Po pierwsze, wyjaśnijmy sobie czym jest transfer do państwa trzeciego (transfer może odbywać się również do organizacji międzynarodowej, ale to sobie dzisiaj pominiemy).

CZYM JEST TRANSFER DANYCH OSOBOWYCH?

Otóż, taki transfer to jakiekolwiek przekazanie danych osobowych do państwa trzeciego. Aktualnie nie będziemy się skupiać na przekazaniu w formie papierowej. Dzisiaj większe znaczenie mają rozwiązania informatyczne: przechowywanie danych w chmurze, poczta elektroniczna, obsługa newsletterów, komentarzy na stronie internetowej, chatbotów itp.

Po pierwsze, korzystając z tego typu rozwiązań, zwykle my jako administrator powierzamy dane osobowe dostawcy rozwiązania – podmiotowi przetwarzającemu. Dostawca newslettera jest naszym podwykonawcą, ponieważ obsługuje nasz newsletter (dokonujemy outsourcingu usług). Dostawca newslettera tak naprawdę zbiera dane osobowe naszych subskrybentów. A my jesteśmy administratorem ich danych osobowych. Dlatego też musimy ustalić, czy ten podmiot przetwarzający przekazuje dane osobowe do państw trzecich (poza EOG).

Do EOG należą kraje Unii Europejskiej oraz Islandia, Lichtenstein i Norwegia.

Więcej o umowie powierzenia przetwarzania możesz przeczytać w artykule: Umowa powierzenia przetwarzania danych.

PODSTAWY TRANSFERU DANYCH DO PAŃSTWA TRZECIEGO

Transfer danych poza EOG jest możliwy na podstawie:

• decyzji stwierdzającej odpowiedni stopień ochrony wydawanej przez Komisję Europejską;
• standardowych klauzul umownych (SCC);
• wiążących reguł korporacyjnych;
• stosowanego mechanizmu certyfikacji lub kodeksu postępowania;
• innych mechanizmów (np. wyraźna zgoda podmiotu danych, niezbędność przekazania do wykonania umowy, uzasadniony interes administratora z szeregiem dodatkowych ograniczeń).

Aktualnie najbardziej popularne są decyzja Komisji i standardowe klauzule. Pierwsza z nich to decyzja wydawana przez Komisję Europejską. Jeżeli Komisja wyda taką decyzję wobec jakiegoś państwa oznacza to, że transfer danych do takiego państwa jest bezpieczny i zgodny z RODO.

Jeżeli nie ma decyzji, administratorzy zazwyczaj opierają transfer na podstawie standardowych klauzul umownych. Komisja ustaliła wzorce takich klauzul. Klauzule określają odpowiednie zabezpieczenia, prawa osób, których dane dotyczą i środki ochrony prawnej w odniesieniu do transferowania danych poza EOG. Takie klauzule należy zawrzeć z podmiotem do którego dane trasferujemy.

Omówmy najważnieszje trasfery…

TRANSFER DANYCH DO USA KIEDYŚ I DZIŚ

Dotychczas transfer danych do USA był możliwy na podstawie Tarczy Prywatności. Jednak w lipcu 2020 r. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał wyrok w sprawie Schrems II (C-311/188), którym unieważniono Tarczę Prywatności.

W wyroku TSUE wskazał, że nie ma gwarancji bezpieczeństwa danych osób spoza USA, ponieważ są one poddawane masowej inwigilacji elektronicznej. Zdaniem TSUE uprawnienia amerykańskich agend rządowych wynikające z prawa amerykańskiego względem „danych zagranicznych” są zbyt szerokie i niekontrolowane. Dlatego też nie można uznać, że Tarcza Prywatności rzeczywiście dawała osobom z Unii Europejskiej odpowiednią ochronę na równi z RODO.

Aktualnie, dane osobowe do USA teoretycznie można przekazać na podstawie standardowych klauzul umownych. Niemniej jednak nie jest to takie proste.

