Dane osobowe po nowemu (11), czyli o przesyłaniu danych osobowych za granicę

Warunki transferu danych osobowych za granicę są zróżnicowane w zależności od tego, do jakiego kraju administrator planuje przekazać dane. Co do zasady, przesyłanie danych poza Unię Europejską będzie możliwie, jeżeli dany kraj zapewnia odpowiedni poziom ochrony danych.

Transfer danych osobowych w ramach Unii Europejskiej

W przypadku udostępnienia danych w ramach UE, RODO przewiduje ich swobodny przepływ - oczywiście przy zastrzeżeniu spełnienia przez administratora wymogów, o których pisaliśmy w  doczasowych artykułach z cyklu „Dane osobowe po nowemu”. W szczególności w takim wypadku administrator powinien:

• dysponować podstawą upoważniającą go do przesłania danych do innego podmiotu (np. zgodą osoby, której dane planuje udostępnić zagranicę);
• dopełnić względem właściciela danych osobowych obowiązków informacyjnych, o których szeroko pisaliśmy w poprzednich artykułach;
• a także wdrożyć odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa przesyłanych danych, np. przesyłać dane osobowe w postaci zaszyfrowanych plików.

Innymi słowy, w przypadku transferu danych osobowych pomiędzy podmiotami mającymi swoje siedziby w państwach UE (np. pomiędzy spółką polską a spółką niemiecką), transfer powinien odbywać się na takich samych warunkach, jak w przypadku przesyłania danych pomiędzy dwiema spółkami mającymi siedzibę na terytorium Polski.

Transfer danych osobowych poza Unię Europejską

Podobne działania będą musiały zostać podjęte przez administratora w przypadku transferu danych osobowych poza terytorium Unii. Jednakże RODO wprowadza dodatkowe obostrzenia, którym administrator  musi uczynić zadość, by uznać transfer danych za bezpieczny i legalny.

Przekazanie danych osobowych do państwa trzeciego będzie możliwe, gdy państwo, do którego dane mają zostać wysłane zapewnia adekwatny poziom ochrony danych osobowych. Jest on oceniany z uwzględnieniem wszystkich okoliczności dotyczących operacji przekazania danych, a także stosowanych w tym państwie środków bezpieczeństwa. Co istotne, ocena tych kwestii nie została pozostawiona swobodnej decyzji administratora. O tym, czy dane państwo zapewnia odpowiedni poziom bezpieczeństwa danych obywateli UE decyduje bowiem Komisja Europejska wydając stosowne decyzje (tzw. decyzje ws. adekwatności). Przykładowo, krajami zapewniającymi adekwatny poziom bezpieczeństwa danych są Argentyna, Szwajcaria, Nowa Zelandia, czy Wyspy Owcze, a nie jest Japonia.

Co jednak w sytuacji, gdy w odniesieniu do kraju, w którym siedzibę ma podmiot, któremu polski administrator danych chce udostępnić dane, nie została wydana decyzja w przedmiocie adekwatności? Wówczas administrator będzie mógł przesłać dane osobowe poza Unię, jeżeli zapewni odpowiedni poziom ich zabezpieczenia. W tym celu ma możliwość wyboru jednego z kilku alternatywnych rozwiązań, w tym m.in.:

• Wdrożenia wiążących reguł korporacyjnych, czyli polityki ochrony danych osobowych stosowanej przez administratora posiadającego jednostkę organizacyjną na terytorium państwa członkowskiego i administratora mającego siedzibę w trzecim, którzy wspólnie tworzą grupę przedsiębiorców prowadzących wspólną działalność gospodarczą. Wiążące reguły korporacyjne muszą zostać zatwierdzone przez właściwy organ nadzorczy;
• Wprowadzenia do umowy, na podstawie której następuje przekazanie danych osobowych standardowych klauzul ochrony danych przyjętych przez Komisję lub przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję;
• Poddania się procedurze certyfikacji, w ramach której następuje weryfikacja poziomu ochrony danych osobowychu administratora. W przypadku pomyślnego przejścia procedury certyfikacji, administratorowi zostaje nadany znak jakości potwierdzający zgodność operacji przetwarzania prowadzonych przez administratora z postanowieniami RODO.

Szczególne sytuacje wysyłania danych osobowych poza UE

W RODO zostały również wymienione sytuacje, w których administrator będzie uprawniony do wysłania danych osobowych do kraju trzeciego nawet, gdy nie zostały spełnione warunki opisane powyżej. I tak będzie on mógł udostępnić dane np. do spółki z siedzibą w Japonii (tj. do kraju niezapewniającego odpowiedniego stopnia ochrony danych osobowych), nawet pomimo niewdrożenia określonych w RODO zabezpieczeń, gdy m.in.:

1. Osoba, której dane dotyczą, została poinformowana o ewentualnym ryzyku, z którym ze względu na brak decyzji ws. adekwatności oraz na brak odpowiednich zabezpieczeń może się dla niej wiązać transfer i wyraźnie wyraziła na nie zgodę;
2. Jest to niezbędne do wykonania umowy między osobą, której dane dotyczą a administratorem;
3. Jest to niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, której dane dotyczą;
4. Jest to niezbędne ze względu na waży interes publiczny lub do ustalenia, dochodzenia lub ochrony roszczeń;
5. Jest to niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody.

Photo by Ozan Uzel