Przetwarzanie danych osobowych poza Europejskim Okręgiem Gospodarczym (EOG) – obowiązki przedsiębiorcy

10 min

na stole rysunek Ziemi, dookoła niego siedzą ludzie

Jeśli prowadzisz firmę i planujesz korzystać z rozwiązań zagranicznych, w których będziesz przetwarzać dane osobowe m.in. klientów czy pracowników, musisz mieć świadomość obowiązków w tym zakresie. Odpowiednia analiza i dopasowanie do wymogów prawnych pozwoli Ci uniknąć przykrych konsekwencji. Dowiedz się, czym różni się państwo w ramach EOG od tego spoza. Czym są standardowe klauzule umowne, a także państwa adekwatne według Komisji Europejskiej. 

Przetwarzanie danych osobowych w ramach EOG

W ramach Europejskiego Obszaru Gospodarczego (EOG) przetwarzanie danych osobowych musi odbywać się zgodnie z zasadami określonymi w Rozporządzeniu Ogólnym o Ochronie Danych (RODO). Dokument ten to główny akt prawny regulujący ochronę danych osobowych w Unii Europejskiej i EOG. Jeżeli podmiot, z którym chcesz rozpocząć współpracę jest podmiotem pochodzącym z EOG wystarczy, że spełnisz wymogi przewidziane tym rozporządzeniem oraz aktami prawnymi obowiązującymi w Polsce.

W przypadku transferu danych poza EOG istnieje podział na 2 kategorie państw: uznane przez Komisję Europejską za posiadające adekwatny poziom ochrony danych osobowych oraz te, które nie uzyskały do tej pory takiej akceptacji. Co oznacza ten podział i jak odnosi się do spełnienia obowiązków wynikających z RODO?

Co oznacza adekwatny poziom ochrony danych osobowych?

Zaliczenie do grupy o adekwatnym poziomie ochrony danych osobowych oznacza, że Komisja Europejska uznała, że dany kraj zapewnia poziom równoważny temu, który obowiązuje w Unii Europejskiej. W ramach takiej oceny Komisja analizuje wewnętrzne przepisy prawa danego kraju dotyczące: 

  • ochrony danych, 
  • ramy regulacyjne, 
  • praktyki egzekwowania prawa,
  • międzynarodowe zobowiązania dotyczące prywatności i ochrony danych.

Kiedy kraj zostanie uznany przez Komisję Europejską za zapewniający adekwatny poziom ochrony, dane osobowe mogą być przekazywane z UE do tego kraju bez konieczności stosowania dodatkowych środków ochrony, takich jak standardowe klauzule umowne (SCC) czy wiążące reguły korporacyjne (BCR). Uznanie adekwatności nie jest procesem łatwym – wymaga szczegółowej oceny ram prawnych danego kraju i zatwierdzenia na poziomie organów UE.

Przetwarzanie danych osobowych poza EOG - transfer do państwa posiadającego adekwatny stopień ochrony

Gdy chcesz przetwarzać dane osobowe poza EOG w państwie, które zostało uznane przez Komisję Europejską za posiadające adekwatny stopień ochrony danych, musisz zweryfikować, czy zrobisz to zgodnie z prawem. Proces jest prostszy niż w przypadku transferów do krajów bez takiej decyzji. 

Główne wymogi, które trzeba spełnić.

  • Adekwatność: przed przesłaniem danych upewnij się, że kraj docelowy faktycznie został uznany przez Komisję Europejską za posiadający adekwatny stopień ochrony danych. Lista takich krajów jest dostępna na stronie internetowej Komisji.
  • Rozliczalność: administrator danych powinien udokumentować wszelkie transfery danych do kraju trzeciego, w tym informacje, że kraj docelowy posiada adekwatny stopień ochrony danych.
  • Obowiązek informacyjny: osoby, których dane dotyczą, powinny być informowane o zamiarze przesłania ich danych do kraju trzeciego oraz o tym, że kraj ten został uznany za zapewniający adekwatny poziom ochrony np. w ramach polityki prywatności serwisu.
  • Dostęp do realizacji praw: nawet jeśli dane są transferowane do kraju uznawanego za zapewniającego adekwatną ochronę, osoby, których dane dotyczą, nadal mają prawa związane z ich danymi osobowymi, takie jak prawo dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania ich danych osobowych.
  • Podstawa prawna: chociaż kraj docelowy posiada adekwatny stopień ochrony, transfer danych powinien również opierać się na jednej z legalnych podstaw przetwarzania danych zgodnie z RODO, np. zgoda osoby, której dane dotyczą, konieczność wykonania umowy czy też inne przesłanki przewidziane w RODO.
  • Dalsze transferowanie danych: jeśli dane osobowe mają być dalej przekazywane z kraju uznawanego za zapewniającego adekwatną ochronę do innego kraju, konieczna jest analiza i upewnienie się, że ten dalszy transfer również odpowiada wymogom RODO.

