Ogólne rozporządzenie Parlamentu Europejskiego i Rady UE o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych i ich swobodnego przepływu (RODO), w swoim założeniu ma regulować zasady, wg których dane osobowe obywateli państw należących do UE oraz EOG mogą być legalnie przetwarzane. Globalny charakter wielu podmiotów powoduje jednak, że dane osobowe mogą być przesyłane także do Państw spoza EOG, których prawodawstwo nie jest kompatybilne z tym obowiązującym w UE.
W Rozdziale V RODO określone zostały zasady, wg których należy postępować przy transferze danych, żeby mógł on zostać uznany za legalny oraz zapewniający odpowiednie bezpieczeństwo w stosunku do osób, których te dane dotyczą. Pod pojęciem bezpieczeństwa należy tutaj rozumieć minimalne ryzyko utraty praw lub wolności takich osób. Jest to przede wszystkim istotne w przypadku szczególnych kategorii danych osobowych. W roku 2021 wyszło na jaw, że jeden z chińskich producentów testów prenatalnych przechowuje dane genetyczne kilku milionów kobiet z całego świata.
Z punktu widzenia ochrony danych osobowych problemem są kompetencje chińskich władz, które mają prawo wystąpić z żądaniem udostępnienia informacji będących w posiadaniu spółki. Dane te następnie mogą być wykorzystywane do tworzenia profili genetycznych określonych populacji, dając informacje na temat chociażby podatności na określone czynniki zewnętrzne.
Wspomniany Rozdział V, wskazuje, że dane osobowe mogą być transferowane do Państw spoza EOG gdy:
Komisja Europejska stwierdzi, że państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony;
Państwo trzecie lub organizacja międzynarodowa zapewnią odpowiednie zabezpieczenia i obowiązują w nich egzekwowalne prawa osób, których dane dotyczą i skuteczne środki ochrony prawnej.
Decyzja na temat tego, czy dane państwo lub organizacja międzynarodowa spełniają odpowiednie standardy bezpieczeństwa jest podejmowana z uwzględnieniem następujących czynników:
przestrzeganie praworządności, poszanowanie praw człowieka i podstawowych wolności, odpowiednie ustawodawstwo, w tym w dziedzinie bezpieczeństwa publicznego, obrony, bezpieczeństwa narodowego i prawa karnego oraz dostępu organów publicznych do danych osobowych,
istnienie i skuteczne działanie co najmniej jednego organu nadzorczego mającego za zadanie zapewnić i egzekwować przestrzeganie przepisów o ochronie danych osobowych, w tym posiadające odpowiednie uprawnienia do egzekwowania przepisów o ochronie danych osobowych,
zaciągnięte zobowiązana wynikające z prawnie wiążących konwencji lub instrumentów oraz udział w wielostronnych lub regionalnych systemach, w szczególności w obszarze ochrony danych osobowych,
Po zbadaniu wymienionych cech Komisja Europejska przyjmuje, na mocy aktu wykonawczego, decyzję stwierdzającą czy dane państwo trzecie lub organizacja międzynarodowa zapewniają odpowiedni poziom bezpieczeństwa. Obecnie odpowiedni poziom bezpieczeństwa, wg Komisji zapewniają: Andora, Argentyna, Kanada (organizacje handlowe), Wyspy Owcze, Guernsey, Izrael, Wyspa Man, Japonia, Jersey, Nowa Zelandia, Republika Korei, Szwajcaria, Zjednoczone Królestwo, Stany Zjednoczone oraz Urugwaj.
Należy jednak pamiętać, że wraz ze zmianami na Świecie zmianie może ulec także stanowisko wobec danego państwa lub organizacji międzynarodowej. Komisja ma za zadanie na bieżąco monitorować zmiany zachodzące w państwach trzecich i organizacjach międzynarodowych. Mechanizm okresowego przeglądu zostaje określony w akcie wykonawczym do wydanej decyzji. Okresowego przeglądu należy dokonywać nie rzadziej niż raz na 4 lata. W sytuacji gdy dane państwo trzecie (lub organizacja międzynarodowa) zostało uznane za niezapewniające odpowiedniego poziomu bezpieczeństwa, wówczas wydawana jest decyzja o zawieszeniu lub uchyleniu wydanej uprzednio decyzji.
