Wróć do artykułów

Transfer danych do państwa trzeciego – jak prawidłowo przekazywać dane osobowe do państw trzecich zgodnie z RODO? 

Autor

Kancelaria Pałucki & Szkutnik
10.01.2025

Obecnie wiele firm z terenu Europejskiego Obszaru Gospodarczego (EOG) posiada siedziby w krajach, które znajdują się poza tym obszarem, współpracuje tam z licznymi kontrahentami lub po prostu wysyła na pracę zdalną swoich pracowników. Poza tym większość przedsiębiorstw, jakie prowadzą działalność na terenie Unii Europejskiej, jest powiązana z podmiotami z tzw. krajów trzecich, czyli znajdujących się poza EOG. Rozwiązanie dylematu jak postępować przy transferach danych osobowych, żeby nie narazić się na wysokie kary zapewnia RODO oraz wytyczne proponowane przez Europejską Radę Ochrony Danych (EROD).

Czym jest przekazywanie danych osobowych do państwa trzeciego?

Operacje przekazywania danych osobowych do państw trzecich reguluje przede wszystkim V rozdział RODO oraz Wytyczne 05/2021 w sprawie wzajemnych zależności między stosowaniem art. 3 a przepisami dotyczącymi międzynarodowego przekazywania danych zgodnie z rozdziałem V RODO, przyjęte przez EROD w 14 lutego 2023 r. Europejska Rada określiła trzy kryteria, które powinny zostać spełnione, żeby zakwalifikować przetwarzanie danych jako transfer danych osobowych w rozumieniu RODO. Należą do nich:

·         administrator lub podmiot przetwarzający („podmiot przekazujący”) podlega RODO w odniesieniu do danego przetwarzania;

·         podmiot przekazujący ujawnia poprzez przesłanie lub w inny sposób udostępnia innemu administratorowi, współadministratorowi lub podmiotowi przetwarzającemu („podmiot odbierający”) dane osobowe poddane temu przetwarzaniu;

·         podmiot odbierający znajduje się w państwie trzecim, niezależnie od tego, czy podlega on RODO w odniesieniu do danego przetwarzania zgodnie z art. 3, lub jest organizacją międzynarodową.

Jeżeli warunki zostają spełnione, mamy do czynienia z przekazywaniem danych do kraju poza obszarem EOG. Wspomniane przepisy z V rozdziału RODO mają zapewnić stabilną i ciągłą ochronę dla danych osobowych. W krajach poza EOG nie tyle nie obowiązuje RODO ani Karta praw podstawowych Unii Europejskiej, ale przedsiębiorstwa mające tam siedzibę podlegają tamtejszym prawom, niejednokrotnie sprzecznym z prawami obowiązującymi w UE. Ochrona danych osobowych nie musi być jednak tożsama z RODO, ale zgodnie z wytycznymi EROD, musi być merytorycznie równoważna. Przekazane dane osobowe nie mogą utracić swojej gwarancji bezpieczeństwa. Jak zatem ocenić adekwatność poziomu ochrony danych osobowych w państwie trzecim?

Jak umożliwić swobodny transfer danych do państwa trzeciego zgodnie z RODO?

Zgodnie z RODO oraz wytycznymi EROD swobodne przekazywanie danych osobowych do kraju trzeciego możliwe jest w trzech przypadkach. Pierwszy z nich to decyzja Komisji Europejskiej o adekwatności stopnia ochrony w państwie trzecim, alternatywą jest skorzystanie z art. 46 RODO i wybór odpowiednich mechanizmów zabezpieczeń transferu poza strefę EOG. Ostatnią opcją jest skorzystanie z wyjątków przewidzianych przez art. 49 RODO.

Na czym polega decyzja Komisji Europejskiej w sprawie adekwatności stopnia ochrony danych osobowych w kraju trzecim?

Pierwszym i podstawowym narzędziem, dzięki któremu możliwy jest swobodny transfer danych, jest decyzja Komisji Europejskiej o tym, czy dane państwo zapewnia odpowiedni poziom ochrony danych osobowych. Art. 46 ust. 1 RODO informuje, że jeśli decyzja jest pozytywna, to nie ma przeszkód, aby dokonać swobodnego transferu danych do wybranego państwa. Ocena, jakiej zostaje poddana ochrona, opiera się na elementach, które wymienia wspomniany art. 46. Są to między innymi: praworządność, poszanowanie praw człowieka i podstawowych wolności, odpowiednie ustawodawstwo, istnienie organu nadzorczego, czy też międzynarodowe zobowiązania zaciągnięte przez dane państwo trzecie.

