Transfer danych osobowych poza EOG – jak zrobić to zgodnie z prawem?

Wstęp

Transfer danych osobowych do państw trzecich, tj. poza Europejski Obszar Gospodarczy (EOG), jest jednym z kluczowych zagadnień związanych z przetwarzaniem danych osobowych zgodnie z RODO[1]. Według obowiązujących przepisów przekazanie danych osobowych poza obszar obowiązywania RODO może nastąpić wyłącznie po zapewnieniu pełnego bezpieczeństwa danych osobowych (przez co zgodnie z ogólną zasadą wyrażoną w art. 44 RODO rozumie się zapewnienie, by nie został naruszony stopień ochrony osób fizycznych wynikający z rozporządzenia) i przy zastosowaniu jednej z instytucji określonych w przepisach rozporządzenia.

Zgodnie z RODO istnieją 3 standardowe podstawy dokonywania transferu danych osobowych poza EOG, czyli:

• decyzja stwierdzająca odpowiedni stopień ochrony (art. 45 RODO);
• przekazanie z zastrzeżeniem odpowiednich zabezpieczeń (art. 46 RODO);
• wiążące reguły korporacyjne (art. 47 RODO).

Dodatkowo w art. 48 oraz 49 RODO przewidziano pewne wyjątki od zasad ogólnych – transfer jest bowiem możliwy m.in. w przypadku wyroku sądu albo organu administracji państwa trzeciego (o ile istnieją odpowiednie umowy międzynarodowe), czy też wtedy, gdy dana osoba wyraziła na to zgodę pomimo braku odpowiednich zabezpieczeń. Są to jednak sytuacje ekstraordynaryjne i należy z nich korzystać wyłącznie w wyjątkowych przypadkach.

Decyzja wykonawcza Komisji Europejskiej

Zgodnie z art. 45 RODO Komisja ma możliwość wydania decyzji stwierdzającej, że dane państwo trzecie (jak również pewne terytorium, określony sektor w danym państwie lub dana organizacja międzynarodowa) zapewnia odpowiedni stopień ochrony danych osobowych.

Możliwość dokonania takiego stwierdzenia przez Komisję jest uzależnione od potwierdzenia, że przestrzegana jest praworządność, prawa człowieka i podstawowe wolności, czy też istnienia odpowiedniego niezależnego organu nadzorczego – przesłanki do dokonania oceny zostały szczegółowo określone w art. 45 ust. 2 RODO.

Z czym wiąże się stwierdzenie odpowiedniego stopnia ochrony danych osobowych? Z możliwością łatwiejszego transferu danych osobowych do państwa objętego daną decyzją – zgodnie z RODO w takim przypadku przekazanie danych „nie wymaga specjalnego zezwolenia”. Uproszczając – zastosowanie standardów takich jak w przypadku powierzenia przetwarzania danych osobowych podmiotowi z EOG będzie wystarczające, aby transfer do państwa trzeciego był zgodny z obowiązującymi przepisami.

Od wejścia w życie pierwszych przepisów dotyczących ochrony danych osobowych w UE Komisja wydała już szereg decyzji stwierdzających odpowiedni stopień ochrony w różnych państwach. Za państwa „bezpieczne” uznano m.in. Argentynę[2], Japonię[3], Nową Zelandię[4], Wielką Brytanię[5] czy też Koreę Południową[6]. Na marginesie warto zaznaczyć, że część z tych decyzji została wydana jeszcze w poprzednim porządku prawnym, a więc na podstawie dyrektywy 95/46/WE, która została zastąpiona przez RODO.

Brak decyzji – co wówczas?

Działania Komisji powodują, że istnieją państwa do których transfer danych osobowych jest stosunkowo łatwy. W przypadku jednak gdy brak jest decyzji Komisji, wówczas przekazanie danych będzie znacznie bardziej skomplikowane. W tym kontekście pamiętać należy, że w przypadku wielu państw legalny transfer będzie bardzo utrudniony ze względu na obowiązujące w nich przepisy czy respektowanie tam praw człowieka (za przykład należy podać tu choćby Chiny, które jednak ostatnio podejmują szereg działań, aby zmienić obecną sytuację).

