Oprogramowanie i usługi – na co zwrócić uwagę przy przekazywaniu danych osobowych do państw trzecich?

Obecnie rozwój technologii powoduje, że administratorzy danych korzystają z wielu narzędzi technologicznych, szczególnie w zakresie dostępnego na rynku oprogramowania i usług, w zależności od własnych potrzeb. Niejednokrotnie zdarza się, że przedmiotowe usługi są oferowane przez podmioty, które mają swoją siedzibę w tzw. państwach trzecich – czyli takich, które nie wchodzą w skład Europejskiego Obszaru Gospodarczego (dalej: EOG). Dotyczy to zwłaszcza programów i usług z zakresu „nowych technologii”, które w znacznej mierze są oferowane przez podmioty amerykańskie.

Należy jednak pamiętać, że wybierając dostawcę oprogramowania i usług spoza obszaru EOG, trzeba zadbać o spełnienie wymogów RODO dotyczących transferu danych do państw trzecich.

Wymogi prawne dotyczące transferu danych do państw trzecich

Zgodnie z art. 44 RODO: przekazanie danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego lub organizacji międzynarodowej, następuje tylko, gdy administrator i podmiot przetwarzający spełnią warunki określone w przepisach RODO, w tym warunki dalszego przekazania danych z państwa trzeciego lub przez organizację międzynarodową do innego państwa trzeciego albo innej organizacji międzynarodowej. Wszystkie przepisy RODO w tym zakresie należy stosować z myślą o zapewnieniu, by nie został naruszony stopień ochrony osób fizycznych zagwarantowany w niniejszym rozporządzeniu.

Ponadto w art. 45 ust. 1 RODO wskazano, że: przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja stwierdzi, że to państwo trzecie, terytorium lub określony sektor, lub określone sektory w tym państwie trzecim, lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Takie przekazanie nie wymaga specjalnego zezwolenia. Dodatkowo w art. 46 RODO wskazano, że w razie braku decyzji na mocy art. 45 ust. 3 RODO admi­nistrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego albo organizacji międzynarodowej wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej.

Jak podkreślono w motywie 108 Preambuły RODO: „w razie braku stwierdzenia odpowiedniego stopnia ochrony danych administrator lub podmiot przetwarzający powinni zastosować środki rekompensujące brak ochrony danych w państwie trzecim, zapewniając osobie, której dane dotyczą, odpowiednie zabezpieczenia. Takie odpowiednie zabezpieczenia mogą polegać na skorzystaniu z wiążących reguł korporacyjnych, standardowych klauzul ochrony danych przyjętych przez Komisję, standardowych klauzul ochrony danych przyjętych przez organ nadzorczy lub klauzul umownych dopuszczonych przez organ nadzorczy. Zabezpieczenia te powinny zapewniać, by przestrzegane były wymogi ochrony danych oraz prawa osób, których dane dotyczą, takie same jak w przypadku przetwarzania wewnątrzunijnego, w tym zapewniać dostępność egzekwowalnych praw osoby, której dane dotyczą, i skutecznych środków ochrony prawnej – w tym prawa do skutecznych administracyjnych lub sądowych środków zaskarżenia i do żądania odszkodowania – w Unii lub w państwie trzecim”.

Mając na uwadze powyższe uregulowania, została wydana Decyzja Wykonawcza Komisji (UE) 2021/914 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679. Przedmiotowa decyzja Komisji zawiera standardowe klauzule umowne, które stanowią odpowiednie zabezpieczenia w rozumieniu art. 46 RODO, które umożliwiają przekazywanie danych poza Europejski Obszar Gospodarczy.

 

WAŻNE!

W praktyce zatem, korzystając z oprogramowania lub usług, których dosta...

Dalsza część jest dostępna dla użytkowników z wykupionym planem