Jedną z możliwości jaką dają nam przepisy RODO w zakresie przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych jest oparcie tego procesu o decyzję Komisji Europejskiej (Komisja, KE) stwierdzającej odpowiedni stopień ochrony. Zgodnie z art. 45 ust 1 RODO przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja stwierdzi, że to państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Takie przekazanie nie wymaga specjalnego zezwolenia.
Warto tutaj przypomnieć co rozumiemy przez pojęcie „państwo trzecie”. Mianowicie państwo trzecie to każde państwo, które znajduje się poza Europejskim Obszarem Gospodarczym (EOG). RODO obowiązuje we wszystkich państwach EOG.
Oczywiście przed wydaniem decyzji Komisja dokonuje sprawdzenia czy stopień ochrony jest na odpowiednim poziomie. W szczególności badane są następujące elementy. Po pierwsze kwestia praworządności, poszanowania praw człowieka i podstawowych wolności, odpowiednie ustawodawstwo – zarówno ogólne, jak i sektorowe – w tym w dziedzinie bezpieczeństwa publicznego, obrony, bezpieczeństwa narodowego i prawa karnego oraz dostępu organów publicznych do danych osobowych, a także wdrażanie takiego ustawodawstwa, zasady ochrony danych osobowych, zasady dotyczące wykonywania zawodu, środki bezpieczeństwa, w tym zasady dalszego przekazywania danych osobowych do kolejnego państwa trzeciego lub innej organizacji międzynarodowej, których przestrzega się w tym państwie lub w organizacji międzynarodowej, orzecznictwo, a także istnienie skutecznych i egzekwowalnych praw osób, których dane dotyczą, oraz prawa osób, których dane dotyczą, których dane osobowe są przekazywane, do skutecznych administracyjnych i sądowych środków zaskarżenia. Ponadto KE bierze pod uwagę czy w państwie trzecim funkcjonuje i skutecznie działa co najmniej jeden niezależny organ nadzorczy w obszarze ochrony danych, który posiada odpowiednie uprawnienia do egzekwowania przestrzegania tych przepisów. Osobną kwestią braną pod uwagę przez KE jest czy dane państwo trzecie lub organizacja międzynarodowa mają zaciągnięte zobowiązania międzynarodowe np. w postaci obowiązków wynikających z przyjętych konwencji lub instrumentów, a zwłaszcza w dziedzinie ochrony danych osobowych. Zgodnie z motywem 105 RODO KE w szczególności powinna wziąć pod uwagę przystąpienie państwa trzeciego do konwencji Rady Europy z dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych. Przy ocenie stopnia ochrony danych osobowych w państwach trzecich lub organizacjach międzynarodowych, KE powinna konsultować się z Europejską Radą Ochrony Danych.
Jeżeli w toku sprawdzenia odpowiedniego poziomu ochrony KE dojdzie o wniosku, że dane państwo trzecie lub organizacja międzynarodowa spełnia zakładane kryteria, wówczas w drodze aktu wykonawczego, jakim jest decyzja, KE potwierdza swoje stanowisko. Decyzja zostaje przyjęta zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2 RODO, czyli zgodnie z art. 5 rozporządzenia (UE) nr 182/2011 ustanawiającego przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję.
W przypadku pozytywnej decyzji KE, gdy np. państwo trzecie zostaje uznane za zapewniające odpowiedni stopień ochrony, oznacza to, że dane można przekazywać do firmy z siedzibą w tym państwie trzecim bez obowiązku stosowania przez eksportera danych dodatkowych zabezpieczeń lub spełnienia dodatkowych warunków. Innymi słowy, przekazywanie danych do takiego państwa trzeciego będzie porównywalne z przesyłem danych na terenie UE. Na przykład, gdy hipotetycznie przyjmiemy, że prowadzimy firmę zarejestrowaną na terytorium Polski i zamierzamy rozszerzyć swoją działalność i wejść ze swoją usługą na rynek brazylijski, argentyński i urugwajski, to po pierwsze musimy zweryfikować czy dla powyżej wymienionych państw KE wydała decyzję stwierdzającą odpowiedni stopień ochrony. W ten sposób wiemy, że Urugwaj i Argentyna zostały uznane przez KE za spełniające odpowiednie kryteria ochrony, natomiast jeżeli chodzi o Brazylię to niestety nie. Wówczas jako eksporter danych musimy chronić przekazywanie danych do Brazylii poprzez zastosowanie odpowiednich zabezpieczeń o których mowa w art. 46 RODO. Takie odpowiednie zabezpieczenia mogą polegać na zastosowaniu wiążących reguł korporacyjnych, standardowych klauzul umownych przyjętych przez KE, standardowych klauzul umownych przyjętych przez dany organ nadzorczy. Zabezpieczenia te powinny zapewniać, by przestrzegane były wymogi ochrony danych oraz prawa osób, których dane dotyczą, takie same jak w przypadku przetwarzania wewnątrzunijnego, w tym zapewniać dostępność egzekwowalnych praw osoby, której dane dotyczą, i skutecznych środków ochrony prawnej – w tym prawa do skutecznych administracyjnych lub sądowych środków zaskarżenia i do żądania odszkodowania – w Unii lub w państwie trzecim.
Kraje, w stosunku do których Komisja Europejska stwierdziła odpowiedni stopień ochrony to m.in.: Szwajcaria, Kanada, Argentyna, Guernsey, Wyspa Man, Jersey, Wyspy Owcze, Andora, Izrael, Urugwaj, Nowa Zelandia, Japonia, Wielka Brytania. Stosunkowo niedawno, bo 24 września 2021 r. Europejska Rada Ochrony Danych (EROD) przyjęła opinię w sprawie projektu decyzji KE stwierdzającej odpowiedni stopień ochrony danych osobowych w Korei Południowej. Zgodnie z komunikatem zamieszczonym na stronach UODO decyzja KE względem Korei Południowej obejmie przekazywanie danych zarówno w sektorze publicznym jak i prywatnym.
Autor: Radosław Aniszczyk