Przetwarzanie danych osobowych poza Europejskim Okręgiem Gospodarczym (EOG) – obowiązki przedsiębiorcy

Jeśli prowadzisz firmę i planujesz korzystać z rozwiązań zagranicznych, w których będziesz przetwarzać dane osobowe m.in. klientów czy pracowników, musisz mieć świadomość obowiązków w tym zakresie. Odpowiednia analiza i dopasowanie do wymogów prawnych pozwoli Ci uniknąć przykrych konsekwencji. Dowiedz się, czym różni się państwo w ramach EOG od tego spoza. Czym są standardowe klauzule umowne, a także państwa adekwatne według Komisji Europejskiej. 

Przetwarzanie danych osobowych w ramach EOG

W przypadku transferu danych poza EOG istnieje podział na 2 kategorie państw: uznane przez Komisję Europejską za posiadające adekwatny poziom ochrony danych osobowych oraz te, które nie uzyskały do tej pory takiej akceptacji. Co oznacza ten podział i jak odnosi się do spełnienia obowiązków wynikających z RODO?

Co oznacza adekwatny poziom ochrony danych osobowych?

Zaliczenie do grupy o adekwatnym poziomie ochrony danych osobowych oznacza, że Komisja Europejska uznała, że dany kraj zapewnia poziom równoważny temu, który obowiązuje w Unii Europejskiej. W ramach takiej oceny Komisja analizuje wewnętrzne przepisy prawa danego kraju dotyczące: 

• ochrony danych, 
• ramy regulacyjne, 
• praktyki egzekwowania prawa,
• międzynarodowe zobowiązania dotyczące prywatności i ochrony danych.

Kiedy kraj zostanie uznany przez Komisję Europejską za zapewniający adekwatny poziom ochrony, dane osobowe mogą być przekazywane z UE do tego kraju bez konieczności stosowania dodatkowych środków ochrony, takich jak standardowe klauzule umowne (SCC) czy wiążące reguły korporacyjne (BCR). Uznanie adekwatności nie jest procesem łatwym – wymaga szczegółowej oceny ram prawnych danego kraju i zatwierdzenia na poziomie organów UE.

Przetwarzanie danych osobowych poza EOG - transfer do państwa posiadającego adekwatny stopień ochrony

Gdy chcesz przetwarzać dane osobowe poza EOG w państwie, które zostało uznane przez Komisję Europejską za posiadające adekwatny stopień ochrony danych, musisz zweryfikować, czy zrobisz to zgodnie z prawem. Proces jest prostszy niż w przypadku transferów do krajów bez takiej decyzji. 

Transfer danych osobowych do USA – szczególny przypadek państwa uznanego za posiadające adekwatny poziom ochrony

Transfer danych do USA miał w swojej historii kilka zwrotów, w które zaangażowany był Europejski Trybunał Sprawiedliwości. Przed wprowadzeniem RODO istniał mechanizm znany jako Safe Harbor (Bezpieczna Zatoka), który umożliwiał przesyłanie danych osobowych między Unią Europejską a Stanami Zjednoczonymi. Ustanowiony w 2000 roku Safe Harbor był wynikiem negocjacji między UE a USA w celu zapewnienia firmom ram prawnych dla transatlantyckiego przepływu danych. Ramy te wymagały od amerykańskich firm, aby samodzielnie zapewniły ochronę danych na poziomie zbliżonym do tego, który obowiązywał w Europie.

Jednak, w 2015 roku, w wyniku sprawy Schrems I, Europejski Trybunał Sprawiedliwości uznał porozumienie Safe Harbor za nieważne. Stwierdził, że nie zapewnia ono wystarczającej ochrony danych osobowych obywateli UE przed nadzorem rządowym USA. Unieważnienie to wywołało potrzebę stworzenia nowego porozumienia, co doprowadziło do powstania EU–US Privacy Shield (Tarcza Prywatności). Nowe porozumienie weszło w życie 12 lipca 2016 roku, czyli prawie 2 lata przed obowiązywaniem przepisów RODO i wprowadziło szereg zobowiązań dla firm, a także większą ochronę i środki zaradcze dla osób, których dane dotyczą. Mimo to, w lipcu 2020 roku, w wyniku rozstrzygnięcia sprawy Schrems II, porozumienie również zostało unieważnione przez Europejski Trybunał Sprawiedliwości, co ponownie postawiło firmy w obliczu prawnej niepewności w zakresie transatlantyckiego transferu danych osobowych.

