Czy odcisk palca jest bezpieczny? Jak działa biometria i dlaczego nie zastępuje hasła
czytaj więcej
Transfer danych osobowych poza Unię Europejską oznacza sytuację, w której dane trafiają do firmy lub serwera znajdującego się poza UE.
W praktyce zdarza się to bardzo często. Na przykład wtedy, gdy korzystasz z narzędzi marketingowych, systemów CRM, usług chmurowych albo oprogramowania SaaS.
Z punktu widzenia RODO nie każdy taki transfer jest dozwolony. Dane można przekazać poza UE tylko wtedy, gdy istnieje do tego odpowiednia podstawa prawna.
Decyzja Komisji Europejskiej o odpowiednim poziomie ochrony danych
Najprostsza sytuacja jest wtedy, gdy dane trafiają do kraju, który według Komisji Europejskiej zapewnia odpowiedni poziom ochrony danych.
W praktyce oznacza to, że prawo w tym kraju chroni dane osobowe w podobny sposób jak w Unii Europejskiej.
Jeżeli kraj znajduje się na takiej liście, dane można przekazywać bez dodatkowych umów i zabezpieczeń.
Aktualną listę krajów można sprawdzić tutaj:
Lista krajów uznanych przez Komisję Europejską za zapewniające odpowiednią ochronę danych
Na tej liście znajdują się m.in. Szwajcaria, Wielka Brytania, Japonia, Nowa Zelandia czy Korea Południowa.
Standardowe klauzule umowne (SCC) – art. 46 RODO
Jeżeli kraj nie znajduje się na tej liście, przekazanie danych nadal może być legalne. W takiej sytuacji trzeba zastosować dodatkowe zabezpieczenia.
Najczęściej używa się tzw. standardowych klauzul umownych (SCC).
Są to gotowe zapisy umowne przygotowane przez Komisję Europejską. Administrator danych w UE podpisuje je z firmą, która przetwarza dane poza Unią.
Taka umowa zobowiązuje odbiorcę danych do zapewnienia odpowiedniego poziomu bezpieczeństwa oraz do przestrzegania zasad ochrony danych.
Wiążące reguły korporacyjne (BCR) – art. 47 RODO
Duże międzynarodowe firmy mogą stosować tzw. wiążące reguły korporacyjne (BCR).
Są to wewnętrzne zasady ochrony danych obowiązujące we wszystkich spółkach danej grupy kapitałowej. Dzięki nim dane mogą być przekazywane pomiędzy firmami w różnych krajach.
Takie reguły muszą zostać wcześniej zatwierdzone przez organ nadzorczy.
Wyjątki przewidziane w art. 49 RODO
RODO przewiduje również sytuacje wyjątkowe, w których dane można przekazać poza UE.
Może to być np.:
- zgoda osoby, której dane dotyczą,
- sytuacja, gdy przekazanie danych jest konieczne do wykonania umowy,
- konieczność ustalenia lub obrony roszczeń.
Takie rozwiązania powinny być stosowane tylko w szczególnych przypadkach, a nie przy stałym przekazywaniu danych.
Najważniejsze wnioski
Dane osobowe można przekazywać poza Unię Europejską, ale tylko wtedy, gdy istnieje do tego podstawa prawna.
Najprostsza sytuacja jest wtedy, gdy kraj znajduje się na liście państw uznanych przez Komisję Europejską za bezpieczne.
Jeżeli tak nie jest, trzeba zastosować dodatkowe zabezpieczenia, np. standardowe klauzule umowne albo wiążące reguły korporacyjne.