Transfer danych osobowych do USA – szczególny przypadek państwa uznanego za posiadające adekwatny poziom ochrony

Transfer danych do USA miał w swojej historii kilka zwrotów, w które zaangażowany był Europejski Trybunał Sprawiedliwości. Przed wprowadzeniem RODO istniał mechanizm znany jako Safe Harbor (Bezpieczna Zatoka), który umożliwiał przesyłanie danych osobowych między Unią Europejską a Stanami Zjednoczonymi. Ustanowiony w 2000 roku Safe Harbor był wynikiem negocjacji między UE a USA w celu zapewnienia firmom ram prawnych dla transatlantyckiego przepływu danych. Ramy te wymagały od amerykańskich firm, aby samodzielnie zapewniły ochronę danych na poziomie zbliżonym do tego, który obowiązywał w Europie.

Jednak, w 2015 roku, w wyniku sprawy Schrems I, Europejski Trybunał Sprawiedliwości uznał porozumienie Safe Harbor za nieważne. Stwierdził, że nie zapewnia ono wystarczającej ochrony danych osobowych obywateli UE przed nadzorem rządowym USA. Unieważnienie to wywołało potrzebę stworzenia nowego porozumienia, co doprowadziło do powstania EU–US Privacy Shield (Tarcza Prywatności). Nowe porozumienie weszło w życie 12 lipca 2016 roku, czyli prawie 2 lata przed obowiązywaniem przepisów RODO i wprowadziło szereg zobowiązań dla firm, a także większą ochronę i środki zaradcze dla osób, których dane dotyczą. Mimo to, w lipcu 2020 roku, w wyniku rozstrzygnięcia sprawy Schrems II, porozumienie również zostało unieważnione przez Europejski Trybunał Sprawiedliwości, co ponownie postawiło firmy w obliczu prawnej niepewności w zakresie transatlantyckiego transferu danych osobowych.

10 lipca 2023 r. Komisja Europejska przyjęła kolejną decyzję o zapewnieniu odpowiedniego poziomu ochrony przez Data Privacy Framework (Ramy ochrony danych UE-USA). Ramy te określają aktualnie obowiązujące zasady i mechanizmy, które gwarantują, że dane osobowe obywateli UE chronione są w USA na podobnym poziomie, jaki przewidziany jest w przepisach RODO. Także i ten akt został zakwestionowany do TSUE, tym razem przez deputowanego francuskiego Zgromadzenia Narodowego. Trybunał postanowieniem z 12 października 2023 r. uznał, że obowiązujące od lipca 2023 roku zasady transferu, są zgodne ze standardami narzuconymi przez RODO. Tym samym nie uwzględnił wniosku o zawieszenie ich stosowania do czasu ostatecznego rozpoznania skargi.

Pamiętaj, że formalne uznanie USA jako państwa spełniającego unijne standardy ochrony nie niweluje kontrowersji, jakie wiążą się z oceną tamtejszych przepisów. W szczególności dotyczących daleko idącego dostępu służb do danych osobowych. Nie jest więc przesądzone, czy w przyszłości TSUE nie zmieni oceny amerykańskich regulacji i po raz kolejny nie uzna ich za nieodpowiadające standardom RODO.

Co zmieniło wprowadzenie Data Privacy Framework?

Przede wszystkim częściowo ułatwiło proces przesyłania danych osobowych do USA, oprócz standardowych klauzul umownych można również korzystać z nowej decyzji o adekwatności na mocy art. 45 RODO. W przypadku nowej decyzji dotyczącej ram ochrony danych UE-USA istnieje dodatkowy wymóg: transfer danych jest legalny tylko do amerykańskich firm, które dobrowolnie poddały się certyfikacji zgodnie z decyzją KE z 10 lipca 2023 r. Oznacza to, że te firmy musiały zadeklarować, iż ich działalność jest zgodna z RODO. W związku z tą decyzją firmy w USA mogą przystąpić do dobrowolnego procesu certyfikacji. Gdy proces zostanie zakończony, możliwy jest transfer danych osobowych z Unii Europejskiej do tych podmiotów. Lista amerykańskich firm, które zadeklarowały zgodność, jest dostępna na stronie internetowej amerykańskiego Departamentu Handlu.

