LexDigital

Transfer danych poza EOG

Każde przekazanie danych osobowych jest pilnowane przez Administratora. Sprawdza on wszystkie szczegóły transferu, zgodność przekazywania danych z regułami oraz dokładnie weryfikuje procesy przetwarzania danych osobowych. A co w przypadku przekazywania danych osobowych poza tereny Europejskiego obszaru gospodarczego? Są na to odrębne regulacje. Przyjrzyjmy się lepiej sprawie standardowych klauzul umownych dotyczących transferu danych do państw trzecich.

Transfer danych poza EOG

Prowadzenie jakiejkolwiek działalności wiąże się ze wzajemnym przekazywaniem wszelkiego rodzaju informacji, w tym danych osobowych. W obszarze ochrony danych osobowych oznacza to, że administratorzy danych osobowych oraz podmioty przetwarzające powinni każdorazowo dokładnie weryfikować procesy przetwarzania danych osobowych i sprawdzać, czy dochodzi w ich ramach do transferu danych osobowych poza EOG.

Dlaczego należy monitorować to, czy dane osobowe są transferowane poza obszar Europejski Obszar Gospodarczy?

Fakt przekazania danych osobowych poza obszar EOG w żadnym wypadku nie oznacza, że dane osobowe tracą swój walor lub ochronę, którą są objęte na terenie Unii Europejskiej. Natomiast wzrasta ryzyko niezgodnego z prawem wykorzystania lub ujawnienia tych informacji. Co ważne, organy nadzorcze często nie rozpatrują oraz nie przeprowadzają postępowań w sprawie działalności, która ma miejsce w państwie trzecim.

Unia Europejska dostrzega, że przepływ danych osobowych do państw spoza europejskiego obszaru gospodarczego jest warunkiem koniecznym rozwoju handlu i współpracy międzynarodowej. Jednak w tym samym czasie, wyraźnie ona zaznacza, że przekazując dane osobowe z Unii Europejskiej administratorom, podmiotom przetwarzającym lub innym odbiorcom w państwach trzecich, lub organizacjom międzynarodowym, nie należy obniżać stopnia ochrony osób fizycznych zapewnianego w Unii poprzez ogólne rozporządzenie o ochronie danych.

Powyższe motywy znajdują wprost odzwierciedlenie w przepisach RODO. Każdy administrator danych osobowych przetwarzający dane osobowe w związku z działalnością prowadzoną na terenie UE powinien przestrzegać przepisów ogólnego rozporządzenia o ochronie danych osobowych, w tym w szczególności tych przepisów, które dotyczą przekazywania danych do państwa trzeciego lub organizacji międzynarodowej. Te zaś kreują po stronie administratorów oraz podmiotów przetwarzających wyraźny obowiązek zapewnienia ochrony danych osobowych na takim samym poziomie, który jest gwarantowany przez RODO.

unia europejska, ue, świat

Czym jest transfer danych osobowych?

Wiedząc, że dane transferowane poza obszar EOG powinny podlegać ochronie na tym samym poziomie co gwarantowany przez RODO, należy sobie odpowiedzieć na pytanie, czym właściwie jest transfer danych osobowych?

Ogólne rozporządzenie o ochronie danych nie definiuje wprost pojęć „transferu” lub „przekazywania” danych osobowych, niemniej jednak powszechnie uznaje się, że przekazywanie, czy też transfer danych jest jedną z form przetwarzania danych osobowych. Przekazywanie jest zatem, podobnie jak np. zbieranie, utrwalanie, przechowywanie lub modyfikowanie, jedną z czynności (operacji), które można wykonywać na danych osobowych tym, że jest to czynność, z którą wiąże się element transgraniczny.

web, network, globe

W kontekście dynamicznego rozwoju środków komunikacji elektronicznej wskazuje się, że aktualnie transfer danych osobowych należy rozumieć szeroko i zasadniczo może on obejmować:

  1. fizyczny proces przekazywania danych do państwa z obszaru poza EOG lub
  2. udostępnienie danych odbiorcom w państwie trzecim także wtedy, gdy na terytorium tego państwa nie będzie dochodziło do fizycznego przekazywania danych (tak m.in. D. Karwala, Komercyjne transfery danych osobowych, s. 72–73; P. Litwiński, Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz., s.)

