Analizując przetwarzanie transgraniczne danych osobowych należy dokonać rozróżnienia, czym jest ono w świetle przepisów RODO oraz co rozumiemy poprzez transfer danych do krajów trzecich. Ze względu na fakt, że oba te pojęcia są często ze sobą mylone, mamy do czynienia ze znaczącymi niejasnościami w zakresie rozumienia poszczególnych instrumentów prawnych. Zjawisko to prowadzi nierzadko do podejmowania błędnych decyzji biznesowych przez podmioty, które przetwarzają dane poza granicami jednego kraju.
Sprawdź jak wdrożyć RODO w twojej organizacji
Transgraniczne przetwarzanie danych osobowych jest wprost zdefiniowane w RODO. Oznacza ono działanie na danych (przetwarzanie), które odbywa się:
- w Unii w ramach działalności jednostek organizacyjnych w więcej niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim;
- przetwarzanie danych osobowych, które również odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim.
Oznacza to, że przetwarzanie transgraniczne jest dokonywane poza krajem siedziby lub wykonywania działalności administratora lub podmiotu przetwarzającego, ale które odbywa się wciąż na terenie Unii Europejskiej (EOG).
Transgraniczne przetwarzanie danych osobowych dotyczy więc wciąż przetwarzania poza granicami państwa, ale w miejscu, gdzie obowiązują przepisy RODO i gdzie każda jednostka (podmiot) niezależne od wzajemnych porozumień z powierzającym czy udostępniającym dane, jest zobowiązany przestrzegać RODO. Dodatkowo tam, gdzie osoby, których dane dotyczą, mają możliwość egzekwowania pełni praw i wolności, które przepisy rozporządzenia im gwarantują. A to właśnie zapewnienie gwarancji możliwości korzystania z pełni praw i wolności, jest najistotniejsze z punktu widzenia RODO.
Transfer danych poza Unię Europejską i poza Europejski Obszar Gospodarczy
Zdarzają się jednak sytuacje, i to nierzadko, kiedy działalność administratora lub podmiotu przetwarzającego wymaga transferu danych osobowych poza EOG, do tzw. państw trzecich. Choć pojęcie „państwa trzeciego” pojawia się licznie w przepisach na poziomie UE, włącznie z RODO, to jednak nigdzie nie znajdziemy legalnej definicji tego terminu. Znaczenie pojęcia „kraju trzeciego” zostało wyodrębnione w drodze wykładni oraz praktyki i oznacza kraj spoza Europejskiego Obszaru Gospodarczego (czyli obszaru większego, niż Unia Europejska).
Transfer danych poza EOG jest dopuszczalny, ale tylko przy spełnieniu określonych warunków
i za pomocą wskazanych w RODO instrumentów prawnych. Pewne udogodnienia w przesyłaniu danych osobowych przewidziano również dla grupy przedsiębiorstw, co w tym miejscu należy zasygnalizować.
Przy przesyłaniu danych osobowych poza EOG należy w pierwszej kolejności sprawdzić, czy państwo, do którego dane mają trafić, zostało uznane przez Komisję Europejską (KE) za kraj, który zapewnia odpowiedni stopień ochrony danych osobowych. W skrócie: KE wydaje decyzję, gdzie wskazuje które kraje, gdzie nie stosuje się RODO, mają przepisy, które dają gwarancję ochrony praw i wolności jednostki w związku z przetwarzaniem jej danych, na poziomie podobnym do tego, który mamy w UE. Transfer danych do takiego kraju jest łatwiejszy, ponieważ nie wymaga uzyskiwania zewnętrznych zgód od właściwych organów na jego przeprowadzenie.
Transfer danych do państw trzecich niezapewniających odpowiedni stopień ochrony
W przypadku, kiedy chcemy przetransferować dane do państwa trzeciego, które nie zapewnia odpowiedniej ochrony wg. KE, musimy sięgnąć po prawnie wiążący i egzekwowalny instrument,
o którym mówią przepisy RODO, żeby transfer był legalny.
Instrumentami (narzędziami) prawnymi służącymi do transferu danych poza EOG dla podmiotów
z sektora prywatnego, które nie wymagają każdorazowego uzyskania specjalnego zezwolenia ze strony organu nadzorczego, są:
- wiążące reguły korporacyjne – dedykowane dla międzynarodowych grup przedsiębiorców, muszą być przed wdrożeniem zatwierdzone przez organ nadzorczy;
- standardowe klauzule umowne – konkretne postanowienia umowne, przyjęte przez Komisję Europejską lub przez organ nadzorczy i zatwierdzone przez KE, które należy wprowadzić do porozumień o transfery danych;
- zatwierdzone kodeksy postępowania – opracowane przez zszerszenia i inne podmioty, reprezentujące określone kategorie przedsiębiorców, z uwzględnienie biznesowych realiów. Przed zastosowaniem kodeksu musi on uprzednio zostać zatwierdzony przez organ nadzorczy;
- zatwierdzone mechanizmy certyfikacji – tj. uzyskanie przez odbiorcę danych w państwie trzecim certyfikacji, mającej świadczyć o zgodności dokonywanej operacji przetwarzania
z przepisami RODO. W Polsce certyfikacja jest udzielana przez podmioty certyfikujące, które posiadają stosowną akredytację udzielaną przez Polskie Centrum Akredytacji (PCA).
Po wdrożeniu ww. mechanizmów transferowania danych poza EOG, podmiot lub podmioty, które transfery te będą przeprowadzać, nie będą musiały uzyskiwać dodatkowych zgód organów na takie przetwarzanie.
Ponadto, unijny prawodawca przewidział jeszcze kilka wyjątków, kiedy transfer można oprzeć o inne, niż wskazane powyżej instrumenty, ale są to co do zasady sytuacje szczególne i incydentalne, które mogą być wykorzystane w wyjątkowych sytuacjach.
Słowem podsumowania należy wskazać, że transgraniczne przetwarzanie danych nie jest tożsame
z transferowaniem (przetwarzaniem) danych osobowych poza EOG. Z uwagi na to, że transgraniczne przetwarzanie danych osobowych co do zasady obejmuje przetwarzanie na obszarze EOG, przekazanie danych do innego państwa nie jest obarczone dodatkowymi wymogami, gdyż odbiorca danych jest zobowiązany do stosowania RODO i zapewnienia odpowiedniego poziomu bezpieczeństwa otrzymanych danych.
Każdy podmiot biorący udział w transgranicznym przetwarzaniu danych jest zobowiązany in genere do zapewnienia określonych standardów, transfer danych powinien opierać o właściwą umowę lub procedurę, a osoby, których dane dotyczą, mają zapewnioną możliwość pełnego korzystania
z przysługujących im praw i wolności, co gwarantuje im administracja publiczna w państwie odbiorcy.
W przypadku transferu danych poza EOG, RODO przewiduje określone mechanizmy, które mają zapewnić odpowiednie bezpieczeństwo danych i możliwość korzystania z praw osobom, których dane to dotyczą.
Przetwarzanie danych poza EOG wymaga tego, aby podmiot, który dane te otrzyma, po pierwsze dostosował swoją działalność go wymagań wskazanych w RODO, a po drugie by taki transfer danych odbywał się w oparciu o określone przepisami RODO narzędzia, które uprzednio zostały zweryfikowane lub opracowane przez właściwe organy publiczne.