Jeśli ma dojść do transferu do państwa trzeciego, względem którego nie doszło do stwierdzenia odpowiedniego stopnia ochrony, musi to nastąpić z zastrzeżeniem odpowiednich zabezpieczeń. W takim przypadku podmiot transferujący dane osobowe musi zapewnić odpowiednie zabezpieczenia, a samo przekazanie może nastąpić wyłącznie w przypadku, gdy w państwie odbiorcy obowiązują egzekwowalne prawa osób, których dane dotyczą oraz skuteczne środki ochrony prawnej.

Istnieje kilka metod spełnienia wyżej wspomnianych wymagań – warto jednak skupić się na dwóch najbardziej popularnych, czyli standardowych klauzulach ochrony danych przyjętych przez Komisję oraz wiążących regułach korporacyjnych, o których więcej w dalszej części publikacji.

Standardowe klauzule umowne, czyli Standard Contractual Clauses („SCC”), to nic innego jak wzorcowe postanowienia, które należy wprowadzić do umów, na podstawie których dochodzi do transferu danych osobowych do państwa trzeciego. SCC określają obowiązki oraz prawa poszczególnych uczestników procesu przetwarzania danych i posiadają kilka wariantów, odnoszących się do różnych relacji, np. administrator – podmiot przetwarzający, czy podmiot przetwarzający – dalszy podmiot przetwarzający.

Samo podpisanie odpowiednich klauzul umownych to jednak nie wszystko. Przestrzeganie ich postanowień to też zbyt mało. Jeśli dane państwo trzecie (czyli to do którego realizowany jest transfer) nie posiada w swojej legislacji przepisów zapewniających respektowania praw i wolności osób, których dane są transferowane, transfer musi być poprzedzony oceną skutków transferu danych. Ocena ta musi zawierać między innymi badanie lokalnych przepisów oraz gwarancji lub ograniczeń, które dzięki nim obowiązują oraz porównanie ich z tym co zapewnia RODO.

Jeśli ocena okaże się negatywna, możliwości są trzy. Najprostsze (a może najtrudniejsze) jest niedokonywanie transferu danych osobowych w ramach planowanej współpracy. Innym, często kosztownym sposobem, jest wdrożenie dodatkowych środków gwarantujących ochronę praw i wolności osób, których dane dotyczą, ostatecznie dane mogą też zostać zanonimizowane, chociaż nie zawsze jest to możliwe. Na końcu zostaje biznesowa decyzja o transferze danych pomimo niespełniania wymagań, co jest ryzykowne i może skończyć się nałożeniem kary pieniężnej.

Decyzja wykonawcza KE względem USA

Osoby choć trochę zainteresowane tematyką ochrony danych osobowych czy też ich przekazywania poza EOG, nie raz spotkały się z kwestią transferu do USA. Jest to bowiem zagadnienie wielowątkowe i kontrowersyjne – Trybunał Sprawiedliwości Unii Europejskiej już dwukrotnie stwierdzał, że decyzje wykonawcze Komisji dotyczące możliwości transferu danych do USA (wydawane w oparciu o różne porozumienia zawierane pomiędzy UE a USA) są nieważne.

Pierwsze ramy transferów zostały uregulowane w decyzji potocznie nazywanej Safe Harbour, wydanej 26 lipca 2000 roku[7]. Decyzja ta funkcjonowała w obrocie przez długie lata, jednakże TSUE w wyroku w sprawie Schrems I[8] stwierdził jej nieważność. Treść wyroku jednoznacznie wskazywała na to, że transfer danych osobowych do USA jest niezgodny z obowiązującymi przepisami, co nie oznaczało, że faktycznie takie transfery nie były realizowane pomimo istniejącego ryzyka biznesowego.

W związku z wyrokiem Schrems I władze zarówno USA, jak i UE podjęły dynamiczne działania, aby stworzyć nowe podstawy transferu danych osobowych do USA. Skutkowało to powstaniem tzw. Privacy Shield, które weszło w życie na podstawie decyzji Komisji z dnia 12 lipca 2016 r.[9] Nie wchodząc w szczegóły, ze względu na zbyt duże uprawnienia amerykańskich służb wywiadowczych, Privacy Shield podzieliło los Safe Harbour, o czym przesądził TSUE w wyroku w sprawie Schrems II.[10]

Odpowiedzią na ten wyrok były zmiany w amerykańskich przepisach, a następnie przyjęcie przez Komisję Data Privacy Framework[11] („DPF”). DPF wprowadza instytucję certyfikacji oraz organizacji certyfikowanych – amerykańskich podmiotów, które dobrowolnie zgodziły się na wdrożenie odpowiednich procedur i zabezpieczeń w ramach DPF oraz:

• podlegają amerykańskim przepisom dotyczącym Federalnej Komisji Handlu, Departamentu Transportu lub innego podmiotu mogącego dokonywać oceny zgodności z zasadami wynikającymi z DPF;
• publicznie zapewniły, że będą przestrzegać zasad wynikających z DPF;
• publicznie udostępniają swoje polityki prywatności, w zgodzie z DPF;
• w pełni wdrożyły zasady wynikające z DPF.