Dotychczasowe klauzule zawarte przed 27 września 2021 r. zapewniają odpowiednie gwarancje do 27 grudnia 2022 r. Jednak pod warunkiem, że operacje przetwarzania stanowiące przedmiot umowy pozostaną niezmienione oraz że stosowanie tych klauzul zapewnia, aby przekazywanie danych osobowych odbywało się z zastrzeżeniem odpowiednich zabezpieczeń.

TSUE w ww. wyroku wskazał ponadto, że korzystanie ze standardowych klauzul umownych nie jest wystarczające. Administrator powinien zweryfikować prawo państwa do którego dane przekazuje oraz zapewnić dodatkowe środki bezpieczeństwa.

Podsumowując, zastosowanie nowych standardowych klauzul umownych i tak powoduje konieczność oceny transferu i ewentualne wdrożenie środków uzupełniających standardowe klauzule umowne.

TRANSFER DANYCH DO WIELKIEJ BRYTANII

Z dniem 31 stycznia 2020 roku Wielka Brytania wyszła z UE. Zatem co z przekazywaniem danych osobowych do Wielkiej Brytanii? Otóż, 28 czerwca 2021 r. Komisja Europejska przyjęła dwie decyzje stwierdzające odpowiedni poziom ochrony danych osobowych w Wielkiej Brytanii:

• decyzja o sygn. C(2021) 4800 final, wydana na podstawie rozporządzenia (UE) 2016/679 (RODO);
• decyzja o sygn. C(2021) 4801 final, wydana na podstawie dyrektywy (UE) 2016/680.

Czyli jeżeli korzystamy z usług dostawcy z Wielkiej Brytanii, wskazujemy, że przekazujemy dane osobowe do Wielkiej Brytanii na podstawie ww. decyzji. Wtedy transfer jest legalny.

Aktualne decyzje obowiązują do 27 czerwca 2025 r. Jeżeli po tym czasie Wielka Brytania będzie nadal zapewniać odpowiedni poziom ochrony, Komisja może przedłużyć obowiązywanie tych decyzji.

TRANSFER DANYCH POZA EOG, A USŁUGI GOOGLE, MICROSOFT…

Warto wspomnieć o usługach takich jak Microsoft 365, czy Google (m.in. pakiet Workspace). Na przykład rozwiązanie Google’a może być zgodne z RODO, ale uwaga – w wersji płatnej, biznesowej. W wersji biznesowej administrator może zawrzeć umowę powierzenia przetwarzania danych osobowych z podmiotem przetwarzającym, czyli dostawcą tej usługi.

Google deklaruje pełną zgodność z RODO w swoich politykach (dostęp na 18.05.2022 r.).

Warto wspomnieć, że Google ma kilka lokalizacji przechowywania danych w Unii Europejskiej. Użytkownik pakietu Workspace może wybrać lokalizację, w której będą przechowywane jego dane. Można zobaczyć jak to wygląda pod tym linkiem: Lokalizacje przechowywania danych przez Google (dostęp na 18.05.2022 r.).

Zatem korzystając z usługi Google, po pierwsze należy wybrać odpowiedni pakiet. Po drugie, należy zawrzeć umowę powierzenia przetwarzania danych osobowych oraz wybrać odpowiedni obszar przechowywania danych osobowych. Natomiast Microsoft zapewnia użytkowników, że dane są przechowywane na terenie EOG.

Jednak korzystając z rozwiązań innych firm, należy zweryfikować gdzie dane osobowe będą przechowywane. Ważne aby ustalić gdzie firma ma serwery, gdzie robi back up’y itd. Należy też zweryfikować z jakich podmiotów przetwarzających korzysta firma, która ma stać się naszym podwykonawcą. Może też dojść do takiej sytuacji, że nasz kontrahent teoretycznie nie przekazuje danych do państw trzecich, ale już jego podmiot przetwarzający tak…

TRANSFER DANYCH POZA EOG, A FACEBOOK

Z Facebookiem sytuacja nie wygląda już tak korzystnie. Facebook ma serwery w różnych miejscach świata. Dlatego też mając firmowy fanpage na Facebooku, czy wstawiając wtyczkę „Lubię to” na swoją stronę internetową, musisz mieć z tyłu głowy, że wiąże się to z pewnym ryzykiem.

Wbudowując wtyczkę „Lubię to”, pozyskujesz i przekazujesz dane dalej poprzez transmisję za pośrednictwem wtyczki Facebooka.

W odniesieniu do tworzenia profilu na Facebooku, Trybunał wskazał, że: utworzenie fanpage’a na Facebooku wiąże się z podjęciem przez jego administratora działań polegających na ustaleniu parametrów zależnych w szczególności od jego użytkowników docelowych, jak również od celów w zakresie zarządzania lub promocji jego działalności, co wpływa na przetwarzanie danych osobowych na potrzeby statystyk sporządzonych na podstawie liczby odwiedzających fanpage’a. Ów administrator może za pomocą filtrów udostępnionych przez Facebook zdefiniować kryteria, na podstawie których statystyki te muszą być sporządzane, a nawet określić kategorie osób, których dane osobowe będą wykorzystywane przez Facebook. W konsekwencji administrator fanpage’a prowadzonego na Facebooku przyczynia się do przetwarzania danych osobowych osób odwiedzających jego stronę.

Ok, ale co to znaczy? Przecież nie masz dostępu do danych osobowych, tylko do statystyk. No właśnie. Ale to Ty decydujesz o utworzenniu fanpage’a i o zbieraniu danych na potrzeby tworzenia tych statystyk. Decydujesz również o tym, jakie dane mają być zbierane do tworzenia statystyk. Dlatego też jeśli utworzyłeś firmowy fanpage na Facebooku, jesteś administratorem danych osobowych w tym obszarze.

 

Co w takim razie z Google Analytics? O tym będzie w odrębnym artykule.

„TWOJE DANE OSOBOWE NIE SĄ PRZEKAZYWANE POZA EOG” – DLACZEGO TO NIEPRAWDA?

Często zdarza się, że Administrator nieprawidłowo informuje, że dane nie są przekazywane poza EOG.

Gdzie najbardziej rzuca się w oczy ten błąd? Otóż, mamy politykę prywatności. Administrator wskazuje, że nie przekazuje danych do państw trzecich. Natomiast korzysta on z MailerLite, Google Analytics i innych narzędzi, które przekazują dane poza EOG. Zanim poinformujesz użytkowników strony czy klientów, że nie przekazujesz danych poza EOG, zweryfikuj jakie rozwiązania posiada Twoja witryna. Trzeba zastanowić się nad dostawcami w szczególności takich rozwiązań jak:

• poczta elektroniczna,
• newsletter,
• obsługa komentarzy,
• chatboty,
• system dzwonienia ze strony internetowej,
• Google Analytics,
• wtyczki mediów społecznościowych,
• obsługa formularza kontaktowego.

Bez wątpienia, korzystanie z powyższych usług należy brać pod uwagę m.in. przy tworzeniu polityki prywatności, rejestru czynności przetwarzania, zawieraniu umowy powierzenia. A przede wszystkim przy wykonaniu obowiązku informacyjnego wobec użytkowników strony czy klientów.

I tak, w klauzuli informacyjnej (czy polityce prywatności), tych dostawców należy przedstawić jako odbiorów danych osobowych. Dodatkowo, jeżeli okaże się, że jednak przekazujesz dane poza EOG, powinieneś poinformować o fakcie transferu. Ponadto, należy poinformować o podstawie takiego transferu – o decyzji Komisji albo innej podstawie. Jeżeli Komisja nie wydała stosownej decyzji powinieneś poinformować o stosowanych zabezpieczeniach oraz o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.