Transfer danych a RODO

Jak ogólne rozporządzenie o ochronie danych (RODO) reguluje kwestię transferu danych do tzw. państw trzecich oraz na co będzie trzeba zwrócić uwagę w przypadku przekazywania danych do Wielkiej Brytanii po brexicie – to niektóre zagadnienia, jakie zostały szczegółowo omówione podczas szkolenia UODO dla inspektorów ochrony danych (IOD).

Coraz częściej dochodzi do transgranicznego transferu danych osobowych. Krąg administratorów, którzy mają z tym do czynienia na co dzień, stale się poszerza. Dlatego „Przekazywanie danych do państw trzecich” było tematem 15. szkolenia dla IOD, które odbyło się 20 lutego w Warszawie.

Dr Edyta Bielak-Jomaa, Prezes Urzędu Ochrony Danych Osobowych, otwierając to spotkanie, zwróciła uwagę, że RODO, czyli rozporządzenie ogólne o ochronie danych, reguluje kwestie dotyczące transferu danych do tzw. państw trzecich, czyli takich, które są poza Europejskim Obszarem Gospodarczym (EOG).

Ochrona ponad granicami

- Kluczowym założeniem RODO jest zapewnienie odpowiedniego poziomie ochrony danych bez względu na to, czy te dane są przetwarzane w państwie gdzie obowiązuje rozporządzenie, czy w państwach, do których te dane są przekazywane – powiedziała dr Edyta Bielak-Jomaa, Prezes UODO.

Ponadto zwróciła uwagę, że administratorzy powinni zagwarantować odpowiednią ochronę danych nie tylko przy pierwotnym transferze, ale również przy dalszym, wtórnym transferze, przekazywania danych z państwa trzeciego do podmiotu przetwarzającego lub dalej do innego państwa trzeciego.

Szkolenie dla IOD poprowadził Piotr Drobek, dyrektor Zespołu Analiz i Strategii w UODO, który szczegółowo omówił aspekty związane z transferem danych do państw trzecich.

Brexit i jego skutki

Część spotkania została poświęcona sytuacji administratorów, którzy przekazują dane do Wielkiej Brytanii, która niebawem ma wystąpić z Unii Europejskiej i wówczas stanie się tzw. państwem trzecim.

Zobacz: RODO

– W przypadku tzw. twardego brexitu, czyli bez odpowiedniej umowy z Komisją Europejską, dotychczasowe rozwiązania związane z przekazywaniem danych do Wielkiej Brytanii będą wymagały modyfikacji. Będzie to dotyczyło np. rejestru czynności przetwarzania, czy też obowiązku informacyjnego – wskazał Piotr Drobek. Wyjaśnił, że realizując obowiązek informacyjny, pojawi się konieczność powiadomienia wielu osób o przekazywaniu ich danych do państwa niezapewniającego odpowiedniego poziomu ochrony oraz o zastosowanych rozwiązaniach, jakimi są np. standardowe klauzule umowne.

Transfer danych zgodny z RODO

Ekspert UODO omówił też zasady, na jakich może odbywać się transfer danych do państw trzecich. Przypomniał, że są dwa etapy, przez które trzeba przejść, gdy planuje się transfer danych do państwa poza EOG. Pierwszym jest spełnienie przez administratora wymagań art. 5 RODO (podstawowe zasady przetwarzania danych) oraz pozostałych regulacji rozporządzenia bez względu na to, gdzie dane osobowe mają być przewarzane.

– To bardzo ważne, by o tym nie zapominać. Dopiero kolejnym krokiem jest spełnienie wymogów RODO odnoszących się do zasad przekazywania danych do państw trzecich – zaznaczył Piotr Drobek.

Podczas spotkania ekspert UODO przedstawił istniejące decyzje Komisji Europejskiej, na podstawie których mogą być przekazywane dane do poszczególnych państw. Wskazał i omówił także inne możliwości transferu do państwa, które nie jest objęte decyzją Komisji. Może się to odbywać na podstawie np. zatwierdzonych wiążących reguł korporacyjnych bądź standardowych klauzul ochrony danych przyjętych przez KE.

Po każdej części szkolenia, jego uczestnicy mogli zadawać pytania, co było okazją do pogłębionej dyskusji i wymiany poglądów na temat przekazywania danych do państw trzecich.

2019-02-21 

Załączone pliki

Przekazywanie danych do państw trzecich - prezentacja