                Po dokonaniu odpowiedniej analizy Komisja wydaje stosowną decyzję. Pozytywna otwiera przedsiębiorcom drogę do swobodnego przekazywania danych osobowych do takiego kraju. Dotychczas Komisja zakwalifikowała część krajów, oceniając je jako posiadające adekwatny stopień ochrony danych osobowych, są to np. Japonia, Szwajcaria, Wielka Brytania. Od lipca 2023 r. bezpieczny jest również transfer danych do Stanów Zjednoczonych, na mocy porozumienia Data Privacy Framework (DPF). Przed decyzją o dokonaniu transferu warto zapoznać się z decyzją dotyczącą danego kraju, ponieważ w niektórych przypadkach decyzje przewidują dodatkowe obostrzenia. Przykładowo, aby korzystać z Data Privacy Framework, przedsiębiorstwo z USA musi posiadać odpowiedni certyfikat, potwierdzający o spełnieniu wymagań tej decyzji.

                A co w razie braku decyzji stwierdzającej odpowiedni poziom zabezpieczeń? Czy to przekreśla szanse na bezpieczne i legalne przekazywanie danych do tego państwa?

Jakie są mechanizmy zabezpieczeń transferu danych osobowych do krajów trzecich?

W sytuacji, gdy brak jest decyzji o adekwatności zabezpieczeń, art. 46 RODO oferuje podmiotowi transferującemu dane mechanizmy, które umożliwią zabezpieczenie przesyłanych danych. Są to:

·         prawnie wiążący i egzekwowalny instrument między organami lub podmiotami publicznymi;

·         wiążące reguły korporacyjne;

·         standardowe klauzule ochrony danych przyjęte przez Komisje Europejską lub organ nadzorczy;

·         zatwierdzony kodeks postępowania;

·         zatwierdzony mechanizm certyfikacji.

Najczęściej stosowanymi przez przedsiębiorstwa instrumentami ochrony są standardowe klauzule umowne oraz wiążące reguły korporacyjne. Dobór odpowiedniego instrumentu zawsze należy dostosować do danej sytuacji. Takie działanie zapewnia odpowiedni stopień ochrony danych osobowych. Pomoże w tym analiza systemu prawnego kraju trzeciego, którą musi wykonać podmiot przekazujący. 

Jakie są wyjątki umożliwiające transfer danych do państw trzecich lub organizacji międzynarodowych?

Trzecią drogą, która pozwala na przesyłanie danych osobowych do kraju trzeciego – obok decyzji o adekwatności lub wyborem narzędzi z art. 46 – są wyjątki wymienione w art. 49 RODO. Z wytycznych EROD wyraźnie wynika, że stosowanie wyjątków musi być uzasadnione w konkretnym przypadku. Zgodnie z naturą wyjątków nie mogą one stać się regułą.

                Transferu poza strefę EOG można zatem dokonać, gdy:

·         osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którym – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę;

·         przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą;

·         przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, której dane dotyczą, między administratorem a inną osobą fizyczną lub prawną.

Trzy powyższe wyjątki nie mają zastosowania do działalności prowadzonej przez organy publiczne w ramach wykonywania przysługujących im uprawnień publicznych.

·         Przekazanie jest niezbędne  ze względu na ważne względy interesu publicznego – musi być on uznany w prawie UE lub w prawie państwa członkowskiego, któremu podlega administrator danych osobowych;

·         przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;

·         przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; lub

·         przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego.

Tak jak napisałem powyżej, stosowanie powyższych podstaw musi mieć charakter wyjątkowy. W pierwszej kolejności administrator powinien zatem dążyć do tego, aby zastosować decyzję o adekwatności albo podstawy przewidziane w art. 46 RODO.

Jakie jest 6 kroków bezpiecznego przekazywania danych do państw trzecich?