Co za tym idzie, zgodnie z DPF, istnieje de facto dualizm prawny – w przypadku tych podmiotów, które przeszły certyfikację (np. giganci tacy jak Google) zastosowanie ma decyzja Komisji, a więc transfer danych na rzecz tych podmiotów nie wymaga podejmowania daleko idących kroków. Z kolei w przypadku podmiotów, które certyfikacji nie przeszły, należy stosować inne podstawy transferu – mogą to być np. wspomniane wcześniej SCC.

Wiążące reguły korporacyjne

W przypadku niektórych podmiotów alternatywą dla SCC (w przypadku transferu danych do USA, jak również tych państw względem których Komisja nie wydała odpowiedniej decyzji) mogą być wiążące reguły korporacyjne. Zgodnie z art. 47 tego typu reguły podlegają zatwierdzeniu przez właściwy organ nadzoru (np. w Polsce organem nadzoru jest Prezes Urzędu Ochrony Danych Osobowych).

Zgodnie z art. 4 pkt 20 RODO przez „wiążące reguły korporacyjne” rozumie się polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi lub podmiotowi przetwarzającemu w co najmniej jednym państwie trzecim w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą.

Co za tym idzie takimi regułami są dokumenty wewnętrzne opisujące szereg elementów składających się na ogólną politykę przetwarzania danych osobowych i zapewnienia bezpieczeństwa poszczególnych procesów ich przetwarzania. W dokumentach tych należy określić zasady przetwarzania danych osobowych w poszczególnych procesach, stosowane zabezpieczenia, powody dokonywania transferu danych osobowych oraz sytuacje, w których faktycznie dochodzi do transferów danych. Pamiętać jednak trzeba, że podmioty stosujące tego typu polityki nie mają dowolności w kształtowaniu ich treści. Istnieje bowiem szereg warunków, aby mogło dojść do zatwierdzenia reguł korporacyjnych przez organ nadzoru. W szczególności reguły muszą:

• być prawnie wiążące oraz mieć zastosowanie dla każdego podmiotu z grupy przedsiębiorstw lub przedsiębiorców prowadzących wspólną działalność gospodarczą, w tym ich pracowników;
• być egzekwowane przez każdy podmiot z grupy;
• przyznawać osobom, których dane dotyczą egzekwowalne prawa w związku z przetwarzaniem ich danych osobowych;
• zawierać w swojej treści szereg uregulowań dotyczących między innymi struktury i danych kontaktowych grupy i poszczególnych jej członków, zasad przekazywania danych, w tym rodzaju przetwarzania, kategorii danych osobowych podlegających przekazywaniu, rodzaje osób, których dane dotyczą;
• wskazywać do jakich państw trzecich dane osobowe będą transferowane;
• określać sposób zastosowania ogólnych zasad ochrony danych (takich jak ograniczenie celu, minimalizacja danych, ograniczenie okresów przechowywania danych, podstawa prawna przetwarzania, stosowane środki zapewniające bezpieczeństwo itd.);
• określać sposoby wykonywania praw osób, których dane dotyczą;
• obejmować przyjęcie odpowiedzialności przez członka grupy posiadającego jednostki organizacyjne w jednym z państw członkowskich za naruszenie reguł przez członka, który takich jednostek organizacyjnych nie posiada;
• określać metody pozwalające na weryfikację przestrzegania wiążących reguł korporacyjnych przez poszczególnych członków grupy;
• opisywać mechanizm współpracy z organem nadzorczym zapewniający przestrzeganie zasad wynikających z reguł przez wszystkich członków grupy.

