Kupujesz towary poza EOG? Sprawdź, jak chronić przetwarzane dane osobowe

Nie ulega wątpliwości, że wszelkiego rodzaju relacje handlowe pomiędzy krajowymi przedsiębiorcami a podmiotami mieszczącymi się w państwach nienależących do Europejskiego Obszaru Gospodarczego oznaczają konieczność stosowania przepisów RODO w związku z przetwarzaniem danych osobowych. W aspekcie RODO należy zwrócić uwagę na dwa rodzaje relacji, a mianowicie:

• przetwarzanie przez podmiot krajowy danych osobowych pracowników, przedstawicieli, właścicieli i członków organów zagranicznego kontrahenta spoza EOG,
• przekazywanie danych osobowych pracowników, członków organów, a czasem również klientów krajowego przedsiębiorcy podmiotowi spoza EOG.

Wyróżnienie to jest dość istotne, ponieważ dla każdego z tych rodzajów RODO przewiduje odmienne regulacje.

Być może brzmi to dość zaskakująco, ale przedsiębiorca krajowy jest zobligowany do stosowania RODO również przetwarzając dane osób spoza EOG, a mianowicie pracowników, przedstawicieli, właścicieli i członków organów zagranicznego kontrahenta. RODO ma bowiem zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w EOG, niezależnie od tego, czy przetwarzanie odbywa się w państwach do niego należących. Oznacza to, że każda działalność administratora, który ma siedzibę w EOG, podlega RODO, niezależnie od tego, że wiąże się z przetwarzaniem danych osób „spoza” EOG.

Co istotne, przedsiębiorca przetwarzający dane osobowe pracowników swoich kontrahentów, a także ich przedstawicieli, właścicieli czy osób zarządzających staje się administratorem tych danych, ponieważ przetwarzając te dane realizuje własny cel, a mianowicie wykonywanie praw i obowiązków wynikających z łączącej go z kontrahentem umowy. Dlatego przedsiębiorca krajowy jako ADO musi zagwarantować legalność takiego przetwarzania i odpowiedni poziom bezpieczeństwa oraz spełnić obowiązek informacyjny względem osób, których dane są przetwarzane.

Reasumując, przetwarzanie danych osobowych podmiotów danych spoza EOG w ramach współpracy z zagranicznym kontrahentem wymaga stosowania RODO, ale nie wiąże się z koniecznością stosowania żadnych szczególnych reguł. Innymi słowy, administrator powinien postępować tak, jakby przetwarzał dane krajowych podmiotów danych.

Niezależnie od powyższego, nie można wykluczyć sytuacji, gdy przedsiębiorca krajowy będzie podmiotem przetwarzającym.

Inaczej będzie natomiast w przypadku przekazywania danych osobowych krajowych podmiotów danych poza obszar EOG, w szczególności pracowników, członków organów, a czasem również klientów krajowego przedsiębiorcy podmiotowi spoza EOG. Otóż jeżeli administrator danych osobowych, którego kontrahentem jest przedsiębiorca mający swoją siedzibę w państwie nienależącym do EOG, chce przekazywać dane osobowe ww. osób do tego kontrahenta, wówczas mu zrealizować dodatkowe obowiązki, jakie nie ciążą na administratorze przetwarzającym dane wyłącznie na obszarze EOG.

Przede wszystkim administrator musi zapewnić legalność przekazywania danych poza EOG, co wiąże się z koniecznością ustalenia, czy spełniona jest jedna z poniższych szczególnych przesłanek przetwarzania danych.:

1)      wydanie decyzji Komisji Europejskiej stwierdzającej, że państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony (jeżeli państwo, do którego dane osobowe są przekazywane lub dany sektor przemysłu w tym państwie zostały objęte decyzją Komisji Europejskiej, wówczas przekazanie danych jest dopuszczalne bez konieczności spełniania dodatkowych przesłanek,  niemniej jednak nie zwalnia to administratora z obowiązku realizacji pozostałych obowiązków związanych z przekazywania danych poza obszar EOG – zobacz niżej),

