Przekazywanie danych osobowych poza UE - jak zrobić to zgodnie z RODO?
RODO i dane osobowe · 2 min czytania · Redakcja zaufanyprawnik.pl
Przekazanie danych osobowych podmiotowi mającemu siedzibę poza Europejskim Obszarem Gospodarczym (państwu trzeciemu) nie jest zakazane, ale obwarowane szczególnymi wymogami RODO. Administrator musi mieć nie tylko ogólną podstawę przetwarzania (art. 6 lub art. 9 RODO), lecz także odrębną podstawę transferu z rozdziału V rozporządzenia. Pominięcie tego drugiego kroku jest jednym z częstszych i najdroższych błędów organizacji.
Mechanizmy legalnego transferu - rozdział V RODO
Najpewniejszą podstawą jest decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony w danym państwie (decyzja o adekwatności, art. 45 RODO) - wówczas transfer nie wymaga dodatkowego zezwolenia. Gdy takiej decyzji brak, można skorzystać z odpowiednich zabezpieczeń z art. 46 RODO, przede wszystkim ze standardowych klauzul umownych (SCC) przyjętych przez Komisję, a w grupach kapitałowych - z wiążących reguł korporacyjnych (BCR, art. 47). Po wyroku TSUE w sprawie Schrems II samo zawarcie SCC nie wystarcza - administrator musi dodatkowo ocenić, czy prawo państwa odbiorcy nie podważa skuteczności tych klauzul, i wdrożyć środki uzupełniające (np. szyfrowanie).
Wyjątki dla pojedynczych sytuacji - art. 49 RODO
Gdy nie ma ani decyzji o adekwatności, ani odpowiednich zabezpieczeń, RODO dopuszcza transfer wyjątkowo, na podstawie art. 49 - m.in. za wyraźną zgodą osoby (po poinformowaniu jej o ryzyku), gdy transfer jest niezbędny do wykonania umowy z tą osobą lub do ustalenia, dochodzenia albo obrony roszczeń. Są to odstępstwa interpretowane wąsko; nie mogą być rutynową podstawą stałych, masowych transferów. Niezależnie od podstawy obowiązują zasady ogólne: minimalizacja danych, ograniczenie celu i rozliczalność (dokumentowanie podstawy każdego transferu).
Kary za naruszenie zasad transferu
Naruszenie przepisów o przekazywaniu danych do państw trzecich należy do najpoważniejszych naruszeń RODO. Zgodnie z art. 83 ust. 5 RODO grozi za nie administracyjna kara pieniężna do 20 mln euro, a w przypadku przedsiębiorstwa - do 4% całkowitego rocznego światowego obrotu z poprzedniego roku, przy zastosowaniu wartości wyższej. W Polsce organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych (UODO), który może też nakazać zaprzestanie transferu. Do strat finansowych dochodzi ryzyko reputacyjne oraz roszczenia osób, których dane dotyczą.
Najczęstsze pytania
Czy zawsze potrzebuję zgody osoby na transfer danych za granicę?
Nie. Zgoda to tylko jeden z wyjątków z art. 49 RODO. Jeżeli istnieje decyzja o adekwatności (art. 45) lub odpowiednie zabezpieczenia, np. standardowe klauzule umowne (art. 46), transfer jest dopuszczalny bez odrębnej zgody, przy zachowaniu zasad ogólnych RODO.
Co to są standardowe klauzule umowne (SCC)?
To wzorcowe klauzule przyjęte przez Komisję Europejską, które strony włączają do umowy, aby zapewnić odpowiedni poziom ochrony danych przy transferze. Po wyroku Schrems II trzeba dodatkowo ocenić prawo państwa odbiorcy i w razie potrzeby wdrożyć środki uzupełniające.
Jaka kara grozi za nielegalny transfer danych poza EOG?
Za naruszenie przepisów o transferach do państw trzecich grozi administracyjna kara pieniężna do 20 mln euro lub do 4% rocznego światowego obrotu przedsiębiorstwa (art. 83 ust. 5 RODO) - stosuje się kwotę wyższą.
Powiązane poradniki
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Zgłoś sprawę