Transfer danych osobowych do państw trzecich może zachodzić w bardzo wielu, czasem pozornie oczywistych, sytuacjach takich, jak przekazanie danych osobowych pracowników do państwa trzecich lub korzystanie ze świadczeń dostawców usług chmurowych.

letter, e-mail, mail

Sposoby legalizacji przekazywania danych osobowych poza EOG

Transfer danych poza EOG zgodnie z ogólnym rozporządzeniem o ochronie danych jest możliwy przy zastosowaniu jednego z trzech mechanizmów, a mianowicie:

  1. przy uwzględnieniu decyzji Komisji Europejskiej, wydanej na podstawie art. 45 ust. 3 RODO, stwierdzającej odpowiedni poziom zabezpieczenia danych osobowych przez państwo trzecie;
  2. poprzez zastosowanie odpowiednich zabezpieczeń ochrony danych osobowych, uregulowanych w art. 46-47 RODO (w przypadku braku werdyktu, stwierdzającego odpowiedni stopień zabezpieczenia danych osobowych);
  3. w szczególnych przypadkach uregulowanych w art. 49 RODO (w przypadku braku opinii KE, stwierdzającej odpowiedni poziom ochrony danych osobowych lub braku odpowiednich zabezpieczeń określonych w art. 46-47 RODO).
    computer data, data, przepływ danych

Warto zwrócić uwagę, że zastosowanie ww. mechanizmów nie jest dowolne. Przepisy RODO jednoznacznie hierarchizują i uzależniają od siebie sposoby legalizacji przekazywania danych osobowych poza EOG, dając prym decyzjom Komisji Europejskiej wydanym na podstawie art. 45 ust. 3 RODO.

Decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony danych osobowych przez państwo trzecie

Decyzja Komisji Europejskiej jest hierarchicznie najwyżej usytuowanym narzędziem umożliwiającym przekazywanie danych osobowych do państw trzecich. Jest to zarazem narzędzie, które należy sprawdzić jako pierwsze w przypadku zamiaru przekazywania danych poza EOG. Dopiero w przypadku braku odpowiedniego werdyktu można zastosować inny, drugi w kolejności mechanizm.

Badając, czy dane państwo trzecie zapewnia należyty poziom zabezpieczenia danych osobowych, Komisja Europejska w szczególności ocenia takie elementy, jak:

  • praworządność, poszanowanie praw człowieka i podstawowych wolności, odpowiednie ustawodawstwo — zarówno ogólne, jak i sektorowe — w tym w dziedzinie bezpieczeństwa publicznego, obrony, bezpieczeństwa narodowego i prawa karnego oraz dostępu organów publicznych do danych osobowych;
  • istnienie i skuteczne działanie co najmniej jednego niezależnego organu nadzorczego, mającego obowiązek zapewniać i egzekwować przestrzeganie przepisów o ochronie danych;
  • międzynarodowe zobowiązania, zaciągnięte przez dane państwo trzecie, lub inne obowiązki wynikające z prawnie wiążących konwencji, lub instrumentów oraz z udziału w systemach wielostronnych lub regionalnych, w szczególności w dziedzinie ochrony danych osobowych.
    binary, binary system, data

Decyzja Komisji Europejskiej teoretycznie jest najlepszą gwarancją bezpiecznego transferu danych osobowych do państwa trzeciego. Komisja posiada bowiem szereg możliwości, aby zweryfikować, czy państwo trzecie faktycznie zapewnia odpowiedni poziom zabezpieczenia danych osobowych.

Obecnie na podstawie art. 45 ust. 3 Komisja Europejska stwierdziła odpowiedni stopień zabezpieczenia danych osobowych w takich państwach jak Republika Korei, Zjednoczone Królestwo czy Japonia.

Warto jednocześnie odnotować, że jeszcze przed wejściem w życie RODO, podobny mechanizm potwierdzania odpowiedniego stopnia ochrony danych osobowych funkcjonował w oparciu o przepisy Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. U. UE. L. z 1995 r. Nr 281, str. 31 z późn. zm.).

dane, dane osobowe, przetwarzanie danych osobowych

Niektóre z decyzji Komisji Europejskiej stwierdzające odpowiedni stopień zabezpieczeń na podstawie ww. dyrektywy nadal obowiązują i umożliwiają legalizację transferu danych osobowych do państw trzecich, w tym m.in. do Argentyny, Nowej Zelandii, Szwajcarii czy Izraela. Przedmiotowe decyzje pozostają w mocy, a to z tego względu, że do tej pory nie zostały zmienione, uchylone lub zastąpione.

