Przekazywanie danych do państw trzecich zgodnie z RODO

Przekazywanie danych do państw trzecich zgodnie z RODO

Podstawowym celem przepisów dotyczących przetwarzania danych osobowych – w tym przede wszystkim RODO – jest zapewnienie odpowiedniego poziomu bezpieczeństwa wszelkich czynności podejmowanych w ramach przetwarzania. W końcu dane osobowe pozwalają na bezpośrednią identyfikację każdego człowieka, a wejście w ich posiadanie przez osoby nieuprawnione może doprowadzić do bardzo poważnych problemów. Mogą pojawić się one zwłaszcza wówczas, gdy naruszenia w bezpieczeństwie przetwarzania pojawiają się w związku z ich przekazywaniem za granicę – przede wszystkim do państw niebędących członkami Unii Europejskiej. W celu przeciwdziałania tego rodzaju sytuacjom Komisja Europejska uchwala tzw. standardowe klauzule umowne, których zastosowanie podczas przekazywania danych do państw trzecich pozwala na zapewnienie zgodności tej operacji z unijnym prawem. Niedawno weszła w życie ich najnowsza wersja.

Standardowe Klauzule Umowne jako podstawa transferu danych poza EOG

Dokładnie 27 czerwca br. weszła w życie decyzja Komisji Europejskiej w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich – a więc poza terytorium Europejskiego Obszaru Gospodarczego. Warto pamiętać, że tworzą go wszystkie państwa członkowskie Unii Europejskiej, a ponadto Liechtenstein, Norwegia i Islandia. W każdym razie w momencie, gdy ma dojść do przekazania danych do tych państw, stosowanie klauzul umownych – oczywiście łącznie z innymi, niezbędnymi środkami – jest najlepszym sposobem na zapewnienie zgodności tej operacji z prawem.

Standardowe klauzule umowne odnoszą się do różnego rodzaju sytuacji związanych z przetwarzaniem danych osobowych – do ich przekazania przez między administratorami, przez administratora podmiotowi przetwarzającemu, pomiędzy podmiotami przetwarzającymi, a także przez podmiot przetwarzający administratorowi. Oczywiście operacje te muszą mieć miejsce na linii państwo zrzeszone w EOG – państwo trzecie. Jednocześnie do każdej z opisanych sytuacji przewidziano osobny moduł, określający prawa i obowiązki stron umowy.

Do kiedy można stosować poprzednie SCC?

Omawiana tu decyzja składa się z kilkudziesięciu szczegółowych postanowień, stąd trudno dogłębnie przeanalizować każde z nich. W każdym razie ich zastosowanie – obok zapewnienia zgodności z RODO „transgranicznych” operacji związanych z przetwarzaniem danych – pozwala na wybór konkretnych klauzul, najlepiej odpowiadających danej sytuacji. Nie ma także przeszkód, aby strony umowy odpowiednio rozbudowywały zaproponowane przez Komisję Europejską postanowienia, precyzyjnie regulując zasady swojej współpracy w obszarze przetwarzania danych osobowych.

Klauzule umowne odnoszą się do takich kwestii, jak obowiązki stron umowy dotyczącej przetwarzania danych osobowych, nadzór nad przetwarzaniem, zasady ponoszenia odpowiedzialności przez strony w przypadku naruszenia  czy dochodzenia ewentualnych roszczeń. Poza tym Komisja Europejska w swojej decyzji określiła zasady, na jakich nowe standardowe klauzule będą stosowane – zwłaszcza w odniesieniu do ich poprzedniej wersji.

 Co do zasady na podstawie poprzednich klauzul dane do państw trzecich mogą być przekazywane jeszcze przez okres 18 miesięcy – licząc od dnia 27 czerwca br. Jednak jedynie do 27 września br. możliwe jest zawieranie w umowach klauzul wynikających z poprzednich decyzji. Po tej dacie w kontraktach dotyczących przekazywania danych do państw trzecich będzie można stosować jedynie nowe standardowe klauzule umowne. Jeżeli w tym czasie nastąpi zmiana treści pierwotnie zawartej umowy, konieczne stanie się zaktualizowanie standardowych klauzul zgodnie z ich obecnym brzmieniem.

 

Wdrożenia RODO Warszawa | RODO w małej firmie | Ochrona danych osobowych 

KOMENTARZE
* pola wymagane
CZYTAJ RÓWNIEŻ

Niechciane telefony – zwłaszcza z różnego rodzaju ofertami – to prawdziwa zmora dla wielu użytkowników. Dlatego numer telefonu powinien pozostawać pod ochroną, tak aby dostęp do niego mieli jedyni ci, którym użytkownik – w takiej bądź innej formie – go przekazał. Tymczasem okazuje się, że w praktyce taka ochrona nie jest prosta. Problemem pozostaje także odpowiedź na pytanie na jakich zasadach prawnych powinna ona następować. Przykładowo ostatnio Wojewódzki Sąd Administracyjny w Warszawie stwierdził, że numer telefonu komórkowego nie należy do kategorii danych osobowych. Tym samym nie mają do niego zastosowania chociażby unormowania RODO. Czy jego takie stanowisko jest słuszne?

CZYTAJ DALEJ

Jak podaje prasa luksemburski urząd ochrony danych osobowych nałożył na AMAZON rekordową karę finansową w wysokości 746 mln euro za naruszenie unijnych zasad ochrony danych osobowych. O tym, że kary mogą być surowę wszyscy wiedzą ale żeby aż tak - to pewna nowość. 

CZYTAJ DALEJ

W tym wpisie zajmiemy się odpowiedzią na pytanie, czy numery tablic rejestracyjnych są danymi osobowymi w myśl Rozporządzenia RODO. Orzecznictwo coraz śmielej stosuje, i interpretuje, przepisy dotyczące ochrony danych osobowych zajmując się już kolejny raz kwestię tego, czy numery tablic rejestracyjnych pojazdów są objęte ochroną.

CZYTAJ DALEJ