Jakie przepisy stosuje się w przypadku organizacji przekazującej dane do krajów spoza UE?

Odpowiedź

We współczesnym zglobalizowanym świecie olbrzymie ilości danych osobowych są przekazywane z jednego kraju do drugiego, a nierzadko są przechowywane na serwerach w wielu różnych państwach. Ochrona zapewniana przez ogólne rozporządzenie o ochronie danych (RODO) przemieszcza się wraz z danymi. Oznacza to, że przepisy chroniące dane osobowe obowiązują zawsze bez względu na docelowe miejsce danych. Ma to również zastosowanie w momencie przekazania danych do państwa niebędącego członkiem UE (dalej: „państwa trzeciego”).

RODO dostarcza różne narzędzia do regulowania przekazywania danych z UE do państwa trzeciego:

• W niektórych przypadkach na podstawie decyzji Komisji Europejskiej („decyzja stwierdzająca odpowiedni stopień ochrony”) państwo trzecie może zostać uznane za zapewniające odpowiedni stopień ochrony, co oznacza, że dane można przekazywać do firmy z siedzibą w tym państwie trzecim bez obowiązku stosowania przez eksportera danych dodatkowych zabezpieczeń lub spełnienia dodatkowych warunków. Innymi słowy, przekazywanie danych do „odpowiedniego” państwa trzeciego będzie porównywalne z przesyłem danych na terenie UE.
• W razie braku decyzji stwierdzającej odpowiedni stopień ochrony dane można przekazać po zapewnieniu odpowiednich zabezpieczeń oraz pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. Odpowiednie zabezpieczenia obejmują:
  • w przypadku grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą dane można przekazywać na podstawie tzw. wiążących reguł korporacyjnych,
  • postanowienia umowy z odbiorcą danych osobowych w państwie trzecim w formie, na przykład, standardowych klauzul ochrony danych zatwierdzonych przez Komisję Europejską,
  • zatwierdzony kodeks postępowania lub mechanizm certyfikacji wraz z wiążącymi i egzekwowalnymi zobowiązaniami odbiorcy do stosowania odpowiednich zabezpieczeń do ochrony przekazywanych danych.
• Wreszcie, jeżeli przewiduje się przekazanie danych osobowych do państwa trzeciego, którego nie obejmuje decyzja stwierdzająca odpowiedni stopień ochrony, i nie istnieją odpowiednie zabezpieczenia, dane można przekazać na podstawie jednego z wyjątków w szczególnych sytuacjach – na przykład gdy osoba fizyczna udzieliła wyraźnej zgody na proponowane przekazanie danych w oparciu o udostępnione jej wszelkie niezbędne informacje dotyczące ryzyka wiążącego się z takim przekazaniem.

Przykład

Jesteś francuską firmą zamierzającą rozszerzyć swoje usługi na rynek południowoamerykański, głównie w Argentynie, Urugwaju i Brazylii. Pierwszym krokiem będzie sprawdzenie, czy dla tych państw trzecich wydano decyzję stwierdzającą odpowiedni stopień ochrony. W tym przypadku Argentyna i Urugwaj zostały uznane za odpowiednie. Możesz więc przekazywać dane osobowe do tych dwóch państw trzecich bez zapewniania dodatkowych zabezpieczeń; natomiast z uwagi na fakt, że Brazylia nie została objęta decyzją o odpowiednim stopniu ochrony, musisz chronić przekazanie danych do tego państwa odpowiednimi zabezpieczeniami.

Odnośniki

• Rozdział V (art. 44–50) oraz motywy 101–116 RODO
• Najnowsze wytyczne EROD dotyczące międzynarodowego przekazywania danych
  • Wytyczne EROD dotyczące odpowiedniego stopnia ochrony
  • Wytyczne EROD dotyczące wiążących reguł korporacyjnych dla administratorów
  • Wytyczne EROD dotyczące wiążących reguł korporacyjnych dla podmiotów przetwarzających
• W celach informacyjnych zobacz także komunikat Komisji Europejskiej w sprawie wymiany i ochrony danych osobowych w zglobalizowanym świecie, 10 stycznia 2017 r.

You're a French company intending to expand its services to South America, notably Argentina, Uruguay and Brazil. The first step would be to check whether those third countries are subject to an Adequacy Decision. In this case, both Argentina and Uruguay have been declared adequate. You’d be able to transfer personal data to those two third countries without any additional safeguards while for transfers to Brazil which is not the subject of Adequacy Decision, you’ll have to frame your transfers by providing appropriate safeguards.

• Chapter V, Articles (44 to 50) and Recitals (101) to (116) of the GDPR
• EDPB's latest guidelines on International transfers:
  • EDPB guidelines on Adequacy Referential
  • EDPB guidelines on Binding Corporate Rules for Controllers
  • EDPB guidelines on Binding Corporate Rules for Processors
• See also for reference the European Commission Communication on Exchanging and Protecting Personal Data in a Globalised World1, 10 January 2017

1 COM(2017)7 final