Drugą możliwością pozwalającą na przesyłanie danych osobowych poza EOG jest powołanie się na artykuł 46 RODO, który uwzględnia sytuację braku decyzji o włączeniu danego państwa lub organizacji międzynarodowej do grona tych, które spełniają określone standardy bezpieczeństwa. Zgodnie z tym artykułem odpowiednie bezpieczeństwo można zapewnić poprzez zastosowanie:
prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi,
wiążących reguł korporacyjnych,
standardowych klauzul ochrony danych przyjętych przez Komisję,
standardowych klauzul ochrony danych przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję,
zatwierdzonego kodeksu postępowania,
zatwierdzonego mechanizmu certyfikacji,
oraz po uzyskaniu zezwolenia od właściwego organu nadzorczego przez zastosowanie:
klauzul umownych,
postanowień uzgodnień administracyjnych między organami lub podmiotami publicznymi,
W przypadku prawnie wiążącego i egzekwowalnego instrumentu chodzi o szeroko rozumiane umowy międzynarodowe oraz uzgodnienia administracyjne, jednak w obecnie obowiązujących przepisach prawa polskiego brak jest rozwiązań, które mogłyby stanowić podstawę do zastosowania tej przesłanki.
Wiążące reguły korporacyjne odnoszą się do przyjętych przez międzynarodowe koncerny polityk, których celem jest ujednolicenie reguł w nich obowiązujących. Tego rodzaju reguły wymagają zatwierdzenia przez organ nadzorczy danego państwa. Zastosowanie ujednoliconych reguł ma przede wszystkim stanowić rozwiązanie dla podmiotów wchodzących w skład danej grupy, które funkcjonują poza EOG.
Kodeksy postępowań oraz mechanizmy certyfikacji wymagają akceptacji ze strony organu nadzorczego. Co prawda tego typu rozwiązania co do zasady bywają skrojone pod podmioty prowadzące określoną działalność, jednak w praktyce trudno zastosować to rozwiązanie ze względu na początkową fazę jego rozwoju. Przedostatnim rozwiązaniem są uzgodnienia administracyjne pomiędzy organami i podmiotami publicznymi, jednak jak sama nazwa wskazuje dotyczą jedynie podmiotów publicznych i ich zastosowanie wymaga zezwolenia organu nadzorczego.
Z praktycznego punktu widzenia najłatwiejszym rozwiązaniem będzie powołanie się na standardowe klauzule umowne, których treść została przyjęta przez Komisję Europejską. Założenie jest takie, że stosując standardowe klauzule umowne strony zobowiązują się do przestrzegania określonych zasad oraz deklarują, że spełniają standardy w nich zawarte. Treść klauzul nie podlega negocjacjom.
W roku 2020 zapadł wyrok TSUE w tzw. sprawie Schrems II. Zgodnie z nim transfer danych osobowych do USA, który oparty jest o założenia Privacy Shield, czyli mechanizmu legalizacji transferu danych osobowych do USA opartego o decyzję wykonawczą Komisji (UE) 2016/1250 z dnia 12 lipca 2016 r. przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA. Tym samym uznano, że decyzja ta nie obowiązuje. Przy okazji sędziowie TSUE przyjrzeli się standardowym klauzulom umownym. Uznano, że samo ich zaakceptowanie przez strony jest niewystarczające i wymaga podjęcia dodatkowych kroków, jeżeli zachodzi podejrzenie, że otoczenie prawne, w którym funkcjonuje strona, do której dane osobowe mają być przesyłane nie spełnia standardów ochrony danych osobowych, w szczególności w zakresie respektowania i realizacji praw osób, których dane dotyczą. Ostatecznie Komisja Europejska wydała decyzję, zgodnie z którą Stany Zjednoczone są krajem, do którego dane osobowe mogą być przesyłane bezpiecznie.
Powyższy tekst należy traktować jako swoisty wstęp do zagadnienia jakim jest transfer danych do państw spoza EOG i organizacji międzynarodowych. Niemniej już na tym etapie widać, że jest to obszar złożony i nie zawsze jednoznaczny. Nie wystarczy bowiem zastosowanie przyjętych formuł, ale należy się upewnić czy druga strona ma wolę oraz możliwości ich przestrzegania. W przeciwnym razie może okazać się, że ryzyko naruszenia praw osób i konsekwencje finansowe z tego tytułu płynące przewyższą spodziewane zyski.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. W serwisie RODOgrupa.pl piszemy o najważniejszych obowiązkach prawnych wynikających z Rozporządzenia o Ochronie Danych Osobowych.
Dodatkowe informacje: