Przekazywanie danych do państw trzecich w działalności grup kapitałowych
W działalności grup kapitałowych, w szczególności tych międzynarodowych, może dochodzić do transferowania danych do tzw. państw trzecich, czyli państw spoza terytorium Europejskiego Obszaru Gospodarczego (EOG). Niejednokrotnie swobodny i transgraniczny przepływ danych osobowych między podmiotami z grupy jest wręcz niezbędny dla prowadzenia przez nie codziennej działalności.
Przykładowo taki transfer może być wpisany w:
- realizację wspólnych procesów kadrowych;
- pracę w międzynarodowych zespołach składających się z osób zatrudnionych w różnych spółkach i krajach;
- prowadzenie wspólnych centrów obsługi klientów grupy kapitałowej (remote support, call center);
- prowadzenie wspólnej bazy klientów / kontrahentów;
- działanie centrów usług wspólnych / centrów outsourcingowych świadczących usługi dla grupy kapitałowej;
- korzystanie przez spółki z grupy z usług zewnętrznych dostawców dedykowanych dla całej grupy kapitałowej (np. wspólny dostawca rozwiązań informatycznych) zlokalizowanych w państwie trzecim.
Co istotne, przepisy RODO przewidują dodatkowe wymagania, jakie muszą być spełnione w przypadku transferu danych do państw trzecich, niezależnie od innych obowiązków nakładanych przez przepisy ww. rozporządzenia. Jak zatem optymalnie zaprojektować proces transferu danych do państw trzecich w ramach grupy kapitałowej?
- Zidentyfikowanie transferów do państw trzecich
Pierwszym krokiem powinno być ustalenie czy w ramach grupy kapitałowej planowane są lub już występują transfery danych osobowych do państwa trzeciego.
RODO precyzyjnie definiuje „państwo trzecie”, co pozwala na jednoznaczne ustalenie kręgu krajów, które powinny być określane tym mianem i do których, w związku z tym, powinno się stosować szczególną regulację wynikającą z przepisów ww. rozporządzenia – są to, jak zostało już zasygnalizowane, państwa spoza Europejskiego Obszaru Gospodarczego (EOG tworzą państwa Unii Europejskiej oraz Islandia, Liechtenstein i Norwegia).
Ustalenie czy i gdzie dane osobowe są przekazywane może nie być jednak takie proste w konkretnym przypadku.
Po pierwsze, samo przekazanie (transfer) danych do państw trzecich nie zostało w RODO zdefiniowane. Językowe rozumienie tego słowa wskazywałoby, że przekazanie / transfer oznacza sytuację, w której dane osobowe są przemieszczane z jednego miejsca do drugiego. Z przekazywaniem (transferem) danych w świetle przepisów RODO będziemy mieli do czynienia, gdy dane osobowe faktycznie przekraczają granice państw. […] Dla oceny, czy mamy do czynienia z przekazaniem danych osobowych do państwa trzeciego, nie powinna mieć znaczenia okoliczność faktycznego zapoznania się z danymi na obszarze państwa trzeciego. Wystarczające będzie zamieszczenie danych osobowych np. na serwerze zlokalizowanym w państwie trzecim; taka sytuacja umożliwia bowiem uzyskanie dostępu do danych z państwa trzeciego [1]. Samo przekazanie może natomiast przybrać postać przesłania danych przez sieć informatyczną lub ich pobrania z określonej lokalizacji. Mimo, że rozumienie pojęcia „przekazania” / „transferu” danych do państw trzecich może zatem wydawać się stosunkowo proste, ze względu na rozwój technologii (w tym różnego rodzaju usług IT, technologii automatycznego przetwarzania danych lub szyfrowania) czy też coraz szersze zastosowanie rozwiązań zdalnych, wcale nie jest to takie oczywiste. Przykładowo, czy z transferem danych możemy mieć także do czynienia w sytuacji samego „podglądu” danych znajdujących się w innych lokalizacjach, poprzez zdalne kanały połączenia? Czy akcydentalne przypadki dostępu do danych z państwa trzeciego lub czasowe utrwalanie, np. na potrzeby testów, to już „transfer” w rozumieniu RODO? Zasadniczo tak – istnieje bowiem ryzyko (prawdopodobieństwo), że takie przypadki „graniczne” zostaną uznane już za „transfer”, z uwagi na samą możliwość dostępu i ingerencji w udostępniane dane osobowe. Każdorazowo jednak tego rodzaju sytuacje powinny zostać ocenione indywidualnie, biorąc pod uwagę faktyczny / techniczny kontekst danej operacji. Warto także wskazać, że znaczenie terminu „transfer danych” może ulegać zmianie wraz z postępującym rozwojem, w szczególności technologicznym[2].
Po drugie, samo ustalenie „gdzie” dane są zlokalizowane również może nie być takie proste. Wymaga to przede wszystkim precyzyjnego ustalenia „łańcucha” podmiotów biorących udział w przepływie danych osobowych. W tym zakresie powinny zostać uwzględnione zarówno spółki z grupy kapitałowej, jak i dostawcy działający na zlecenie poszczególnych spółek. W praktyce często pomijana jest jednak analiza gdzie dokładnie dostawcy (i ich ewentualni podwykonawcy) lub nawet spółki „stowarzyszone” przetwarzają dane. W szczególności, w przypadku rozwiązań chmurowych / IT może się okazać, że nawet w sposób nieświadomy przekazujemy dane do podmiotów, które mają siedziby lub korzystają z serwerów / centrów supportowych w państwach trzecich. Konieczna jest zatem pogłębiona analiza struktury przepływów danych oraz lokalizacji rozwiązań stosowanych prze dostawców i ich ewentualnych podwykonawców, w tym oczywiście także wiedza jakie narzędzia / rozwiązania stosowane są przez poszczególne spółki lub jej pracowników.
- Podstawa legalnego transferu
Kolejnym krokiem jest wybór odpowiedniego mechanizmu transferu danych do państwa trzeciego.
Schemat wyboru odpowiedniego mechanizmu transferu danych do państwa trzeciego powinien przebiegać następująco:
ustalenie czy Komisja Europejska wydała decyzję stwierdzającą odpowiedni stopień ochrony w państwie trzecim
Stwierdzenie, że taka decyzja została wydana oznacza możliwość legalnego transferu danych do państwa trzeciego, bez konieczności zapewnienia innych zabezpieczeń, o których mowa poniżej. Krajami, w odniesieniu do których w chwili obecnej obowiązuje decyzja KE stwierdzająca odpowiedni stopień ochrony w państwie trzecim są, przykładowo, Szwajcaria, Japonia, Izrael, Nowa Zelandia.
w przypadku braku wydania decyzji w sprawie adekwatności ochrony konieczne jest zastosowanie innego mechanizmu transferu danych do państwa trzeciego; mechanizm taki nie jest dowolny, ponieważ w tym zakresie RODO przewiduje zamknięty katalog tzw. „odpowiednich zabezpieczeń”, które mogą zostać zastosowane jako podstawa legalizująca transfer danych osobowych do państwa trzeciego. Do odpowiednich zabezpieczeń należą:
- wiążące reguły korporacyjne(binding corporated rules, BCRy); są to wewnątrzkorporacyjne globalne polityki ochrony danych osobowych ustalone i wdrożone w ramach konkretnej, działającej międzynarodowo grupy kapitałowej. Minimalny katalog postanowień, jakie powinny znaleźć się w wiążących regułach korporacyjnych przewiduje art. 47 ust. 2 RODO. Aby wiążące reguły korporacyjne mogły stanowić „odpowiednie zabezpieczenie” w rozumieniu przepisów RODO wymagają zatwierdzenia przez krajowy lub wiodący organ nadzorczy oraz Europejską Radę Ochrony Danych, zgodnie z mechanizmem spójności przewidzianym w RODO. Cały proces akceptacji wiążących reguł korporacyjnych jest dość czasochłonny (może trwać nawet ok. 1 roku)[3];
- umowy transferowe zawarte w oparciu o tzw. standardowe klauzule ochrony danych przyjęte przez Komisję Europejską lub przez organ nadzorczy i zatwierdzone przez KE (standard contractual clauses, SCC). Standardowe klauzule umowne powinny zostać wprowadzone do umowy z odbiorcą danych; stosując standardowe klauzule umowne należy zwrócić uwagę, że osobno zatwierdzone zostały standardowe klauzule ochrony danych dla przepływów danych między dwoma administratorami danych (controller to controller) oraz dla przepływów danych między administratorem danych a podmiotem przetwarzającym (controller to processor);
- zatwierdzone kodeksy postępowania (np. kodeks opracowany przez organizację reprezentującą przedsiębiorców); kodeks taki może być uznany za „odpowiednie zabezpieczenie”, o ile został zatwierdzony przez organ nadzoru;
- zatwierdzone mechanizmy certyfikacji; mechanizm ten polega na uzyskaniu przez odbiorcę danych w państwie trzecim certyfikacji, mającej świadczyć o zgodności operacji przetwarzania z przepisami RODO; w praktyce jednak mechanizm ten jest stosowany niezwykle rzadko;
- klauzule umowne między podmiotem przekazującym dane a odbiorcą danych w państwie trzecim; mechanizm ten polega na uwzględnieniu w umowie z odbiorcą odpowiednich klauzul umownych zapewniających bezpieczeństwo danych osobowych oraz skuteczną realizację praw podmiotów danych; wykorzystanie tego mechanizmu wymaga dodatkowego zezwolenia właściwego organu nadzoru.
W działalności grup kapitałowych w praktyce optymalne jest stosowanie co najmniej jednego z dwóch pierwszych wyżej wymienionych mechanizmów transferu danych do państwa trzeciego, tj. wiążących reguł korporacyjnych lub standardowych klauzul umownych zatwierdzonych przez Komisję Europejską. Z uwagi na to, że proces zatwierdzania wiążących reguł korporacyjnych jest w praktyce bardziej czasochłonny, zastosowanie standardowych klauzul umownych zatwierdzonych przez KE (które stanowią zasadniczo „gotowy” do zastosowania zestaw klauzul) będzie niekiedy jedynym dostępnym „odpowiednim mechanizmem” w przypadku braku decyzji stwierdzającej adekwatny poziom ochrony danych w państwie trzecim. Pozostałe wymienione formy „odpowiednich zabezpieczeń” nie mają w chwili obecnej realnego, praktycznego zastosowania.
Należy podkreślić jednocześnie, że zastosowanie jednego z powyższych „odpowiednich zabezpieczeń” nie jest samodzielną przesłanką legalnego transferu danych do państw trzecich, o czym „przypomniał” Trybunał Sprawiedliwości (UE) w wyroku w sprawie Schrems II (C-311/18). RODO wymaga bowiem aby w kraju, do którego następuje transfer w oparciu o co najmniej jedno z ww. zabezpieczeń, obowiązywały egzekwowalne prawa osób, których dane dotyczą i skuteczne środki ochrony prawnej. Jest to warunkiem koniecznym dla zapewnienia legalnego transferu danych w oparciu o omawiane mechanizmy. Zgodnie z art. 46 ust. 1 RODO „w razie braku decyzji na mocy art. 45 ust. 3 administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewniają odpowiednie zabezpieczenia [przyp. od autorów – opisane powyżej] i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne ośrodki ochrony prawnej.”. Te dwa warunki powinny więc zostać spełnione łącznie. Pokrótce wpływ ww. wyroku Schrems II na transfer danych do państw trzecich w kontekście działalności grup kapitałowych omawiamy w dalszej części artykułu.
- Wyjątki od zakazu transferu
RODO dopuszcza również przekazywanie danych do państwa trzeciego, w stosunku do którego nie stwierdzono odpowiedniego poziomu ochrony lub w którym brak odpowiednich zabezpieczeń, takich jak wspomniane powyżej standardowe klauzule umowne czy wiążące reguły korporacyjne. Jest to jednak możliwe tylko w szczególnych sytuacjach, o których mowa w art. 49 RODO, na zasadzie wyjątku. Przepis ten przewiduje, że taki transfer danych jest dopuszczalny o ile:
- osoba, której dane osobowe mają zostać przekazane do państwa trzeciego, wyrazi na to zgodę; istotne jest jednak w tym przypadku uprzednie poinformowanie takiej osoby o ewentualnym ryzyku, z jakim może się dla niej wiązać proponowane przekazanie – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony i na brak odpowiednich zabezpieczeń – oraz uzyskanie od niej zgody; przy tym, zgoda taka musi być: wyraźna, dotyczyć konkretnego jednorazowego lub wielokrotnego przekazania danych oraz świadoma, tj. osoba udzielająca zgody musi zdawać sobie sprawę z ewentualnego ryzyka, z jakim może się wiązać przekazanie;
- przekazanie jest niezbędne do realizacji umowy zawartej między administratorem a osobą, której dane dotyczą lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą;
- przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, której dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;
- przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;
- przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;
- przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
- przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego[4].
Biorąc pod uwagę wąski zakres powyższych sytuacji oraz ich szczególny charakter, jak również ogólną zasadę wykładni prawa, zgodnie z którą wyjątki od reguły powinny być interpretowane ściśle, można dojść do wniosku, że art. 49 RODO będzie stanowił adekwatną podstawę legalizującą transfer danych do państw trzecich jedynie w nielicznych przypadkach, tj. w odniesieniu do jednostkowych transferów danych, nie wpisujących się w codzienną działalność operacyjną podmiotów biznesowych, w tym w działalność spółek wchodzących w skład grupy kapitałowej. Powyższe można zobrazować na przykładzie procesu rekrutacji do spółek w grupie, w praktyce bardzo często realizowanego z udziałem podmiotów z państw trzecich – jeżeli spółka wchodząca w skład grupy kapitałowej chciałaby realizować proces rekrutacji z przekazaniem danych do państwa trzeciego (np. w celu akceptacji lub weryfikacji kandydatów przez zarząd spółki-matki mający siedzibę na terytorium państwa trzeciego, czy tworzenie centralnej bazy kandydatów do pracy), brak zgody kandydata na taki transfer uniemożliwiałby dalsze etapy tego postępowania (nie można byłoby „przymuszać” kandydata do wyrażenia takiej zgody), a jednocześnie trudno byłoby znaleźć inną podstawę – sytuację szczególną z art. 49 RODO, która legalizowałaby takie działanie – chyba, że spółka z grupy zapewniłaby alternatywną „ścieżkę” procesu rekrutacji, która nie zakładałaby transferu danych do państw trzecich. Stworzenie jednak „dwóch” procesów rekrutacyjnych z punktu widzenia lokalizacji i przepływu danych mogłoby być istotnym operacyjnym utrudnieniem dla przedsiębiorców, wiążącym się z dodatkowymi kosztami po ich stronie. Rozważając więc wybór rozwiązania uniwersalnego i pewnego dla działań grupy kapitałowej, należy stwierdzić, że mechanizmy transferu danych do państw trzecich, o których mowa w ww. wyjątkach nie są optymalne w przypadku transferów wpisanych w normalną, codzienną działalność grupy.
- Transfer danych po Schrems II
Analizując kwestię transferu danych do państw trzecich nie sposób nie wspomnieć o niedawno wydanym i głośnym orzeczeniu Trybunału Sprawiedliwości (UE) z dnia 16 lipca 2020 r., w sprawie Schrems II (C-311/18), w którym Trybunał uznał, że tzw. Tarcza Prywatności (Privacy Shield) funkcjonująca w oparciu o decyzję Komisji Europejskiej, wykorzystywana dotychczas powszechnie jako podstawa transferu danych do USA, jest nieważna. W związku z tym, we wszystkich przypadkach, gdzie mechanizm ten był wykorzystywany jako podstawa transferu danych osobowych do USA, należy zweryfikować dalszą możliwość legalnego transferu danych do USA w oparciu o inne podstawy.
Co istotne, Trybunał Sprawiedliwości (UE) nie unieważnił standardowych klauzul umownych, lecz wskazał, że chcąc powoływać się na ten mechanizm, konieczne jest badanie poziomu ochrony danych i prawodawstwa państwa, do którego przenoszone są dane. Konsekwencje tego zastrzeżenia są jednak bardzo istotne, ponieważ w związku z tym, niedopuszczalne jest „automatyczne” stosowanie standardowych klauzul umownych, bez oceny ryzyka przekazania danych przy uwzględnieniu prawodawstwa państwa docelowego. Należy zawsze badać kontekst przepływu danych i poziom ochrony danych osobowych i prywatności w państwie docelowym. Analogiczne wnioski należy odnieść także do mechanizmu wiążących reguł korporacyjnych, co potwierdza aktualne stanowisko Europejskiej Rady Ochrony Danych Osobowych[5]. Jednocześnie niestety do chwili obecnej brak jest choćby ogólnych wytycznych w jaki sposób eksporterzy danych mieliby oceniać prawodawstwo państwa docelowego (tj. egzekwowalność praw osób, których dane dotyczą w tym państwie i skuteczność środków ochrony prawnej), jak również brak jest odpowiedzi na pytanie w jaki sposób ewentualne stwierdzenie braku obowiązywania egzekwowalności ww. praw miałoby zostać „przełamane” poprzez zastosowanie odpowiednich zabezpieczeń, takich jak SCC czy BCR-y (nawet po ewentualnych zmianach ich treści), które przecież nie wiążą organów państwowych, a jedynie prywatne podmioty, które zobowiązały się do ich stosowania. Być może wątpliwości te zostaną rozstrzygnięte w najbliższym czasie przez Europejską Radę Ochrony Danych Osobowych (EROD), co zmniejszyłoby niepewność prawną (i wynikające z tego ryzyka biznesowe dla przedsiębiorstw), która powstała po wydaniu ww. wyroku.
W praktyce, wyrok w sprawie Schrems II ma bardzo istotne znaczenie zwłaszcza dla branży IT i jej klientów, w której Tarcza Prywatności była mechanizmem „domyślnym”, stosowanym na porządku dziennym, także przez znaczące firmy IT, w tym przez czołowych dostawców rozwiązań chmurowych.
Nie dysponując na dzień dzisiejszy szczegółowymi wytyczanymi dot. zapewnienia zgodności z ww. wyrokiem, co więc można zrobić, w przypadku gdy dotychczas transfer danych osobowych do USA, zgodnie z przyjętym w danej spółce (grupie kapitałowej) modelem, był oparty na Tarczy Prywatności? Przede wszystkim zalecane jest co najmniej:
- zidentyfikowanie struktury przepływu danych UE – USA, w tym w szczególności zweryfikowanie jakie dane, w jakich celach i na jakiej podstawie prawnej są przekazywane do USA
- zidentyfikowanie zabezpieczeń technicznych stosowanych w ramach transferu danych (np. szyfrowanie)
- przeanalizowanie możliwości zastosowania mechanizmu standardowych klauzul umownych KE
- ocena wpływu ww. wyroku także na inne mechanizmy transferu, np. wiążące reguły korporacyjne
- ocena ryzyka transferu w oparciu o ww. podstawy
- rozważenie możliwości, kosztów, skutków dla przedsiębiorstwa ew. zmiany lokalizacji danych
- w razie potrzeby, zweryfikowanie i zmodyfikowanie dokumentacji takiej jak: zawarte umowy powierzenia przetwarzania danych osobowych, stosowane wzory umów / regulaminów, dokumentacja wewnętrzna spółki, klauzule informacje, polityki prywatności,
- a przede wszystkim konieczne jest monitorowanie informacji dot. stanowisk odpowiednich organów nadzoru oraz EROD w związku z ww. wyrokiem.
- Transfer a Brexit
W kontekście transferu danych do państw trzecich warto również zasygnalizować sytuację związaną z wyjściem Wielkiej Brytanii z Unii Europejskiej (Brexit). Obecnie, do końca bieżącego roku, trwa jeszcze okres przejściowy, w trakcie którego zasady przetwarzania danych osobowych w Wielkiej Brytanii nie ulegają zmianie – RODO ma pełne zastosowanie. Od 1 stycznia 2021 r. możliwe są jednak różne scenariusze „podejścia” do Wielkiej Brytanii, a jednym z nich jest potraktowanie tego kraju jako tzw. państwa trzeciego. Wówczas, do czasu ewentualnego wydania przez Komisję Europejską decyzji stwierdzającej odpowiedni poziom ochrony, transfer danych do Wielkiej Brytanii poddany będzie wszystkim „obostrzeniom” i wymogom szczególnym, które zostały opisane powyżej w artykule. Tam gdzie transfer danych do Wielkiej Brytanii opiera się na BCR-ach konieczna może okazać się ich aktualizacja. Temat ten, w szczególności w przypadku grup kapitałowych, które przekazują dane osobowe do Wielkiej Brytanii, wymaga zatem monitorowania i reagowania na stanowiska odpowiednich organów, w tym EROD.
[1] Szerzej na temat pojęcia przekazywanie danych por. B. Fischer, D. Karwala, Transfer danych osobowych do państw trzecich (Wybrane zagadnienia), PiP 2007/1, s. 100 i n.
[2] D. Karwala, Komercyjne transfery danych osobowych do państw trzecich, Wolters Kluwer 2018 (LEX).
[3] Więcej informacji na temat procedury zatwierdzania wiążących reguł korporacyjnych (BCR) można znaleźć na stronie Komisji Europejskiej: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/binding-corporate-rules-bcr_en#approval-of-binding-corporate-rules.
[4] Więcej informacji na temat wyjątków z art. 49 RODO można znaleźć w wytycznych Europejskiej Rady Ochrony Danych Osobowych dostępnych na stronie https://edpb.europa.eu/our-work-tools/our-documents/smjernice/guidelines-22018-derogations-article-49-under-regulation_pl.
[5] Zob. dokument Europejskiej Rady Ochrony Danych Osobowych dostępny pod adresem https://edpb.europa.eu/our-work-tools/our-documents/other/frequently-asked-questions-judgment-court-justice-european-union_en.