RODO: Przekazywanie danych osobowych do państw trzecich

Rozporządzenie Ogólne o Ochronie Danych Osobowych (dalej jako: „RODO” lub „Rozporządzenie”) zacznie obowiązywać od 25 maja 2018 roku. Akt normatywny, co do zasady, obowiązuje na terytorium Europejskiego Obszaru Gospodarczego. Odpowiednią ochroną muszą zostać jednak objęte dane osobowe przekazywane z obszaru Wspólnoty do państw trzecich oraz organizacji międzynarodowych. Rozwiązanie takie ma zapewnić standaryzacje bezpieczeństwa informacji o osobach fizycznych. Celem realizacji powyższych postulatów wprowadzono szereg warunków dopuszczalności przekazywania danych osobowych do państw poza EOG.  

Zakres przekazywania danych

Istotna z punktu widzenia prawnego jest szerokość spektrum pojęcia transferu danych. RODO nie określa zamkniętego katalogu czynności wchodzących w skład powyższej definicji. Oznacza to, że zgodnie z ratio legis Rozporządzenia przyjąć należy możliwie obszerny zakres ochrony. Wynika z tego, że za transfer danych uznać można nawet przekazanie konkretnych informacji w rozmowie telefonicznej lub korespondencji e-mail. Regulacja taka wymusza na korporacjach transgranicznych, działających częściowo w ramach Europejskiego Obszaru Gospodarczego, przyjęcie wymogów RODO również wobec jednostek organizacyjnych znajdujących się poza tym obszarem.  

---

 

WARTO WIEDZIEĆ

Przekazywanie danych osobowych do państwa trzeciego podlega ochronie nawet jeżeli dokonywane jest w formie wiadomości e-mail.  

---

 

Decyzja stwierdzająca odpowiedni stopień ochrony

Komisja Europejska uprawniona jest do wydawania decyzji stwierdzających, że dane państwo trzecie lub organizacja międzynarodowa zapewniają odpowiedni poziom ochrony danych osobowych. Organy unijne mogą stwierdzić, że decyzja może dotyczyć tylko określonych sektorów. Wydanie pozytywnej oceny, co do ochrony danych danemu państwu trzeciemu lub organizacji międzynarodowej przez Komisję uchyla obowiązek uzyskania odpowiedniego zezwolenia przed rozpoczęciem transferu danych.  

---

 

WARTO WIEDZIEĆ

Na podstawie decyzji wydawanych przez Komisję Europejską powstanie katalog państw i organizacji międzynarodowych spoza obszaru EOG, które zapewniają odpowiedni stopień ochrony danych. Przetwarzanie danych osobowych do takich podmiotów nie będzie wymagało odrębnego zezwolenia.  

---

 

Wymogi dla transferu danych do państwa trzeciego

W razie braku decyzji, o której mowa w powyższym akapicie administrator danych, chcący przekazywać dane do państwa spoza EOG, musi spełnić określone w Rozporządzeniu wymogi. Sposobem nie wymagającym uzyskania specjalnego zezwolenia jest zapewnienie odpowiedniego poziomu zabezpieczenia danych. RODO specyfikuje katalog czynności, które pozwalają stwierdzić, że transfer danych odpowiada wymogom normatywnym. Powyższe jest możliwe do osiągnięcia poprzez zastosowanie: prawnie wiążącego i egzekwowalnego instrumentu, ustalonego między publicznymi organami nadzoru, wiążących reguł korporacyjnych, standardowych klauzul ochrony danych osobowych zatwierdzonych przez uprawnione instytucje, zatwierdzonego kodeksu postępowania lub mechanizmu certyfikacji. Odpowiednie klauzule umowne oraz stosowanie mechanizmów spójności przez organy nadzorcze  mogą ułatwić uzyskanie rezultatu jakim jest odpowiedni poziom zabezpieczenia przy transferze danych.  

Wiążące reguły korporacyjne

Podmioty podejmujące wspólną działalność gospodarczą lub powiązane w ramach jednej grupy kapitałowej mogą skorzystać z wiążących reguł korporacyjnych. W ich zakresie muszą zmieścić się wszelkie prawa, ograniczenia oraz zasady bezpieczeństwa ochrony danych osobowych, jakie przewiduje Rozporządzenie. Niezwykle istotne jest, żeby reguły te odnosiły się do wszystkich członków powiązanej grupy. Poziom zabezpieczeń przewidziany przez niniejsze regulacje nie może być w żadnym stopniu mniejszy niż ten, uregulowany w przepisach RODO. Stosowane mechanizmy powinny być weryfikowane przez odpowiednie organy nadzorcze lub wyznaczonego dla grupy inspektora ochrony danych. Warto podkreślić, że pomimo istniejących restrykcji wiążące reguły korporacyjne mogą ułatwić życie podmiotom prowadzącym działalność transgraniczną. Należy podkreślić, że po raz pierwszy wiążące reguły korporacyjne mogą dotyczyć nie tylko grup spółek, ale też przedsiębiorców, którzy współpracują w ramach wykonywanej przez siebie działalności gospodarczej  

Podsumowując

Niniejsza publikacja ze względu na ograniczony treściowo charakter nie jest w stanie wyczerpująco opisać omawianej materii. Niemniej, istotne dla przedsiębiorców prowadzących działalność gospodarczą wykraczającą poza granice Europejskiego Obszaru Gospodarczego jest zapewnienie wysokiego stopnia ochrony danych i spełnienie wszelkich przewidzianych Rozporządzeniem wymogów. Pamiętać należy o sankcjach finansowych, które mogą wynieść nawet do 20 000 000 EUR lub do 4% wysokości całego światowego obrotu danej spółki.  

Podstawa:

1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).