27 czerwca 2021 roku weszła w życie uchwała Komisji Europejskiej odnośnie stosowania klauzul umownych, które dotyczą transferu danych do państw trzecich. Jak powinien więc odbywać się transfer danych do tych państw, aby był zgodny z RODO?

Co to są państwa trzecie?

W rozumieniu RODO państwami trzecimi są wszystkie państwa spoza Europejskiego Obszaru Gospodarczego. Europejski Obszar Gospodarczy tworzą wszystkie kraje członkowskie Unii Europejskiej oraz Liechtenstein i Norwegia. Po wyjściu z Unii Europejskiej Wielkiej Brytanii stała się ona także państwem trzecim. Przekazywanie danych do państw trzecich zgodnie z RODO od 27 czerwca 2021 roku odbywać się może na podstawie standardowych klauzul umownych. Stosowane do tego dnia klauzule umowne straciły moc 27 września 2021 roku. Oznacza to, że wszystkie umowy, które zostały zawarte po tej dacie, muszą zawierać już nowe klauzule. Tylko w stosunku do umów zawartych przed 27 września 2021 zastosowany został okres przejściowy. Obowiązuje on do 27 grudnia 2022 roku.

Na czym polega transfer danych do państw trzecich?

Mianem transferu danych do państw trzecich określa się przekazywanie danych poza Europejski Obszar Gospodarczy, który w świetle przepisów RODO uważany jest za bezpieczny. Przed transferem danych do państw trzecich niezbędne jest sprawdzenie, czy Komisja Europejska wydała decyzję, która potwierdza, że państwo trzecie, do którego dane będą przekazywane zapewnia odpowiedni stopień ochrony. W przypadku przekazywania danych do państw, które takową decyzję otrzymały, wdrażanie szczególnych zabezpieczeń nie jest konieczne.

Jakim państwom Komisja Europejska wydała decyzje potwierdzające odpowiedni poziom ochrony przekazywanych danych?

Wydane przez Komisję Europejską decyzje potwierdzające, że państwo trzecie zapewnia odpowiedni stopień ochrony przekazywanych danych jest kilka. Na liście znajdują się obecnie następujące państwa:

- Andora;

- Argentyna;

- Guernsey;

- Izrael;

- Kanada;

- Japonia;

- Jersey;

- Nowa Zelandia;

- Szwajcaria;

-wyspa Man;

- Urugwaj;

- Wyspy Owcze.

W ramach Privacy Shield taką decyzję otrzymały także USA. W przypadku przekazywania danych do państwa trzeciego, które nie posiadają decyzji UE, do obowiązków administratora lub podmiotu, który dane osobowe przetwarza należy zapewnienie ich bezpieczeństwa. Warunkiem ich przekazania do tych państw jest także obowiązywanie w nich egzekwowalnych praw osób, których przekazywane dane dotyczą. Niezbędne jest bowiem zapewnienie ochrony danych w takim samym stopniu, jaki przysługuje podmiotowi w każdym z krajów członkowskich Unii Europejskiej.

Monika Zygmunt - Jakuć (Inspektor Ochrony Danych)