10 lipca 2023 r. Komisja Europejska przyjęła kolejną decyzję o zapewnieniu odpowiedniego poziomu ochrony przez Data Privacy Framework (Ramy ochrony danych UE-USA). Ramy te określają aktualnie obowiązujące zasady i mechanizmy, które gwarantują, że dane osobowe obywateli UE chronione są w USA na podobnym poziomie, jaki przewidziany jest w przepisach RODO. Także i ten akt został zakwestionowany do TSUE, tym razem przez deputowanego francuskiego Zgromadzenia Narodowego. Trybunał postanowieniem z 12 października 2023 r. uznał, że obowiązujące od lipca 2023 roku zasady transferu, są zgodne ze standardami narzuconymi przez RODO. Tym samym nie uwzględnił wniosku o zawieszenie ich stosowania do czasu ostatecznego rozpoznania skargi.

Co zmieniło wprowadzenie Data Privacy Framework?

Przede wszystkim częściowo ułatwiło proces przesyłania danych osobowych do USA, oprócz standardowych klauzul umownych można również korzystać z nowej decyzji o adekwatności na mocy art. 45 RODO. W przypadku nowej decyzji dotyczącej ram ochrony danych UE-USA istnieje dodatkowy wymóg: transfer danych jest legalny tylko do amerykańskich firm, które dobrowolnie poddały się certyfikacji zgodnie z decyzją KE z 10 lipca 2023 r. Oznacza to, że te firmy musiały zadeklarować, iż ich działalność jest zgodna z RODO. W związku z tą decyzją firmy w USA mogą przystąpić do dobrowolnego procesu certyfikacji. Gdy proces zostanie zakończony, możliwy jest transfer danych osobowych z Unii Europejskiej do tych podmiotów. Lista amerykańskich firm, które zadeklarowały zgodność, jest dostępna na stronie internetowej amerykańskiego Departamentu Handlu.

Przetwarzanie danych osobowych poza EOG - transfer do państwa bez adekwatnego stopnia ochrony

Planując transfer danych do kraju, który nie znajduje się na liście państw z adekwatnym poziomem ochrony, musisz upewnić się, że prawo tego kraju zapewnia ochronę praw oraz dostęp do skutecznych środków prawnych.

Gdy żadne z wyżej wymienionych środków bezpieczeństwa nie mogą być zastosowane, przesłanie danych poza EOG jest dozwolone:

• tylko za wyraźną zgodą osoby, której dane dotyczą, 
• w przypadkach ściśle określonych przez prawo, takich jak:
  • konieczność zawarcia lub realizacji umowy z daną osobą, 
  • istotne potrzeby publiczne, 
  • obrona lub ochrona prawna, 
  • gdy jest to krytyczne dla kluczowych interesów osoby, do której dane się odnoszą.

Standardowe klauzule umowne (SCC – Standard Contarctual Caluses) 

Po decyzji Schrems II w okresie od lipca 2020 do lipca 2023 jedynym dopuszczalnym sposobem na przesyłanie danych osobowych do państw trzecich było umieszczenie Standardowych Klauzul Umownych w zawieranych kontraktach. Klauzule te są zestawem postanowień przyjętych przez Komisję Europejską. Mają na celu zapewnienie odpowiedniej ochrony danych osobowych przenoszonych poza EOG do krajów, które nie posiadają uznanej przez Komisję adekwatności ochrony danych. 

Mimo że sam proces stosowania klauzul był zgodny z RODO, zobowiązywał Administratorów Danych Osobowych (ADO) do wprowadzenia dodatkowych analiz, procesów i dokumentacji, takich jak przeprowadzenie oceny wpływu na transfer danych (TIA). Oczywistym jest też to, że dla mniejszych organizacji dostosowanie do tych wymogów stanowiło i dalej stanowi poważne wyzwanie. Niektóre mniejsze przedsiębiorstwa starały się unikać tej procedury, zawierając m.in. umowy z firmami amerykańskimi, które zobowiązywały się utrzymać dane osobowe w obrębie Europejskiego Obszaru Gospodarczego.

O czym musisz pamiętać?

Przy globalnym rynku usług - mamy je na wyciągnięcie ręki - współpraca z podmiotami z USA, Japonii czy Australii nie jest dziś trudna. Wyzwaniem jest sprostanie wymogom prawnym, aby przetwarzanie danych osobowych odbywało się zgodnie z obowiązującymi przepisami.

Szczególną uwagę zwróć na pochodzenie danej firmy, czy na pewno jest z Europejskiego Okręgu Gospodarczego. W innym przypadku zweryfikuj, czy kraj pochodzenia tego podmiotu jest uznany za adekwatny według Komisji Europejskiej. Wyjątek od tej reguły stanowią podmioty z USA, które mimo tego, że ten kraj został uznany w 2023 roku za adekwatny, muszą być jeszcze wpisane na listę Departamentu Handlu, aby uniknąć dodatkowych obowiązków formalnych podczas podpisywania umowy.