10 lipca 2023 r. Komisja Europejska przyjęła decyzję umożliwiającą transfer danych do USA w odniesieniu do podmiotów uczestniczących w programie Data Privacy Framework – pisze w komentarzu dla redakcji OmnichannelNews.pl Anna Pozorska, specjalistka ds. compliance i IOD, Legal Geek.
I choć sama decyzja nie była zaskoczeniem, bo prace nad nią trwały już od jakiegoś czasu, to tematyka zgodności RODO transferów danych osobowych jest nacechowana dużą zmiennością. Biorąc pod uwagę powszechność usług skutkujących takimi transferami, zwłaszcza w e-commerce, śledzenie zmian w tym obszarze jest niezwykle istotne.
Podstawy prawne transferów danych do państw trzecich
W 2018 roku w Unii Europejskiej obowiązuje Ogólne Rozporządzenie o Ochronie Danych (RODO) – oznacza to, że we wszystkich krajach wspólnotowych mamy ujednolicone zasady w zakresie przetwarzania danych osobowych i w przypadku przekazywania danych między podmiotami w ramach UE, wymagania formalne są uproszczone.
W przypadku transferu danych do kraju spoza UE (a właściwie Europejskiego Obszaru Gospodarczego), konieczne jest spełnienie dodatkowych wymogów – przede wszystkim upewnienie się, że mamy podstawę prawną takiego przekazania. RODO wskazuje kilka możliwości, o które możemy się oprzeć, ale w praktyce najczęściej występować będą dwie:
- decyzja Komisji Europejskiej stwierdzająca adekwatny poziom ochrony danych w określonym Państwie,
- zastosowanie standardowych klauzul ochrony danych przyjętych przez Komisję Europejską (tzw. standardowe klauzule umowne).
“Najłatwiejsza” i najbezpieczniejsza jest zawsze decyzja KE – może obejmować Państwo jako całość lub konkretne rodzaje przetwarzania czy też grupy podmiotów. W przypadku USA, w momencie rozpoczęcia stosowania RODO w mocy była tzw. Tarcza Prywatności UE-USA. Był to program, do którego przystępować mogły amerykańskie przedsiębiorstwa, zobowiązując się do przestrzegania określonych zasad. Dostawcy popularnych usług internetowych, tacy jak Facebook czy Google, byli uczestnikami tego programu, w związku z czym wydawało się, że korzystanie z ich usług nie budzi obaw.
Taki stan obowiązywał do lipca 2020 r., kiedy to Tarcza Prywatności została unieważniona wyrokiem TSUE. Środowisko biznesowe zostało zmuszone do zmiany modeli współpracy bez okresu przejściowego. Najwięksi dostawcy zaczęli przechodzić na standardowe klauzule umowne, aby korzystanie z ich usług przez firmy z UE nadal było możliwe. Jakiś czas później rozpoczęły się prace nad nową decyzją w sprawie transferów danych do USA, która zaczęła obowiązywać w lipcu 2023 r.
Obecna decyzja odnosi się do programu Data Privacy Framework i działa ona na podobnych zasadach, jak Tarcza Prywatności – listę podmiotów uczestniczących w programie można znaleźć tutaj: https://www.dataprivacyframework.gov/s/participant-search
Dlaczego nowa decyzja jest tak istotna?
Przedsiębiorcom często towarzyszy przekonanie, że nie przekazują nikomu danych. Zazwyczaj jest ono błędne: popularnych usług, które mogą skutkować transferem danych do USA jest sporo (np. Google Analytics, Facebook Ads, usługi chmurowe Microsoft), w związku z czym konieczne jest śledzenie takich zmian – poza samym aspektem legalności transferu, konieczna może być w takiej sytuacji aktualizacja stosownych dokumentów, klauzul informacyjnych, polityk prywatności itp.
Korzystanie z usług innych podmiotów a RODO
Oprócz samych transferów danych do Państw trzecich, zawsze w przypadku przekazywania danych osobowych innym podmiotom konieczne jest spełnienie pewnych warunków – również w przypadku podmiotów z Unii.
Ważna jest kwestia relacji z podmiotem, z którym przedsiębiorca chce współpracować: jeśli dane osobowe będzie on przetwarzał na polecenie przedsiębiorcy i w jego celach, będzie on w stosunku do tych danych podmiotem przetwarzającym. Wówczas przedsiębiorca jako administrator danych powinien zawrzeć z takim dostawcą umowę powierzenia przetwarzania. Nierzadko umowa powierzenia zawierana jest wraz z akceptacją regulaminu usługi i stanowi jego załącznik.
Zdarzają się sytuacje, gdzie relacja ta będzie wyglądać inaczej i nie będzie wymagana umowa powierzenia, jednak w praktyce częściej spotykamy się z powierzeniem. Warto dokładnie prześledzić treści regulaminów i zawieranych umów – zazwyczaj można w nich znaleźć wyjaśnienie tych kwestii, a w przypadku niejasności najlepiej skontaktować się z takim podmiotem.
Niemniej istotny jest dobór podmiotu pod kątem rzetelności i gwarancji bezpieczeństwa danych. Najlepiej jest wybierać podmioty renomowane i dbające o odpowiednie zabezpieczenie danych.
Autorką komentarza jest Anna Pozorska, specjalistka ds. compliance i IOD, Legal Geek.