Powyższy katalog to tylko najważniejsze, obligatoryjne elementy reguł. Szczegółowy zakres elementów składowych wiążących reguł korporacyjnych znajduje się w art. 47 ust. 1 i 2 RODO – katalog ten jest naprawdę długi, a przed podjęciem decyzji o przekazaniu ich do organu nadzoru w celu zatwierdzenia należy dokładnie zweryfikować czy możliwe jest spełnienie wszystkich wymagań wynikających z przepisów. Pamiętać przy tym należy, że w ramach zatwierdzenia wiążących reguł korporacyjnych zastosowanie ma tzw. mechanizm spójności – może się zatem zdarzyć, że organy nadzoru z innych państw (np. wtedy, gdy procesy przetwarzania będą obejmować również członków działających w tych innych państwach) będą kwestionować poszczególne elementy reguł lub przyjęte w nich założenia i procedury.

Ponadto pamiętać należy, że wiążące reguły korporacyjne de facto są dedykowane dużym podmiotom, posiadającym duże zasoby pozwalające na pełną kontrolę wszystkich procesów u każdego członka grupy. Innymi słowy zapewne nie będą one optymalnym rozwiązaniem dla niewielkich, współpracujących ze sobą przedsiębiorców, czy niewielkiej grupy kapitałowej działającej nie tylko w ramach EOG, lecz również poza tym obszarem – w przypadku tego typu podmiotów warto rozważyć zastosowanie innych podstaw transferu, w szczególności powszechnie stosowanych SCC.

Odrębną kwestią jest to, że w Polsce wiążące reguły korporacyjne nie stanowią popularnej podstawy dla dokonywania transferu danych osobowych poza EOG. Nawet na stronie internetowej PUODO próżno szukać informacji dotyczących reguł czy zasad ich zatwierdzenia – ograniczono się do wskazania, czym takie reguły po prostu są. Pozostaje mieć nadzieję, że w przyszłości będą one wykorzystywane w Polsce na szerszą skalę i nie tylko dlatego, że w Polsce będzie działać jeden, niewielki podmiot z danej grupy przedsiębiorstw (przedsiębiorców).

Bartłomiej Serafinowicz

adwokat z kancelarii LAWMORE Maciejewicz Jaraczewski sp.k. Specjalizuje się w ochronie danych osobowych, prawie nowych technologii i prawie własności intelektualnej.

[1] RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

[2] Decyzja Komisji z dnia 30 czerwca 2003 r. na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie właściwej ochrony danych osobowych w Argentynie (2003/490/WE).

[3] Decyzja Wykonawcza Komisji (UE) 2019/419 z dnia 23 stycznia 2019 r. na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, stwierdzająca odpowiedni stopień ochrony danych osobowych przez Japonię na mocy ustawy o ochronie informacji osobowych (notyfikowana jako dokument nr C(2019) 304).

[4] Decyzja Wykonawcza Komisji z dnia 19 grudnia 2012 r. na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie odpowiedniej ochrony danych osobowych w Nowej Zelandii (notyfikowana jako dokument nr C(2012) 9557).

[5] Rozporządzenie Wykonawcze Komisji (UE) 2021/1772 z dnia 28 czerwca 2021 r. na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, stwierdzająca odpowiedni stopień ochrony danych osobowych przez Zjednoczone Królestwo (notyfikowana jako dokument nr C(2021) 4800).

[6] Decyzja Wykonawcza Komisji (UE) 2022/254 z dnia 17 grudnia 2021 r. na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 stwierdzająca odpowiedni stopień ochrony danych osobowych przez Republikę Korei na mocy ustawy o ochronie danych osobowych (notyfikowana jako dokument nr C(2021) 9316)

[7] Decyzja Komisji z dnia 26 lipca 2000 r. przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach „bezpiecznej przystani” oraz przez odnoszące się do nich najczęściej zadawane pytania, wydane przez Departament Handlu USA.

[8] Wyrok Trybunału (wielka izba) z dnia 6 października 2015 r. w sprawie Maximillian Schrems przeciwko Data Protection Commisioner przy udziale Digital Rights Ireland Ltd (C-362/14).

[9] Decyzja Wykonawcza Komisji (UE) 2016/1250 z dnia 12 lipca 2016 r. przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA.

[10] wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia 16 lipca 2020 r. w sprawie Facebook Ireland i Schrems (C-311/18).

[11] Commission Implementing Decision of 10.7.2023 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate level of protection of personal data under the EU-US Data Privacy Framework.