdy przekazanie danych nie jest powtarzalne i dotyczy ograniczonej liczby osób.
Administrator przed przekazaniem danych ma także ocenić wszystkie okoliczności przekazania danych oraz na podstawie tej oceny zapewnić odpowiednie zabezpieczenia w zakresie ochrony danych osobowych oraz poinformować o przekazaniu danych organ nadzorczy.
Ponadto art. 49 ust. 6 RODO nakazuje administratorowi lub podmiotowi przetwarzającemu udokumentowanie takiego wyjątkowego transferu, oceny okoliczności przekazania danych oraz odpowiedniego zabezpieczenia w rejestrze czynności przetwarzania danych. Jednocześnie wymagane poinformowanie osoby, której dane dotyczą, o przekazaniu i o ważnych prawnie uzasadnionych interesach realizowanych przez administratora.
W celu zapewnienia ograniczenia dostępu do danych, RODO wprowadza regulację dotyczące zasady ochrony danych osobowych przed dostępem organów władzy publicznej państw trzecich. Zgodnie art. 48 RODO wyroki lub decyzje, wymagające od administratora lub podmiotu przetwarzającego przekazania lub ujawnienia danych osobowych mogą samodzielnie stanowić podstawy prawnej przekazania danych osobowych wyłącznie, gdy opierają się na umowie międzynarodowej.
Wydaje się, że najbardziej praktycznymi i właściwymi podstawa przekazania danych poza EOG mogą być standardowe klauzule ochrony danych, które odpowiadają wymaganiom RODO oraz wykonanie umowy. Natomiast zgoda nie jest wygodna podstawą dla transferu danych, ponieważ w każdej chwili może być ona cofnięta. Ponadto, wysyłając dane do państw trzecich warto pamiętać, że warunkiem dopuszczalności przetwarzania danych jest poinformowanie osób, że ich dane są przekazywane poza EOG .
Olga Sklyarova, audytor JDS Consulting