Poniżej publikujemy ważną informację, opracowaną przez przez współpracującego z nami eksperta z dziedziny ochrony danych osobowych, Panią Teresę Grabowską.
Transfer danych osobowych do krajów trzecich jest jednym z obszarów RODO, który podlega istotnym i intensywnym zmianom. Wielu przedsiębiorców uznaje, że ta problematyka ich nie dotyczy, co nie do końca jest prawdą.
Przekazywania danych osobowych do państw trzecich jest naprawdę wiele, ale znacząca ilość firm nie zdaje sobie sprawy, że uczestniczy w tym procesie.
Przekazanie danych osobowych może odbyć się fizycznie, z użyciem środków masowego przekazu lub umieszczeniem danych na serwerze zlokalizowanym poza Unią Europejską np. korzystanie z usług w chmurze czy portali społecznościowych. Jest to zatem zagadnienie, które dotyczy większości przedsiębiorców.
Co każdy administrator powinien sprawdzić przed dokonaniem transferu danych osobowych.
1. Co to jest transfer danych osobowych?
Transfer danych osobowych do krajów trzecich, to pojęcie z obszaru ochrony danych osobowych, które nigdy nie doczekało się kompleksowej definicji. Jest to rodzaj przetwarzania danych osobowych, które skutkuje przekazaniem danych osobowych do państwa nienależącego do Europejskiego Obszaru Gospodarczego (EOG).
2. Co to jest Państwo trzecie?
To państwo spoza EOG, które tworzą kraje należące do Unii Europejskiej oraz Islandia, Liechtenstein i Norwegia.
3. Czy są decyzje KE stwierdzające odpowiedni poziom ochrony danych?
Kraje, które aktualnie reprezentują odpowiedni poziom ochrony danych osobowych zgodnie z decyzją Komisji Europejskiej to: Andora, Argentyna, Kanada, Wyspy Owcze Guernsey, Izrael, Wyspa Man, Japonia, Jersey, Nowa Zelandia, Szwajcaria oraz Urugwaj.
4. Czy odbiorca zapewnia odpowiednie zabezpieczenia? Ważne, czy zapewnia analogiczną ochronę podmiotom danych, jaka przysługuje im w sytuacji przetwarzania wewnątrz UE. Do takich zabezpieczeń należą; wiążące reguły korporacyjne, standardowe klauzule ochrony danych oraz zatwierdzone kodeksy postępowania i mechanizmy certyfikacji.
Wprowadzenie nowych Standardowych Klauzul Umownych (SKU) dotyczących przekazywania danych osobowych do krajów trzecich w podejściu modułowym – Decyzja KE z dnia 04.06.2021r. Data obowiązywania – 27.06.2021r
W praktyce podejście modułowe oznacza to, że oprócz klauzuli ogólnej administrator i procesor powinni wybrać moduł mający zastosowanie do ich sytuacji.
SKU przewiduje cztery moduły przekazywania:
• między administratorami,
• przez administratora do procesora,
• między procesorami,
• przez procesora do administratora.
„Nowe” zestawy klauzul umownych (SKU), dopuszczały korzystanie ze „starych” SKU przez okres 18 miesięcy tzn. do 27.12.2022r. Jest to data graniczna dla tej podstawy transferu. Do tego dnia jest obowiązek aneksowania wszystkich umów zawierających poprzednie klauzule umowne.
Co należy zrobić przed 27 grudnia 2022 r ?
1. Przeprowadzić audyt wszystkich „potencjalnych transferów danych” biorąc również pod uwagę złożoność łańcuchów przetwarzania,
2. Zbadać czy transfer do konkretnego kraju z poza EOG jest dopuszczalny?
3. Zmienić stosowane zapisy umowne jeżeli transfer odbywa się na podstawie „starych” SKU – wydanych przed 2021r.
4. Uwzględnić w treści nowych SKU potrzeby biznesowe organizacji oraz charakter transferu danych – podejście modułowe.
UWAGA – Po 27.12.2022r. stosowanie tzw. „starych” SKU będzie stanowiło naruszenia przepisów prawa o ochronie danych osobowych.
Teresa Grabowska
TG-Doradztwo i Zarządzanie