Odpowiednie zabezpieczenia ochrony danych osobowych

W przypadku braku decyzji Komisji Europejskiej, transfer danych osobowych do państwa trzeciego zgodnie z artykułem 46 ust. 1 RODO jest możliwy wyłącznie w sytuacji, gdy administrator lub podmiot przetwarzający zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej.

Odpowiednimi zabezpieczeniami, o których mowa powyżej mogą być:

  • prawnie wiążące i egzekwowalne instrumenty między organami lub podmiotami publicznymi;
  • wiążące reguły korporacyjne;
  • standardowe klauzule umowne ochrony danych przyjęte przez Komisję Europejską;
  • standardowe klauzule umowne ochrony danych przyjęte przez organ nadzorczy i zatwierdzone przez Komisję Europejską;
  • zatwierdzony kodeks postępowania zgodnie z art. 40 RODO wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą;
  • zatwierdzony mechanizm certyfikacji zgodnie z art. 42 RODO wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.

Warto zauważyć, że odpowiednie zabezpieczenia, o których mowa w art. 46 RODO, a w szczególności nowe standardowe klauzule umowne są aktualnie kluczowym narzędziem przekazywania danych osobowych, a to z uwagi na stosunkowo niewielką liczbę decyzji Komisji Europejskiej stwierdzających odpowiedni stopień zabezpieczeń.

network, web, sieć

Niewielka ilość decyzji Komisji Europejskiej, stwierdzających odpowiednie gwarancje w państwach trzecich powoduje niemałe trudności w przekazywaniu danych, zwłaszcza do takich krajów jak USA czy kraje Ameryki Południowej.

Należy bowiem mieć na uwadze, że art. 46 RODO wskazuje dwa warunki legalnego transferu danych. Pierwszym warunkiem jest zastosowanie jednego z ww. zabezpieczeń, natomiast drugim jest stwierdzenie egzekwowalnych praw osób, których dane dotyczą oraz skutecznych środków ochrony prawnej. Drugi warunek, jak nietrudno sobie wyobrazić, może sprawiać niemałe trudności.

Zalecenia EROD dotyczące środków uzupełniających — 6 kroków prawidłowego transferu danych

Jak wskazano powyżej, mechanizm przewidziany w art. 46 RODO, a w jego ramach w szczególności standardowe klauzule umowne, jest aktualnie najczęściej stosowanym. Jednocześnie przysparza najwięcej praktycznych problemów, które przynajmniej częściowo rozwiązują zalecenia 01/2020 Europejskiej Rady Ochrony Danych, dotyczące środków uzupełniających narzędzia przekazywania, w celu zapewnienia zgodności z unijnym stopniem ochrony danych osobowych (wersja 2.0 przyjęta 18 czerwca 2021 r.)

Zalecenia EROD sprowadzają się do sześciu kroków, których wykonanie ma pomóc w ocenie tego, czy transfer danych do Państw trzecich będzie zgody z RODO.

Pierwszy krok to rozpoznanie przeprowadzanych operacji przekazywania. Innymi słowy administrator lub podmiot przetwarzający powinni dokładnie zidentyfikować, gdzie trafiają dane osobowe. Ponadto, w ramach tego kroku konieczne jest sprawdzenie, czy dane, jakie zostaną przekazane, są adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, w których są one przetwarzane.

matrix, code, data

Drugi krok polega na sprawdzeniu, czy wykorzystywane narzędzie jest wymienione w rozdziale V ogólnego rozporządzenia o ochronie danych. Jeśli Komisja Europejska w drodze postanowienia, stwierdzającego odpowiedni stopień ochrony, wydanego na podstawie art. 45 RODO lub poprzednio obowiązującej dyrektywy 95/46 stwierdziła, że dane państwo, region lub sektor, do którego dane są przekazywane, zapewnia odpowiedni stopień ochrony, to do momentu, aż decyzja taka przestanie obowiązywać, nie trzeba będzie podejmować żadnych dalszych działań poza monitorowaniem, czy taka decyzja stwierdzająca odpowiedni stopień ochrony pozostaje ważna.

W przypadku braku decyzji stwierdzającej odpowiedni stopień ochrony, konieczne będzie skorzystanie z jednego z narzędzi przekazywania wymienionych w art. 46 ogólnego rozporządzenia o ochronie danych.