Przetwarzanie danych osobowych poza EOG - transfer do państwa bez adekwatnego stopnia ochrony

Planując transfer danych do kraju, który nie znajduje się na liście państw z adekwatnym poziomem ochrony, musisz upewnić się, że prawo tego kraju zapewnia ochronę praw oraz dostęp do skutecznych środków prawnych.

Transfer taki musi spełniać dodatkowe wymogi bezpieczeństwa, takie jak:

Gdy żadne z wyżej wymienionych środków bezpieczeństwa nie mogą być zastosowane, przesłanie danych poza EOG jest dozwolone:

  • tylko za wyraźną zgodą osoby, której dane dotyczą, 
  • w przypadkach ściśle określonych przez prawo, takich jak:
    • konieczność zawarcia lub realizacji umowy z daną osobą, 
    • istotne potrzeby publiczne, 
    • obrona lub ochrona prawna, 
    • gdy jest to krytyczne dla kluczowych interesów osoby, do której dane się odnoszą.

Standardowe klauzule umowne (SCC – Standard Contarctual Caluses) 

Po decyzji Schrems II w okresie od lipca 2020 do lipca 2023 jedynym dopuszczalnym sposobem na przesyłanie danych osobowych do państw trzecich było umieszczenie Standardowych Klauzul Umownych w zawieranych kontraktach. Klauzule te są zestawem postanowień przyjętych przez Komisję Europejską. Mają na celu zapewnienie odpowiedniej ochrony danych osobowych przenoszonych poza EOG do krajów, które nie posiadają uznanej przez Komisję adekwatności ochrony danych. 

Mimo że sam proces stosowania klauzul był zgodny z RODO, zobowiązywał Administratorów Danych Osobowych (ADO) do wprowadzenia dodatkowych analiz, procesów i dokumentacji, takich jak przeprowadzenie oceny wpływu na transfer danych (TIA). Oczywistym jest też to, że dla mniejszych organizacji dostosowanie do tych wymogów stanowiło i dalej stanowi poważne wyzwanie. Niektóre mniejsze przedsiębiorstwa starały się unikać tej procedury, zawierając m.in. umowy z firmami amerykańskimi, które zobowiązywały się utrzymać dane osobowe w obrębie Europejskiego Obszaru Gospodarczego.

O czym musisz pamiętać?

Przy globalnym rynku usług - mamy je na wyciągnięcie ręki - współpraca z podmiotami z USA, Japonii czy Australii nie jest dziś trudna. Wyzwaniem jest sprostanie wymogom prawnym, aby przetwarzanie danych osobowych odbywało się zgodnie z obowiązującymi przepisami.

Pamiętaj, aby przed rozpoczęciem współpracy z danym podmiotem przeanalizować, jaki wpływ na przetwarzanie danych będzie miała ta współpraca. 

Szczególną uwagę zwróć na pochodzenie danej firmy, czy na pewno jest z Europejskiego Okręgu Gospodarczego. W innym przypadku zweryfikuj, czy kraj pochodzenia tego podmiotu jest uznany za adekwatny według Komisji Europejskiej. Wyjątek od tej reguły stanowią podmioty z USA, które mimo tego, że ten kraj został uznany w 2023 roku za adekwatny, muszą być jeszcze wpisane na listę Departamentu Handlu, aby uniknąć dodatkowych obowiązków formalnych podczas podpisywania umowy.

Sebastian Piórek
Sebastian Piórek
Product Manager w ING Usługi dla Biznesu

Menedżer z doświadczeniem w finansach i e-commerce, skoncentrowany na innowacjach i zagadnieniach dotyczących ochrony danych osobowych.