EROD wskazuje na 6 kroków bezpiecznego transferu, które powinien wykonać każdy podmiot zamierzający przetwarzać dane osobowe do krajów trzecich, aby określić stopień bezpieczeństwa dla transferowanych danych. Są to:

1.       Rozpoznanie (identyfikacja) operacji przetwarzania danych osobowych;

2.       Identyfikacja narzędzia przekazywania danych oraz sprawdzenie, czy jest to narzędzie przewidziane w przepisach RODO;

3.       Ocena skuteczności narzędzia z punktu widzenia praktyk i przepisów państwa trzeciego;

4.       Określenie i przyjęcie środków uzupełniających ochronę poza obszarem obowiązywania RODO;

5.       Kroki proceduralne związane z przyjęciem danego środka.

6.       Ponowna ocena stopnia ochrony danych.

Powyższa ocena to tzw. transfer impact assessment, który dla celów rozliczalności powinien mieć formę dokumentu, w którym zostaną przeanalizowane ww. elementy. Na podstawie transfer impact assessment podmiot, który zamierza dokonać transferu dokonuje oceny, czy transfer może się odbyć oraz czy konieczne jest wdrożenie dodatkowych środków (w tym środków technicznych), które zapewnią bezpieczeństwo transferu.

Na czym polega rozpoznanie przeprowadzonych operacji przekazywania w rozumieniu RODO?

Przede wszystkim na początku podmiot przesyłający musi określić, czy kraj, gdzie mają być przesyłane dane, mieści się na wspominanej powyżej liście Komisji Europejskiej, tj. czy została wydana w stosunku do niego decyzja o adekwatności. Musi również określić wszystkie operacje przekazywania, również te potencjalne dalsze, tj.  czy podmiot z kraju trzeciego przesyła dane dalej. Warto pamiętać, że korzystanie z międzynarodowej infrastruktury chmury – przechowywanie w niej danych – czyli dostęp zdalny z państwa trzeciego także uważa się za przekazywanie danych poza EOG.

                Przedsiębiorca musi również dokonać rozpoznania tego, co dokładnie ma być przetwarzane. Zgodnie z zasadą minimalizacji dane powinny być adekwatne oraz stosowne do wyznaczonych celów oraz niezbędne do ich osiągnięcia. Mówiąc najprościej – im mniej danych przetwarzamy, tym mniejsze będzie ryzyko. Wreszcie po stosownym rozeznaniu się, należy poinformować osoby, których dane dotyczą, o zamiarze transferu danych do kraju trzeciego (art. 13 i 14 RODO). Mają oni prawo do sprzeciwu.       

Na czym polega identyfikacja wykorzystywanych narzędzi do przekazywania danych do krajów trzecich?

Po sprawdzeniu decyzji Komisji Europejskiej i ustaleniu, że w państwie trzecim nie istnieje odpowiedni stopień ochrony, podmiot przekazujący dane musi skorzystać z jednego z narzędzi, które wymienione są w art. 46 RODO. Tak jak już wspominałem, najczęściej stosowanym środkiem są standardowe klauzule umowne. Klauzule co do zasady nie mogą być zmieniane, ponieważ tracą wtedy swój walor ochronny, strony uzupełniają jedynie załączniki, określające najważniejsze informacje odnośnie przetwarzania.

W niektórych przypadkach, pod warunkiem uzyskania zezwolenia właściwego organu nadzorczego (w Polsce jest to UODO), można zapewnić odpowiednie zabezpieczenia za pomocą:

·         klauzul umownych między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej; lub

·         postanowień uzgodnień administracyjnych między organami lub podmiotami publicznymi, w których przewidziane będą egzekwowalne i skuteczne prawa osób, których dane dotyczą.

Nie jest to jednak często stosowany przepis, gdyż przedsiębiorcy zdecydowanie częściej korzystają z rozwiązań zapewnianych przez RODO.

Na czym polega ocena skuteczności narzędzi w świetle wszystkich okoliczności przekazywania poza Europejski Obszar Gospodarczy?

Po wyborze odpowiednich narzędzi, wraz z podmiotem odbierającym dane, konieczne będzie sprawdzenie ich skuteczności. Przedsiębiorca, czyli podmiot wysyłający musi sprawdzić i ocenić stopień zabezpieczeń w państwie trzecim.