EROD podkreśla przy tym, że tylko w niektórych przypadkach można skorzystać z jednego z wyjątków przewidzianych w art. 49 RODO.

Trzecim krokiem jest ocena, czy istnieją jakiekolwiek przepisy lub praktyki obowiązujące w państwie trzecim, które mogą mieć wpływ na skuteczność odpowiednich zabezpieczeń w kontekście konkretnego przekazania.

Czwartym krokiem jest określenie i przyjęcie środków uzupełniających, jakie są konieczne, żeby stopień ochrony przekazywanych danych był merytorycznie równoważny temu gwarantowanemu na podstawie norm unijnych.

W załączniku nr 2 do swoich zaleceń EROD wskazuje przykładowe środki uzupełniające, dzieląc je na: środki techniczne, dodatkowe środki umowne oraz środki organizacyjne. EROD zastrzega przy jednocześnie, że ocena i dobór środków uzupełniających każdorazowo należy do administratora lub podmiotu przetwarzającego. EROD wskazuje bowiem, że środki uzupełniające nie mają charakteru uniwersalnego, a co za tym idzie, nie każdy środek będzie odpowiedni do każdego transferu.

digitalization, eog, europejski obszar gospodarczy

Środkami uzupełniającymi przykładowo są:

  • operacje szyfrowania zapewniajace m.in. że dane osobowe są przetwarzane za pomocą silnego szyfrowania przed przekazaniem, a tożsamość podmiotu odbierającego dane jest weryfikowana, a także, że algorytm szyfrowania i jego parametryzacja (np. długość klucza) są zgodne z aktualnym stanem wiedzy i można je uznać za zaawansowaną ochronę przed analizą kryptograficzną przeprowadzaną przez organy publiczne w państwie otrzymującym, uwzględniając dostępne tym organom zasoby i środki techniczne (np. moc obliczeniową na potrzeby ataków brute-force) ;
  • pseudonimizacja danych;
  • szyfrowanie transmisji, w razie konieczności w połączeniu z szyfrowaniem na całej drodze przesyłu danych;
  • przetwarzanie dzielone, tj. polegające na przetwarzaniu danych osobowych w taki sposób, że dzieli się je na dwie lub więcej części, które nie mogą zostać zinterpretowane lub przypisane do konkretnej osoby, której dane dotyczą, bez wykorzystania dodatkowych informacji;
  • nałożenie obowiązku umownego do stosowania określonych środków technicznych;
  • przyjęcie surowych i szczegółowych polityk i najlepszych praktyk w zakresie dostępu do danych i poufności, opartych na ścisłej zasadzie ograniczonego dostępu, monitorowanych za pomocą regularnych audytów i egzekwowanych za pomocą środków dyscyplinarnych.

Piątym krokiem jest podjęcie wszelkich formalnych kroków proceduralnych, jakich wymagać może przyjęcie środka uzupełniającego w zależności od wykorzystywanego narzędzia przekazywania z art. 46 ogólnego rozporządzenia o ochronie danych.

Szóstym krokiem jest dokonywanie – w odpowiednich odstępach czasu – ponownej oceny stopnia ochrony danych przekazywanych do państw trzecich i monitorowanie, czy wystąpiły lub wystąpią jakiekolwiek zmiany w tym zakresie.

transfer danych, RODO, GDPR

Zalecenia EROD wskazują również w załączniku nr 3 możliwe źródła informacji na potrzeby oceny przepisów i praktyk państwa trzeciego (takim źródłami są np. Orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej i Europejskiego Trybunału Praw Człowieka, a także rezolucje i sprawozdania organizacji międzyrządowych, np. Rady Europy oraz organów i agencji ONZ).

Przypadki szczególne

W drodze wyjątku, wyłącznie wówczas, gdy nie ma decyzji stwierdzającej odpowiedni stopień ochrony, jak również nie ma odpowiednich zabezpieczeń określonych w art. 46 RODO, transfer danych osobowych poza EOG jest możliwe przykładowo w sytuacji, gdy:

  • osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którymi — ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń — może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę;
  • przekazywanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem;
  • przekazywanie danych osobowych jest niezbędne ze względu na ważne względy interesu publicznego;
  • przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą.

Autorem artykułu jest radca prawny: Jakub Pawłowski.

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk