RODO: Transgraniczny transfer wkrótce na podstawie nowych regulacji

Od 25 maja 2018 r. zmianom ulegną regulacje w zakresie przekazywania danych osobowych poza państwa z Europejskiego Obszaru Gospodarczego (EOG). Wszyscy przedsiębiorcy działający na arenie międzynarodowej będą musieli zweryfikować, czy i w jakim zakresie te zmiany będą dla nich miały znaczenie.

RODO: Pod presją kar

W myśl nowego rozporządzenia o ochronie danych osobowych (RODO – rozporządzenie Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. [UE] 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz.Urz. UE z 2016 r. L 119, s. 1) transgraniczne przekazywanie danych bez odpowiedniej podstawy prawnej będzie zagrożone karą pieniężną w wysokości do 20 mln euro, natomiast w przypadku przedsiębiorstwa – w wysokości do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Powoduje to, że każdy przedsiębiorca we własnym interesie powinien zbadać przepływ danych osobowych wewnątrz jego przedsiębiorstwa, w szczególności zaś ocenić, czy przepływ ten nie ma charakteru transgranicznego. Jeżeli w wyniku tej analizy okaże się, że takie przepływy faktycznie mają miejsce, przedsiębiorca powinien rozważyć wdrożenie odpowiednich reguł gwarantujących zgodność przepływu z przepisami RODO.

Przekazywanie danych poza EOG

W zakresie przekazywania danych osobowych do państw spoza EOG RODO utrzymuje mechanizmy obowiązujące na mocy dotychczasowych przepisów, wprowadzając w nich jednak pewne zmiany.

W dalszym ciągu co do zasady przekazywanie danych osobowych do państw spoza EOG jest zabronione, chyba że zachodzi jedna z przesłanek pozwalających na taki transfer.

Wśród najważniejszych przesłanek, o których mowa, wskazać należy:

• wydanie przez Komisję Europejską decyzji stwierdzającej, że państwo trzecie zapewnia odpowiedni poziom ochrony (modelowym przykładem jest decyzja dotycząca USA, tzw. Privacy Shield, która upoważnia do przetwarzania danych osobowych podmioty mające siedzibę w USA);
• istnienie tzw. BCR (ang. Binding Corporate Rules), czyli porozumienia grupy przedsiębiorców dotyczącego transferu danych wewnątrz tej grupy, zatwierdzonego przez odpowiedni organ nadzoru;
• posiadanie przez przedsiębiorcę zatwierdzonego kodeksu postępowania w zakresie RODO bądź certyfikatu wydanego przez odpowiedni atestowany organ.

Taki model udostępniania danych ma bardzo praktyczne implikacje dla przedsiębiorców spoza EOG. Oznacza bowiem, że przedsiębiorca taki, zamierzając prowadzić działalność związaną z przetwarzaniem danych osobowych obywateli państwa z EOG, musi zapewnić im odpowiedni poziom ochrony. W ten sposób przepisy RODO pośrednio poprawiają, w skali globalnej, standardy ochrony danych osobowych, narzucając krajom spoza EOG obowiązek ich stosowania.

Możliwe podstawy przekazywania danych

Przedsiębiorcy, którzy będą przekazywać zebrane przez siebie dane osobowe na zewnątrz EOG, powinni już teraz rozważyć, która z przesłanek do tego uprawniających pozwoli na realizację ich dotychczasowej działalności w tym zakresie.

W pierwszej kolejności przedsiębiorcy powinni ustalić, czy z ich perspektywy dostateczne będzie oparcie swoich działań na ogólnej decyzji KE stwierdzającej, że dane państwo zapewnia określony poziom ochrony. W sytuacji, gdy ta przesłanka w ich przypadku nie będzie wystarczająca, przedsiębiorca będzie mógł rozważyć również skorzystanie z alternatywnych możliwości.

Niewątpliwie BCR, jako sposób transgranicznego przekazywania danych, wydaje się być tym instrumentem, który może znaleźć szerokie zastosowanie w stosunkach wewnątrz całej grupy kapitałowej.

Jednocześnie, ponieważ BCR będzie wymagać uprzedniego zatwierdzenia przez organy nadzoru, daje on przedsiębiorcy gwarancję, że implementowane przez niego rozwiązania są zgodne z wymogami RODO.

Z kolei posiadanie przez dany podmiot odpowiedniego certyfikatu jest instrumentem, który przedsiębiorcy będą mogli wykorzystać w przypadku, gdy nie należą do tej samej grupy kapitałowej.

Rachunek zysków i strat

Każde z wyżej wymienionych rozwiązań będzie się niewątpliwie wiązać z powstaniem dodatkowych kosztów po stronie przedsiębiorcy, który będzie musiał wdrożyć określone procedury gwarantujące zgodność przetwarzania danych z wymogami RODO. Już z tego względu każdy przedsiębiorca, przed podjęciem decyzji w przedmiocie implementowania wybranych rozwiązań, powinien zrobić rachunek zysków i strat co do przekazywania danych osobowych. Nie można bowiem wykluczyć, że koszty wdrożenia odpowiednich procedur zgodności będą wyższe niż potencjalne korzyści, jakie przedsiębiorca może odnieść z transgranicznego transferu danych.

Wewnątrz one stop shop

Należy również wspomnieć, że wewnątrz samego EOG przetwarzanie danych osobowych ma być oparte na zasadzie tzw. one stop shop. Oznacza to, że administrator podlega nadzorowi sprawowanemu przez jeden podmiot, zwany wiodącym organem nadzoru (np. polskiemu GIODO). Właściwość organu jest wyznaczona lokalizacją głównej jednostki organizacyjnej danego przedsiębiorcy. W założeniu rozwiązanie to ma ułatwić administratorowi funkcjonowanie w obrocie prawnym poprzez przyjęcie, że będzie on podlegał temu organowi, który jest najbliżej centrum jego aktywności biznesowej. Sprawowanie nadzoru przez wiodący organ nadzoru oznacza, że ten właśnie podmiot będzie sprawował pieczę nad transgranicznym przetwarzaniem danych osobowych (w szczególności zaś ich przekazywaniem) wewnątrz całej Unii przez określonego administratora.

Ryzyka związane z przyjętym modelem

Pewne wątpliwości może budzić fakt, czy to potencjalne ułatwienie nie zostanie rozmyte przez inne rozwiązania RODO. Akt ten przyznaje bowiem organom innych państw (w sprawach, które dotyczą danego kraju) prawo zgłoszenia uzasadnionego sprzeciwu w przypadku, gdy nie zgadzają się one ze stanowiskiem wiodącego organu nadzoru. Jeżeli jednak wiodący organ nadzoru nie zaakceptuje tego stanowiska, może uruchomić skomplikowaną procedurę przed specjalnym organem unijnym – Europejską Radą Ochrony Danych.

Dodatkowo sprawy lokalne (dotyczące przetwarzania danych osobowych wyłącznie w jednym państwie UE) w dalszym ciągu co do zasady będą podlegały rozpatrzeniu przez organy nadzoru poszczególnych państw UE (mogą jednak zostać przejęte do rozpatrzenia przez wiodący organ nadzoru). Czas pokaże, jak często przedstawiciele organów nadzoru z poszczególnych krajów UE będą zgłaszali sprzeciwy w sprawach związanych z ochroną danych osobowych oraz jak będzie je traktować Europejska Rada Ochrony Danych, i w konsekwencji, czy idea one stop shop zostanie faktycznie zrealizowana.

Autorzy: Jakub Łabuz, Maciej Marek