Transfer danych do państw trzecich musi być bezpieczny

Umowy dotyczące przesyłu danych do państw trzecich zawierane po 27 września 2021 r. muszą być oparte na nowych standardowych klauzulach umownych przyjętych przez Komisję Europejską. Trwające zaś w tym dniu trzeba aneksować najpóźniej przed 27 grudnia 2022 r.

Przedsiębiorcy, którzy współpracują z kontrahentami zagranicznymi albo działają w międzynarodowych grupach kapitałowych bardzo często przekazują dane osobowe do podmiotów zagranicznych. Powstają przy tym wątpliwości, jakie działania należy podjąć, aby takie transfery były zgodne z przepisami o ochronie danych osobowych.

Dwa rodzaje odbiorców

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) rozróżnia dwie główne sytuacje, jeśli chodzi o przekazywanie danych osobowych za granicę:

∑ dane są przekazywane do podmiotu w Unii Europejskiej,

∑ dane są przekazywane do podmiotu z tzw. państw trzecich.

RODO ma zastosowanie we wszystkich krajach Unii Europejskiej. Stąd przyjmuje się, że wszystkie państwa Unii Europejskiej, a w zasadzie Europejskiego Obszaru Gospodarczego, spełniają jednakowe standardy w zakresie ochrony danych. Przesył danych pomiędzy tymi państwami nie wymaga stosowania dodatkowych zabezpieczeń.

Inaczej jest w przypadku transferu danych do tzw. państw trzecich. W świetle przepisów o ochronie danych osobowych takie państwa to kraje, które nie znajdują się...