Jak wygląda transfer danych osobowych w podmiotach powiązanych ze sobą oraz działających na rynku globalnym? Przedstawimy to na przykładzie grupy kapitałowej działającej międzynarodowo, w zmieniających się warunkach prawnych.
Przykładem będzie opis w grupie kapitałowej o zasięgu międzynarodowym, w skład której wchodzi spółka wiodąca (A) oraz siedem spółek zależnych. Siedziba spółki wiodącej znajduje się w Anglii. Spółka prowadzi sprzedaż produktów w na ternie UE i Stanów Zjednoczonych. Klientami spółek są podmioty prowadzące działalność gospodarczą, w tym osoby fizyczne.
Grupa korzysta ze wspólnych zasobów IT, w szczególności oprogramowania CRM. Dostęp do danych przetwarzanych w systemie CRM mają wszystkie spółki, w tym do danych klientów, dostawców, kandydatów do pracy i pracowników (za wyjątkiem danych stricte kadrowo-płacowych). Serwery Grupy są zlokalizowane w Szwajcarii.
Przepływ danych osobowych w grupie kapitałowej
Przepływ danych osobowych w grupie kapitałowej
Do 29 marca 2019 r. – czyli tak długo, jak Wielka Brytania będzie członkiem Unii Europejskiej – przekazywanie danych do podmiotów działających na terytorium tego państwa będzie mogło się odbywać swobodnie bez żadnych dodatkowych ograniczeń tak, jak to miało miejsce dotychczas. Transfery danych w obrębie UE korzystają z zasady swobodnego przepływu danych.
Zgodnie z nią przekazywanie danych:
art. 44 RODO
,,Przekazanie danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego lub organizacji międzynarodowej, następuje tylko wtedy, gdy z zastrzeżeniem innych przepisów niniejszego rozporządzenia administrator i podmiot przetwarzający spełnią określone warunki w tym warunki dalszego przekazania danych z państwa trzeciego lub przez organizację międzynarodową do innego państwa trzeciego lub innej organizacji międzynarodowej. Wszystkie przepisy należy stosować z myślą o zapewnieniu, by nie został naruszony stopień ochrony osób fizycznych zagwarantowany w niniejszym rozporządzeniu’’.
RODO dopuszcza przekazywanie danych do państwa trzeciego, które nie zapewnia odpowiedniego poziomu ochrony lub gdy nie zapewniono odpowiednich zabezpieczeń jak standardowe klauzule umowne, czy wiążące reguły korporacyjne. Jest to możliwe w szczególnych sytuacjach. Mowa o nich w art. 49 RODO. Oto one:
Zabezpieczenie transferu danych osobowych
W momencie bezumownego wyjścia z UE Wlk. Brytania opuści Europejski Obszar Gospodarczy i stanie się państwem trzecim w rozumieniu rozporządzenia 2016/679 z 27 kwietnia 2016 r. dalej „RODO”. Oznacza to, że RODO przestanie w Wielkiej Brytanii obowiązywać. Tym samym do transferu danych z państw członkowskich do Wielkiej Brytanii będą miały zastosowanie przepisy rozdziału V RODO: ,,Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych”. W Wielkiej Brytanii kwestie ochrony danych osobowych co do zasady nie będą już wprost regulowane przepisami RODO, lecz odpowiednimi aktami prawa brytyjskiego.
Zgodnie z rozdziałem V RODO, – dane do państwa trzeciego mogą być przekazywane, ale musi być spełniony jeden ze wskazanych warunków, bądź zastosowanie muszą mieć opisane wyjątki.
Dane mogą być przekazane:
Administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią przynajmniej jedno z odpowiednich zabezpieczeń oraz pod warunkiem, że w państwie tym obowiązują egzekwowalne prawa osób, których dane dotyczą i skuteczne środki ochrony prawnej.
Egzekwowalne prawa osób, czyli między innymi takie jak prawo do bycia zapomnianym, prawo dostępu do danych, prawo do ich przeniesienia. Kraj, do którego danego są przekazywane musi posiadać mechanizmy do realizacji tych praw, jeśli pojawi się takie żądanie.
1 wiążące reguły korporacyjne zgodnie z art. 47;
„Wiążące reguły korporacyjne” (WRK) oznaczają polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi lub podmiotowi przetwarzającemu w co najmniej jednym państwie trzecim w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą.
2 zatwierdzony kodeks postępowania zgodnie z art. 40 wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.
3 zatwierdzony mechanizm certyfikacji zgodnie z art. 42 wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.
W pierwszej kolejności należy pomyśleć o zastosowaniu standardowych klauzul umownych ochrony danych, które zostały zatwierdzone przez Komisję Europejską:
By visiting our site, you agree to our privacy policy regarding cookies, tracking statistics, etc. Read more