Przekazywanie danych osobowych do państw trzecich zgodnie z RODO

Z powodu globalizacji, stale rosnącego poziomu technologii oraz zaawansowania komunikacyjnego większość firm i instytucji Unii Europejskiej nawiązuje kontakty biznesowe również z krajami spoza UE. A co za tym idzie, dane osobowe klientów wychodzą poza obszar obowiązywania RODO. I trafiają do tzw. „państw trzecich”.

Czy są jakieś regulacje odnośnie przekazywania danych osobowych do państw trzecich? Tak! RODO ustanowiło precyzyjne i szczegółowe regulacje prawne chroniące prywatność obywateli. Rozporządzenie zawiera zapisy i w tej kwestii.

Co oznacza sformułowanie „państwo trzecie”?

Zazwyczaj mówiąc o „państwie trzecim” mamy na myśli państwa poza UE. Jednak to nie jest do końca prawda.
RODO jest uznawane przez wszystkie państwa należące do Europejskiego Obszaru Gospodarczego (EOG). Należą do niego oprócz państw wchodzących w skład UE, również Islandia, Liechtenstein oraz Norwegia. Zatem, resztę państw na świecie zgodnie z nomenklaturą RODO możemy uznać za „państwa trzecie”.
Warto pamiętać, że z powodu brexitu, od 1 stycznia 2021 roku również Wielka Brytania należy do państw trzecich.

Co znaczy przekazywanie danych do państw trzecich?

Ścisłej definicji tej operacji nie ma. Przyjmuje się, że oznacza to każdą sytuację, kiedy przekazuje się dane osobowe z EOG na zewnątrz.
Tego typu sytuacja może się odnosić do rekrutacji. Np. ktoś z zagranicznego oddziału firmy, z państwa trzeciego (wedle terminologii RODO), pomaga przy rekrutacji i dostaje do wglądu CV kandydata z Polski.
Również korespondencja mailowa, np. z oddziałem firmy w Azji, która zawiera jakieś dane osobowe oznacza tak naprawdę przekazywanie danych do państw trzecich i podlega zaleceniom RODO.

Jak przeprowadzić transfer danych osobowych do państw trzecich?

Żeby przekazać dane do państwa trzeciego w zgodzie z RODO trzeba wykonać kilka czynności. Inspektor ochrony danych ( kiedyś nazywany administratorem bezpieczeństwa informacji) powołany w firmie musi w tym celu:

1. Upewnić się, że odbiorca danych zlokalizowany jest w państwie trzecim.
2. Następnie sprawdzić czy Komisja Europejska (KE) wydała decyzję potwierdzającą, że państwo trzecie, do którego transferuje się dane zapewnia odpowiedni stopień ochrony. Jeżeli tak, to taki transfer nie wymaga zezwolenia właściwego dla danego państwa trzeciego organu nadzoru ani zastosowanie szczególnych zabezpieczeń.

Decyzje Komisji można znaleźć w Dzienniku Urzędowym Unii Europejskiej.
Jednak to jeszcze nie wszystko. Trzeba również poznać szczegóły decyzji Komisji. Nie zawsze decyzje KE obejmują wszystkie przypadki transferu danych.
Jeżeli wszystkie warunku są spełnione można, zgodnie z prawem, przekazać dane osobowe do państwa trzeciego.

Co w sytuacji, gdy państwo trzecie nie jest objęte decyzją KE?

Jeżeli kraj, do którego ma nastąpić transfer danych nie jest objęty decyzją Komisji trzeba upewnić się, że w danym kraj są egzekwowane prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. Trzeba uzyskać zezwolenie właściwego dla danego państwa trzeciego organu nadzoru na przesłanie danych. I zapewnić odpowiednie zabezpieczenia podczas przekazywania danych.

Podsumowania

Jak widać przekazywanie danych do państw trzecich nie jest czynnością automatyczną. Jeżeli przerasta to możliwości przedsiębiorstwa, zawsze można skorzystać z firmy zewnętrznej, która specjalizuje się w usługach RODO.