Transfer danych osobowych do krajów trzecich jest jednym z obszarów RODO, który podlega istotnym i intensywnym zmianom. Wielu przedsiębiorców uznaje, że ta problematyka ich nie dotyczy, co nie do końca jest prawdą. Przekazywania danych osobowych do państw trzecich jest naprawdę wiele, ale znacząca liczba firm nie zdaje sobie sprawy, że uczestniczy w tym procesie – pisze Teresa Grabowska, TG-Doradztwo i Zarządzanie, ekspertka z dziedziny ochrony danych osobowych.
Przekazanie danych osobowych może odbyć się fizycznie, z użyciem środków masowego przekazu lub umieszczeniem danych na serwerze zlokalizowanym poza Unią Europejską, np. korzystanie z usług w chmurze czy portali społecznościowych. Jest to zatem zagadnienie, które dotyczy większości przedsiębiorców.
Co każdy administrator powinien sprawdzić przed dokonaniem transferu danych osobowych?
- Co to jest transfer danych osobowych? Transfer danych osobowych do krajów trzecich to pojęcie z obszaru ochrony danych osobowych, które nigdy nie doczekało się kompleksowej definicji. Jest to rodzaj przetwarzania danych osobowych, które skutkuje przekazaniem danych osobowych do państwa nienależącego do Europejskiego Obszaru Gospodarczego (EOG).
- Co to jest państwo trzecie? To państwo spoza EOG, które tworzą kraje należące do Unii Europejskiej oraz Islandia, Liechtenstein i Norwegia.
- Czy są decyzje KE stwierdzające odpowiedni poziom ochrony danych? Kraje i terytoria, które aktualnie reprezentują odpowiedni poziom ochrony danych osobowych zgodnie z decyzją Komisji Europejskiej, to: Andora, Argentyna, Kanada, Wyspy Owcze Guernsey, Izrael, Wyspa Man, Japonia, Jersey, Nowa Zelandia, Szwajcaria oraz Urugwaj.
- Czy odbiorca zapewnia odpowiednie zabezpieczenia? Ważne, czy zapewnia analogiczną ochronę podmiotom danych, jaka przysługuje im w sytuacji przetwarzania wewnątrz UE. Do takich zabezpieczeń należą wiążące reguły korporacyjne, standardowe klauzule ochrony danych oraz zatwierdzone kodeksy postępowania i mechanizmy certyfikacji.
Wprowadzenie nowych Standardowych Klauzul Umownych (SKU) dotyczących przekazywania danych osobowych do krajów trzecich w podejściu modułowym opiera się na Decyzji KE z dnia 4 czerwca 2021 r. Data początku jego obowiązywania to 27 czerwca 2021 r.
W praktyce podejście modułowe oznacza, że oprócz klauzuli ogólnej administrator i procesor powinni wybrać moduł mający zastosowanie do ich sytuacji.
SKU przewiduje cztery moduły przekazywania:
- między administratorami,
- przez administratora do procesora,
- między procesorami,
- przez procesora do administratora.
„Nowe” zestawy klauzul umownych (SKU), dopuszczały korzystanie ze „starych” SKU przez okres 18 miesięcy tzn. do 27.12.2022 r. Jest to data graniczna dla tej podstawy transferu. Do tego dnia istnieje obowiązek aneksowania wszystkich umów zawierających poprzednie klauzule umowne.
Co należy zrobić przed 27 grudnia?
- Przeprowadzić audyt wszystkich „potencjalnych transferów danych” biorąc również pod uwagę złożoność łańcuchów przetwarzania.
- Zbadać, czy transfer do konkretnego kraju z poza EOG jest dopuszczalny.
- Zmienić stosowane zapisy umowne, jeżeli transfer odbywa się na podstawie „starych” SKU – wydanych przed 2021 r.
- Uwzględnić w treści nowych SKU potrzeby biznesowe organizacji oraz charakter transferu danych – podejście modułowe.
Po 27 grudnia stosowanie „starych” SKU będzie stanowiło naruszenia przepisów prawa o ochronie danych osobowych.
Teresa Grabowska, TG-Doradztwo i Zarządzanie
Tekst został opublikowany na stronie internetowej Stowarzyszenia Polskich Brokerów Ubezpieczeniowych i Reasekuracyjnych.
(am)