Transfer danych pracowniczych do państw trzecich w kontekście RODO

W codziennej praktyce wielu administratorów danych nie zwraca uwagi na fakt, że wykorzystywane przez nich narzędzia, np. chmury do gromadzenia danych czy programy do przesyłania danych, mogą prowadzić do transferu danych, także pracowniczych, do tzw. państw trzecich. Taki transfer danych nie jest zabroniony, ale wymaga spełnienia szeregu dodatkowych warunków, szczegółowo uregulowanych przepisami RODO.

Czy odbiorca danych osobowych znajduje się w państwie trzecim?

Czym w ogóle są „państwa trzecie”? Przyjmuje się, że państwo trzecie to każde państwo, które nie wchodzi w skład Europejskiego Obszaru Gospodarczego (dalej: EOG). W skład EOG wchodzą wszystkie państwa Unii Europejskiej (dalej: UE) oraz Islandia, Liechtenstein i Norwegia. Wszystkie pozostałe są traktowane jako „państwa trzecie”.

Dodatkowo należy pamiętać, że istnieje grupa państw, które co do zasady należy kwalifikować jako państwa trzecie, jednakże są to kraje, wobec których Komisja Euro­pejska uznała, że dają odpowiedni stopień ochrony danych zgodnie z art. 45 ust. 1 RODO. Przepis ten stanowi, że przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja Europejska stwierdzi, że to państwo, terytorium lub określony sektor/sektory, lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Takie przekazanie nie wymaga specjalnego zezwolenia.

W zakresie przekazywania danych pracowniczych do państw trzecich, PUODO w artykule zamieszczonym w newsletterze (wyd. 9, wrzesień 2020), pt.: „EIOD radzi, jak zapewnić bezpieczeństwo danych podczas pracy zdalnej/telepracy”, wskazał, że administrator danych, który współpracuje z zewnętrznym dostawcą, powinien sprawdzić, czy podmiot ten ma jednostkę organizacyjną w UE/EOG oraz czy usługi oferowane przez ten podmiot wiążą się z przekazywaniem danych osobowych poza UE/EOG. W tym miejscu PUODO wskazał, że należy też sprawdzić, czy to przekazywanie nie wiąże się z celami takimi jak np. tworzenie kopii zapasowych. Jeżeli tak jest, istotna będzie weryfikacja, czy dostawca usług wdrożył odpowiednie zabezpieczenia. Jeśli dostawca zewnętrzny nie ma jednostki organizacyjnej w UE/EOG i nie podlega decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony z art. 45 RODO, należy uzyskać odpowiednie zabezpieczenia zgodnie z art. 48 RODO.1

W zakresie transferu danych przepisy RODO nie rozróżniają szczegółowo wymogów transferu danych pracowniczych, a innych danych osobowych. Istotne jest jedynie, do jakiego obszaru/kraju transferowane są dane i jakie wymogi w związku z tym mają być spełnione. Jeśli transferowane są dane dotyczące pracowników, to zawsze warto zwrócić szczególną uwagę, czy taki transfer jest niezbędny do realizacji celów, czy też można z niego zrezygnować i w ten sposób minimalizować ryzyko związane z przekazywaniem danych osobowych pracowników poza EOG.

Wskazówka

Administrator danych, który stwierdzi, że w jego orga­nizacji dane osobowe są przekazywane poza teren EOG, powinien przede wszystkim ustalić, czy odbiorca, do którego transferuje dane, ma siedzibę w państwie, wobec którego Komisja Europejska wydała decyzję w trybie art. 45 ust. 3 RODO. Jeśli tak, należy sprawdzić w przedmiotowej decyzji warunki, na jakich transfer danych osobowych do tych państw może się odbywać.

Jeżeli jednak dane przekazywane są do państwa, wobec którego decyzja Komisji Europejskiej nie została wydana, to wtedy administrator danych musi spełnić warunki określone w art. 46 i 47 RODO, a w wyjątkowych przypadkach także warunki wskazane w art. 49 RODO.


Przekazywanie danych osobowych z zastrzeżeniem odpowiednich zabezpieczeń

W tych sytuacjach, w których dane osobowe będą transferowane poza EOG i do krajów, wobec których Komisja Europejska nie wydała odpowiednich decyzji, przekazywanie danych będzie dopuszczalne, jeśli zapewnione będą odpowiednie zabezpieczenia, i pod warunkiem, że obowiązywać będą egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej.

Zgodnie z art. 46 ust. 2 RODO, odpowiednie zabezpieczenia można zapewnić bez konieczności uzyskania specjalnego zezwolenia ze strony PUODO za pomocą:

  • prawnie wiążącego i egzekwowalnego instrumentu między org...

Dalsza część jest dostępna dla użytkowników z wykupionym planem