2)      w razie braku decyzji Komisji Europejskiej - zapewnienie odpowiednich zabezpieczeń, pod warunkiem, że obowiązują egzekwowalne prawa podmiotów danych i skuteczne środki ochrony prawnej, a mianowicie jedne z poniższych:

• stosowanie przez podmioty wiążących reguł korporacyjnych, które zostały zatwierdzone przez organ nadzorczy państwa z EOG (wiążące reguły korporacyjne to zasady przetwarzania danych osobowych stosowne przez grupę przedsiębiorstw prowadzących wspólną działalność gospodarczą),
• wprowadzenie do umowy z podmiotem z państwa trzeciego klauzul umownych zatwierdzonych przez Komisję Europejską (klauzule te są dostępne nieodpłatnie na stronach internetowych Komisji; jest to dość wygodne rozwiązanie, jako że dotychczas Komisja Europejska dotychczas wydała niewiele decyzji, o których mowa w pkt 1 wyliczenia; należy jednak pamiętać o zasadzie rozliczalności, w związku z czym w przypadku kontroli krajowy przedsiębiorcy musi być gotowy do wykazania, że takie klauzule zostały umieszczone w umowie łączącej go z zagranicznym kontrahentem),
• stosowanie przez podmiot z państwa trzeciego zatwierdzonego przez organ nadzorczy państwa z EOG kodeksu postępowania w zakresie ochrony danych osobowych,
• uzyskanie przez podmiot z państwa trzeciego certyfikatu potwierdzającego zgodność przetwarzania danych osobowych z RODO. Certyfikaty wydawane są na okres do 3 lat przez krajowe organy nadzorcze lub wskazane przez nie instytucje,

3)      uzyskanie wyraźnej zgody podmiotu danych na przekazanie danych poza EOG, o ile ta osoba została poinformowana o ewentualnym ryzyku,

4)      niezbędność przekazania danych osobowych do wykonania umowy między podmiotem danych a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą (np. doprowadzenia negocjacji handlowych),

5)      niezbędność przekazania danych osobowych do zawarcia lub wykonania umowy zawartej w interesie podmiotu danych między administratorem a inną osobą fizyczną lub prawną (np. w sytuacji, gdy klient krajowego przedsiębiorcy zleca mu złożenie zamówienia u producenta poza EOG, a jego wykonanie wymaga bezpośrednich uzgodnień pomiędzy klientem a producentem),

6)      istnienie innych porozumień pomiędzy Komisją Europejską a państwem trzecim.

To jednak nie wszystko. Jeżeli dane osobowe są przekazywane do podmiotu mieszczącego się w państwie nienależącym do EOG, wówczas administrator musi przekazywać więcej informacji, realizując obowiązek informacyjny, o którym mowa w art. 13 i 14 RODO. Otóż w treści klauzuli informacyjnej przekazywanej podmiotom danych (zarówno bezpośrednio, jak i za pośrednictwem zagranicznego kontrahenta), należy – w zależności od okoliczności danego przypadku – zamieścić dodatkowe informacje o:

• zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
• stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony przez państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub organizację międzynarodową,
• stosowaniu odpowiednich lub właściwych zabezpieczeń,
• możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych przekazywanych poza EOG.

Jeżeli przedsiębiorca przekazujący dane osobowe poza EOG będzie w danym przypadku posiadał status procesora (będzie przekazywał te dane na rzecz innego ADO), wówczas konieczne jest sprawdzenie, czy zawarta z administratorem umowa powierzenia przetwarzania danych pozwala na dalsze powierzenie (podpowierzenie) przetwarzania tych danych, w szczególności poza obszar EOG. zweryfikowanie zapisów umowy powierzenia.  Administrator danych może bowiem zastrzec w umowie powierzenia, że nie wyraża zgody na dalsze powierzenie danych poza EOG ewentualnie wskazać, że takie powierzenie jest możliwe tylko do spełnieniu dodatkowych przesłanek wynikających z umowy. W takim przypadku przekazanie danych poza obszar EOG będzie możliwe po zmianie umowy ewentualnie spełnieniu tychże dodatkowych warunków.