Jakie środki zabezpieczeń stosować przy transferze danych osobowych do państw trzecich?

Współpraca z podmiotami z tzw. państw trzecich wymaga wdrożenia wielu obowiązków przewidzianych w przepisach RODO. Analizując wymogi dotyczące zabezpieczeń przy transferze danych osobowych do państw trzecich, należy w pierwszej kolejności zdefiniować, czym są państwa trzecie. Przyjmuje się, że państwo trzecie to każde, które nie wchodzi w skład Europejskiego Obszaru Gospodarczego (dalej: EOG). W skład EOG wchodzą wszystkie państwa Unii Europejskiej (dalej: UE) oraz Islandia, Liechtenstein i Norwegia. Wszystkie pozostałe kraje są traktowane jako państwa trzecie. W tej sytuacji każdy transfer danych do państwa spoza EOG wymaga zastosowania zabezpieczeń przewidzianych w przepisach RODO.

Przekazywanie danych z zastrzeżeniem odpowiednich zabezpieczeń

Transfer danych osobowych do państw trzecich reguluje przede wszystkim art. 45 ust. 1 RODO, zgodnie z którym: przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja stwierdzi, że to państwo trzecie, terytorium lub okreś­lony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Takie przekazanie nie wymaga specjalnego zezwolenia.

Zastosowanie „odpowiednich zabezpieczeń” zostało doprecyzowane w ust. 2 tego artykułu, zgodnie z którym oceniając, czy stopień ochrony jest odpowiedni, Komisja uwzględnia zwłaszcza następujące elementy:

a) praworządność, poszanowanie praw człowieka i podstawowych wolności, odpowiednie ustawodawstwo – zarówno ogólne, jak i sektorowe – w tym w dziedzinie bezpieczeństwa publicznego, obrony, bezpieczeństwa narodowego i prawa karnego oraz dostępu organów publicznych do danych osobowych, a także wdrażanie takiego ustawodawstwa, zasady ochrony danych osobowych, zasady dotyczące wykonywania zawodu, środki bezpieczeństwa, w tym zasady dalszego przekazywania danych osobowych do kolejnego państwa trzeciego lub innej organizacji międzynarodowej, których przestrzega się w tym państwie lub w organizacji międzynarodowej, orzecznictwo, a także istnienie skutecznych i egzekwowalnych praw osób, których dane dotyczą, oraz prawa osób, których dane dotyczą, których dane osobowe są przekazywane, do skutecznych administracyjnych i sądowych środków zaskarżenia;

b) istnienie i skuteczne działanie co najmniej jednego niezależnego organu nadzorczego w państwie trzecim lub w stosunku do organizacji międzynarodowej, mającego obowiązek zapewniać i egzekwować przestrzeganie przepisów o ochronie danych – w tym posiadające odpowiednie uprawnienia do egzekwowania przestrzegania przepisów – pomagać i doradzać osobom, których dane dotyczą, w toku wykonywania przysługujących im praw, a także współpracować z organami nadzorczymi państw członkowskich; oraz

c) międzynarodowe zobowiązania zaciągnięte przez dane państwo trzecie lub daną organizację międzynarodową albo inne obowiązki wynikające z prawnie wiążących konwencji bądź instrumentów oraz z udziału w systemach wielostronnych lub regionalnych, szczególnie w dziedzinie ochrony danych osobowych.

Jak wynika z powołanych wyżej przepisów, wymogi dotyczące standardów ochrony danych osobowych w państwie trzecim, które pozwalają na wydanie decyzji przez Komisję w zakresie możliwości przekazania danych osobowych do takiego kraju, bez konieczności spełniania dodatkowych zaostrzeń oraz stosowania środków zabezpieczających, są bardzo wysokie. W praktyce oznacza to, że nie ma zbyt wielu państw poza EOG, które spełniałyby tego rodzaju standardy. Oczywiście państwa z wysokim poziomem rozwoju technologicznego zazwyczaj nie będą miały większych problemów z dostosowaniem się do tych standardów. Jednak niejednokrotnie dochodzi przecież do transferów danych do krajów o bardziej libe­ralnym prawodawstwie dotyczącym ochrony danych osobowych. W takich sytuacjach konieczne jest stosowanie przy transferze standardów, o których mowa poniżej.

W ustępie 3 art. 45 RODO wskazano także, że po dokonaniu oceny, czy stopień ochrony jest odpowiedni, Komisja może w akcie wykonawczym przyjąć decyzję stwierdzającą, że państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. W akcie wykonawczym przewiduje się mechanizm okresowego przeglądu – przynajmniej raz na cztery lata – podczas którego uwzględnia się wszelkie mające znaczenie zmiany w państwie trzecim lub organizacji międzynarodowej. W akcie wykonawczym zostaje okreś­lony terytorialny i sektorowy zakres jego zastosowania, a gdy ma to zastosowanie, wskazany zostaje organ nadzorczy lub organy nadzorcze. Akt wykonawczy zostaje przyjęty zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2 RODO.

W praktyce jednak często nie dochodzi do wydania przez Komisję decyzji dotyczącej możliwości transferu danych do określonego państwa trzeciego. W sytuacji zatem, gdy administrator planuje przekazanie danych do kraju nieobjętego decyzją Komisji, konieczne jest zastosowanie przez niego odpowiednich środków zabezpieczających, które pozwolą mu na transfer danych zgodnie z wymogami RODO.

Dokonanie przekazania danych z zastrzeżeniem odpowiednich zabezpieczeń reguluje art. 46 RODO. Zgodnie z ust. 1 tego artykułu w razie braku decyzji na mocy art. 45 ust. 3 administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej.

Jak wskazano w ust. 2 tego artykułu, odpowiednie zabezpieczenia, o których mowa w ust. 1, można zapewnić – bez konieczności uzyskania specjalnego zezwolenia ze strony organu nadzorczego – za pomocą:

  • prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi;
  • wiążących reguł korporacyjnych zgodnie z art. 47 RODO;
  • standardowych klauzul ochrony danych przyjętych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2 RODO;
  • standardowych klauzul ochrony danych przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2 RODO;
  • zatwierdzonego kodeksu postępowania zgodnie z art. 40 RODO wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą; lub
  • zatwierdzonego mechanizmu certyfikacji zgodnie z art. 42 RODO wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.

Jak wskazano w ust. 3 art. 46: pod warunkiem uzyskania zezwolenia właściwego organu nadzorczego odpowiednie zabezpieczenia, o których mowa powyżej, można także zapewnić szczególnie za pomocą:

  • klauzul umownych między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej; lub
  • postanowień uzgodnień administracyjnych między organami lub podmiotami publicznymi, w których przewidziane będą egzekwowalne i skuteczne prawa osób, których dane dotyczą.

 

WAŻNE!

W praktyce jednak w takich sytuacjach najczęściej stosuje się standardowe klauzule ochrony danych przyjęte przez Komisję Europejską. Ich zastosowanie spro­wadza się do podpisania z kontrahentem umowy opierającej się na zapisach...

Dalsza część jest dostępna dla użytkowników z wykupionym planem