                EROD zwraca uwagę w wytycznych, na co powinno się zwrócić szczególną uwagę przy ocenie skuteczności wybranych narzędzi. Ocena powinna być dokładnie udokumentowana i przeprowadzona z należytą starannością. Należy pamiętać, że podmiot przekazujący może zostać pociągnięty do odpowiedzialności.  

                Warto zwrócić uwagę, między innymi, na:

·         sytuację praworządności w państwie trzecim;

·         istnienie niezależnego urzędu ochrony danych lub kompleksowego prawa ochrony danych;

·         ewentualny dostęp władz publicznych do danych osobowych (co można uznać za uzasadnioną ingerencję w bezpieczeństwo danych);

·         fakt czy przepisy w państwie trzecim są zgodne z podstawowymi prawami zapisanymi w Karcie praw podstawowych UE;

·         fakt czy przepisy obowiązujące w państwie trzecim wykraczają poza cele wymienione w art. 23 ust. 1 RODO (np. czy osoby, których dane dotyczą, mogą mieć w praktyce skuteczny dostęp do sprostowania lub usunięcia danych).

Zaznaczmy, że ważną rolę w procesie oceny skuteczności narzędzi odgrywa również podmiot odbierający dane w państwie trzecim. Powinien on przekazać podmiotowi przesyłającemu dane wszelkie istotne źródła oraz informacje, które dotyczą oceny stopnia bezpieczeństwa w kraju trzecim.

W wypadku, gdy ocena prowadzi do wniosku o niewystarczającej skuteczności wybranych narzędzi, konieczne będzie wybranie środków uzupełniających, które zapewnią odpowiednie zabezpieczenia w zakresie ochrony danych.

Jakie środki uzupełniające można wybrać przy przesyłaniu danych do kraju trzeciego?

Wyróżnia się trzy rodzaje środków uzupełniających, które mają służyć zabezpieczeniu przesyłanych danych: mające charakter umowny, techniczny oraz organizacyjny. Powinny się one wzajemnie uzupełniać i wspólnie uszczelniać ochronę.

Środki umowne nie są w stanie same w sobie zapobiec ingerencji organów państwa trzeciego, dlatego najczęściej wiązane są ze środkami technicznymi. Do środków umownych można zaliczyć, między innymi, klauzule zobowiązujące podmiot odbierający do wprowadzenia odpowiednich środków technicznych albo do stwierdzenia, że nie stworzył celowo luk, innych programistycznych rozwiązań. Inną opcją jest wprowadzenie klauzuli „warrant canary”, jeśli prawo państwa trzeciego tego nie zabrania. Polega ona na regularnym wysyłaniu przez podmiot odbierający zaszyfrowanego raportu, że na dany dzień nie otrzymał nakazu ujawnienia danych osobowych.

Środki techniczne są najbardziej popularne, a zatem najczęściej stosowane. Są one najskuteczniejsze w wypadku, gdy przepisy, które obowiązują w kraju trzecim, nakładają na podmiot odbierający wymagania, jakie są sprzeczne z zabezpieczeniami zawartymi w art. 46 RODO. Ich celem jest zapobieganie potencjalnym naruszeniom zabezpieczeń i określenie osób, których przesyłane dane dotyczą. Przykładowym środkiem technicznym będzie pseudonomizacja danych, czyli uniemożliwienie identyfikacji osoby na podstawie danych. Stosowane są wtedy odpowiednie klucze szyfrowania i deszyfrowania – algorytmy szyfrowania, klucze kryptograficzne, hasła, certyfikacje, parametryzacje (np. długość klucza, tryb działania, jeśli dotyczy) czy moc obliczeniowa (przeciw atakom brute-force).

Wreszcie środki organizacyjne mają służyć jako uzupełnienie i wsparcie dla środków umownych oraz technicznych. Można wymienić tutaj zasadę minimalizacji danych, przejrzystości lub zespół audytów wewnętrznych.

Na czym polega podjęcie kroków proceduralnych oraz regularne ponawianie oceny w świetle przepisów o ochronie danych osobowych?

