Co do zasady, przekazywanie danych osobowych poza Europejski Obszar Gospodarczy (EOG), tj. kraje Unii Europejskiej wraz z Liechtensteinem, Norwegią i Islandią, czyli tzw. transgraniczny transfer danych jest niedopuszczalne bez wystąpienia przesłanki legalizującej określonej w przepisach RODO. 10 lipca 2023 r. Komisja Europejska wydała decyzję, na podstawie której transfer danych osobowych do Stanów Zjednoczonych staje się (już po raz trzeci) możliwy tak, jak gdyby państwo to było częścią EOG.

Czym jest EU-US Data Privacy Framework (DPF)?

Decyzja, o której mowa, to EU-US Data Privacy Framework (DPF), która została przyjęta przez Komisję Europejską w lipcu 2023 r. i wtedy też weszła w życie. Zgodnie z jej treścią, określone podmioty z siedzibą na terenie Stanów Zjednoczonych zapewniają podobny stopień ochrony danych osobowych do tego gwarantowanego przez prawo UE. Lista tych podmiotów publikowana jest przez Departament Handlu USA. Dla administratorów danych osobowych działających na terytorium Unii Europejskiej oznacza to, że przekazując dane osobowe podmiotom ujawnionym na Liście DPF, nie mają obowiązku podejmować działań legalizujących transfer poza EOG.

Pomimo znacznego ułatwienia transferu transgranicznego, należy pamiętać o trzech kwestiach, które wymagają stałej kontroli ze strony administratora danych. Po pierwsze, na listę DPF wpisywane są podmioty, które dokonały samocertyfikacji, a więc zadeklarowały zgodność stosowanych przez siebie rozwiązań ze standardami UE. Po drugie, Komisja Europejska dokonuje stałej oceny działalności podmiotów wpisanych na listę. Jest więc konieczna okresowa kontrola zawartości dokumentu. Wreszcie, DPF zostanie jeszcze poddane ocenie przez Trybunał Sprawiedliwości, podobnie jak dwie poprzednie decyzje Komisji, tj. Safe Harbour oraz Privacy Shield. Może się więc okazać, że w najbliższych latach akt utraci moc, a USA ponownie będzie traktowane jak inne kraje spoza EOG.

Transfer danych do innych państw trzecich

DPF stanowi przykład zastosowania jednego z kilku dostępnych dla administratorów danych sposobów na legalizację transferu poza EOG – decyzji Komisji Europejskiej w sprawie odpowiedniego poziomu danych osobowych. Warto pamiętać o tych innych możliwościach podejmując decyzję o transferze danych osobowych do innego państwa.

Po pierwsze – Ocena Skutków Przetwarzania

Niezależnie od przyjętej formy legalizacji transferu poza EOG, podejmując decyzję o aktywnym przekazaniu danych, powinniśmy zawsze upewnić się, czy jesteśmy w stanie zapewnić ich należyte bezpieczeństwo, spełniające standardy RODO. Mowa tu nie tylko o warunkach technicznych przekazania i przyjętych procedurach, a również o otoczeniu prawnym, w którym funkcjonuje podmiot otrzymujący dane. W szczególności ocenie tego ostatniego służy Ocena Skutków Przetwarzania (z angielskiego Transfer Impact Assessment, TIA), której zasadniczym celem powinno być udokumentowanie przez administratora weryfikacji tego, czy system prawny państwa, do którego przekazywane są dane, gwarantuje ich bezpieczeństwo. W szczególności ocena ta powinna dotyczyć możliwości dostępu organów państwa trzeciego zarówno w zakresie możliwości prawnych, jak i rzeczywistych praktyk stosowanych w tym kraju.

Przygotowanie rzetelnej TIA wymaga indywidualnego podejścia do danego przypadku i każdorazowej oceny ryzyka przekazywania danych na terytorium danego państwa spoza EOG. Dopiero upewnienie się, że możliwe jest zapewnienie należytego bezpieczeństwa danych, otwiera drogę do konkretnych działań legalizacyjnych.

Standardowe klauzule umowne

Jeśli nie została wydana decyzja Komisji Europejskiej, często stosowanym rozwiązaniem jest przyjęcie standardowych klauzul umownych, których ostatnia lista pojawiła się w decyzji Komisji Europejskiej nr 2021/914 z dnia 4 czerwca 2021 r. Ich stosowanie polega na umieszczeniu w treści umowy zawieranej z podmiotem, któremu przekazywane mają być dane. Klauzule te powinny być stosowane w pakiecie. Aby uznać, że doszło do legalizacji przetwarzania, nie wystarczy wybrać tych, które odpowiadają podmiotom zawierającym umowę, a przenieść je w całości do kontraktu.

Wiążące reguły korporacyjne

Alternatywą dla stosowania klauzul może być wprowadzenie wiążących reguł korporacyjnych, które byłyby stosowane we wszystkich podmiotach należących do danej grupy kapitałowej. To rozwiązanie zostało jednak zaprojektowane z myślą o dużych podmiotach korporacyjnych, stanowiących jeden organizm gospodarczy, prowadzący działalność w różnych państwach. Reguły też powinny zostać wcześniej zatwierdzone przez Prezesa UODO.

Kodeksy postępowania

Istnieje co prawda potencjalna możliwość w postaci jest stosowanie zatwierdzonego przez UODO kodeksu postępowania, którzy powinien zostać przyjęty przez kontrahenta z państwa trzeciego. Problem jednak polega na tym, że jak dotychczas UODO zdołał zatwierdzić jedynie Kodeks postępowania dotyczący ochrony danych osobowych przetwarzanych w małych placówkach medycznych (Porozumienie Zielonogórskie). W trakcie opiniowania pozostaje 6 kodeksów postępowania czekających na zatwierdzenie

Inne podstawy przekazania poza EOG

Artykuł 49 RODO przewiduje również wyjątkowe podstawy legalizacji transferu, tj.:

• niezbędność do wykonania umowy między podmiotem danych , a administratorem danych osobowych;
• niezbędność wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której one dotyczą;
• niezbędność do dochodzenia roszczeń;
• konieczność ochrony żywotnych interesów osoby, której dane dotyczą lub innych osób, jeśli podmiot danych jest fizycznie lub prawnie niezdolny do wyrażenia zgody.

Jak widać, legalizacja transferu danych osobowych wymaga każdorazowo szczegółowej analizy i dostosowania do konkretnego przypadku. Należy wziąć pod uwagę liczne elementy, które mogą wpłynąć na bezpieczeństwo i legalność danych. Należy również regularnie monitorować prawidłowość transferu.

Warto pamiętać

Warto wspomnieć, że dalsze przekazywanie danych podmiotom z państw trzecich, zapośredniczone przez podmiot, któremu pierwotnie dane zostały przekazane, będzie wymagało uzyskania oddzielnej podstawy legalizacji.