Obserwuj mnie na LinkedIn

Czy ten artykuł był przydatny?
średnia: 0 | 0 ocen

Przeglądaj tematy

  • #na startwięcej artykułów z tagiem:#na start
  • #bizneswięcej artykułów z tagiem:#biznes
  • #podatkiwięcej artykułów z tagiem:#podatki
  • #marketingwięcej artykułów z tagiem:#marketing
  • #prawowięcej artykułów z tagiem:#prawo
  • #strategiawięcej artykułów z tagiem:#strategia
  • #pracownicywięcej artykułów z tagiem:#pracownicy
  • #księgowośćwięcej artykułów z tagiem:#księgowość
  • #wideowięcej artykułów z tagiem:#wideo
  • #finansowaniewięcej artykułów z tagiem:#finansowanie
  • #sprzedażwięcej artykułów z tagiem:#sprzedaż
  • #ekowięcej artykułów z tagiem:#eko
  • #markawięcej artykułów z tagiem:#marka
  • #ESGwięcej artykułów z tagiem:#ESG
  • #pomysł na bizneswięcej artykułów z tagiem:#pomysł na biznes
  • #e-commercewięcej artykułów z tagiem:#e-commerce
  • #zmiany w prawiewięcej artykułów z tagiem:#zmiany w prawie
  • #wsparcie dla firmwięcej artykułów z tagiem:#wsparcie dla firm
  • #internetwięcej artykułów z tagiem:#internet
  • #automatyzacjawięcej artykułów z tagiem:#automatyzacja
  • #przewodnikwięcej artykułów z tagiem:#przewodnik
  • #AIwięcej artykułów z tagiem:#AI
  • #samodzielna księgowośćwięcej artykułów z tagiem:#samodzielna księgowość
  • #SEOwięcej artykułów z tagiem:#SEO
  • #ZUSwięcej artykułów z tagiem:#ZUS
  • #leasingwięcej artykułów z tagiem:#leasing
  • #service designwięcej artykułów z tagiem:#service design
  • #instrukcjawięcej artykułów z tagiem:#instrukcja
  • #dokumentywięcej artykułów z tagiem:#dokumenty
  • #oszczędnościwięcej artykułów z tagiem:#oszczędności
  • #kredytwięcej artykułów z tagiem:#kredyt
  • #RODOwięcej artykułów z tagiem:#RODO
  • #fakturywięcej artykułów z tagiem:#faktury
  • #bankowośćwięcej artykułów z tagiem:#bankowość
  • #dotacjewięcej artykułów z tagiem:#dotacje
  • #technologiewięcej artykułów z tagiem:#technologie
  • #ITwięcej artykułów z tagiem:#IT
  • #google analyticswięcej artykułów z tagiem:#google analytics
  • #kontrahentwięcej artykułów z tagiem:#kontrahent
  • #media społecznościowewięcej artykułów z tagiem:#media społecznościowe
  • #ochrona środowiskawięcej artykułów z tagiem:#ochrona środowiska
  • #Polski Ładwięcej artykułów z tagiem:#Polski Ład
  • #umowywięcej artykułów z tagiem:#umowy
  • #analizawięcej artykułów z tagiem:#analiza
  • #ubezpieczeniewięcej artykułów z tagiem:#ubezpieczenie
  • #podcastwięcej artykułów z tagiem:#podcast
  • #faktoringwięcej artykułów z tagiem:#faktoring
  • #badaniewięcej artykułów z tagiem:#badanie
  • #długiwięcej artykułów z tagiem:#długi
  • #USwięcej artykułów z tagiem:#US
  • #konkurencjawięcej artykułów z tagiem:#konkurencja
  • #wynagrodzeniawięcej artykułów z tagiem:#wynagrodzenia
  • #CEIDGwięcej artykułów z tagiem:#CEIDG
  • #inwestycjewięcej artykułów z tagiem:#inwestycje
  • #urlopywięcej artykułów z tagiem:#urlopy
  • #płynność finansowawięcej artykułów z tagiem:#płynność finansowa
  • #webinarwięcej artykułów z tagiem:#webinar
  • #zdolność kredytowawięcej artykułów z tagiem:#zdolność kredytowa
  • #zakupywięcej artykułów z tagiem:#zakupy
  • #REGONwięcej artykułów z tagiem:#REGON
  • #kosztywięcej artykułów z tagiem:#koszty
  • #współpracawięcej artykułów z tagiem:#współpraca
  • #SEMwięcej artykułów z tagiem:#SEM
  • #gwarancjawięcej artykułów z tagiem:#gwarancja