Ostatni krok, ale nie mniej ważny, jaki należy podjąć przed ewentualnym transferem danych do kraju trzeciego, stanowi wprowadzenie wszystkich wybranych narzędzi oraz środków uzupełniających. W wypadku wybrania standardowych klauzul umownych nie ma konieczności składania wniosku do organu nadzorczego o pozwolenie. Sytuacja jest odwrotna, gdyby wybrane środki stały w sprzeczności ze standardowymi klauzulami. Wtedy jest wymagana zgoda właściwego organu nadzorczego. Podmiot przekazujący oraz podmiot odbierający będą musiały umieć wykazać, że takie dodatkowe klauzule nie będą mogły być zinterpretowane w sposób ograniczający prawa i obowiązki wskazane w standardowych klauzulach umownych ani w żaden inny sposób obniżający stopień ochrony danych[1][1].

                Kluczowy, w całym zabezpieczeniu transferu danych osobowych do krajów trzecich, jest fakt, że działanie podmiotów musi być operacją ciągłą. Administrator danych powinien cyklicznie powtarzać ocenę zabezpieczeń – czy środki nie straciły skuteczności w państwie trzecim i czy odpowiednio zabezpieczają wraz z klauzulami operacje przesyłania danych. Powinien upewniać się czy w związku z powyższym nie dochodzi do naruszenia zobowiązań ze strony podmiotu odbierającego. W razie wszelkich wątpliwości transfer danych powinien zostać przerwany.   

Czy wyjazd służbowy pracownika lub praca zdalna w kraju trzecim jest przesyłaniem danych poza EOG?

Zgodnie z wytycznymi EROD przekazywanie danych do państwa trzeciego ma miejsce tylko i wyłącznie wtedy, gdy zaangażowane są dwie różne (odrębne) strony. W takiej sytuacji jedna strona musi być odrębnym administratorem lub podmiotem przetwarzającym – podmiotem przekazującym dane, a druga również administratorem lub podmiotem przetwarzającym, tylko że podmiotem odbierającym dane. Zatem pracownik, który wykonuje pracę zdalną w kraju trzecim, pozostaje pracownikiem, a nie administratorem – dane, które przetwarza, poprzez zdalny dostęp, pozostają w zakresie tego samego administratora, czyli pracodawcy. Dopiero w momencie, gdyby pracownik podczas pracy zdalnej udostępnił jakieś dane administratorowi lub podmiotowi przetwarzającemu w kraju trzecim, to wtedy takie przekazanie podpadałoby pod V rozdział RODO, czyli transfer danych poza strefę EOG.

                Należy jednak pamiętać, że obowiązkiem podmiotu przekazującego jest zapewnienie bezpieczeństwa danych i stosowanie przepisów równoważnych z RODO, nawet gdy przetwarzanie danych nie stanowi międzynarodowego transferu. Przykładowe przetwarzanie danych podczas pracy zdalnej w kraju trzecim również może jednak być potencjalnie niebezpieczne, więc pracodawca jako administrator powinien uwzględnić to potencjalne ryzyko przy wprowadzaniu środków zapewniających zgodność z RODO.

                           Gdy praca zdalna odbywa się w kraju trzecim, w którym Komisja Europejska nie wydawała decyzji o adekwatnej ochronie danych powinny zostać wdrożone odpowiednie środki techniczne i organizacyjne. Ostatecznie, jeśli pracodawca dojdzie do wniosku, że stopień ochrony w danym kraju trzecim jest zbyt słaby i ewentualne przetwarzanie danych byłoby tam zbyt ryzykowne, może po prostu nie wydać pozwolenia na pracę zdalną.   

Przekazywanie danych osobowych do krajów trzecich częstszym zjawiskiem

Obecnie coraz więcej firm wysyła swoich pracowników na podróże służbowe czy zgadza się na tzw. workation, czyli pracę zdalną w egzotycznych kierunkach. Przedsiębiorcy podejmują też współpracę z firmami z różnych zakątków globu. Temat zabezpieczenia danych osobowych w transferach międzynarodowych dla wielu staje się praktyką. Pracownicy oraz pracodawcy coraz częściej zdają sobie sprawę z zagrożeń związanych z ewentualnym naruszeniem ochrony danych. Ponadto kary, jeśli takowe naruszenie się wydarzy, mogą być dotkliwe. Dlatego tak ważna jest świadomość, aby zadbać o odpowiednie zabezpieczenia i przede wszystkim podjąć adekwatne działania, kiedy przetwarzanie firmowych danych wychodzi poza granice strefy EOG.    


[1][1]https://www.edpb.europa.eu/sites/default/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_pl.pdf.