W sierpniowym „edukacyjnym” odcinku newsletteru kończymy serię poświęconą pojęciom zdefiniowanym przez prawodawcę unijnego w art. 4 RODO. Tym razem przybliżona zostanie definicja „organizacji międzynarodowej”.
DEFINICJA „ORGANIZACJI MIĘDZYNARODOWEJ”
Zgodnie z art. 4 pkt 26 RODO „organizacja międzynarodowa” oznacza „organizację i organy jej podlegające działające na podstawie prawa międzynarodowego publicznego lub inny organ powołany w drodze umowy między co najmniej dwoma państwami lub na podstawie takiej umowy”.
Pojęcie to jest stosowane w przepisach RODO jedynie w kontekście przekazywania danych poza Europejski Obszar Gospodarczy (EOG). Zatem w przypadku organizacji międzynarodowych, które zrzeszają państwa spoza EOG (lub podmioty z takich państw), należy stosować przepisy rozdziału V RODO.
Potrzebę uregulowania zasad przekazywania danych do państw trzecich oraz organizacji międzynarodowych podkreśla motyw (101) preambuły RODO, zgodnie z którym „Przepływ danych osobowych do państw spoza Unii i do organizacji międzynarodowych oraz z takich państw i z takich organizacji jest niezbędnym warunkiem rozwoju handlu międzynarodowego i współpracy międzynarodowej. Wzrost takiego przepływu spowodował nowe wyzwania i problemy w dziedzinie ochrony danych osobowych. Przekazując dane osobowe z Unii administratorom, podmiotom przetwarzającym lub innym odbiorcom w państwach trzecich lub organizacjom międzynarodowym, nie należy jednak obniżać stopnia ochrony osób fizycznych zapewnianego w Unii niniejszym rozporządzeniem, także w przypadkach dalszego przekazywania danych osobowych: z państwa trzeciego lub organizacji międzynarodowej administratorom lub pomiotom przetwarzającym w tym samym lub w innym państwie trzecim lub tej samej lub innej organizacji międzynarodowej”.
DECYZJA STWIERDZAJĄCA ODPOWIEDNI STOPIEŃ OCHRONY
Treść art. 44 RODO wskazuje ogólną zasadę dotyczącą przekazywania danych do państw trzecich oraz organizacji międzynarodowych. Zgodnie z nią przekazanie może nastąpić jedynie wówczas, gdy administrator oraz podmiot przetwarzający spełnią wymogi określone w przepisach rozdziału V RODO.
Jednym z nich jest wydanie przez Komisję Europejską (KE) decyzji stwierdzającej, że dane państwo lub organizacja międzynarodowa zapewnia odpowiedni poziom (stopień) ochrony danych. Jeśli taka decyzja została wydana, przekazywanie danych osobowych do danego państwa trzeciego lub organizacji międzynarodowej jest traktowane na równi z przekazaniem ich w ramach UE. Administratorzy danych nie muszą wówczas stosować innych wymogów rozdziału V RODO (jak np. standardowe klauzule umowne), co znacząco upraszcza proces legalizacji transferu danych. Jak dotąd taka decyzja KE została wydana tylko względem Europejskiej Organizacji Patentowej zrzeszającej 38 państw (w tym również takie, które nie należą do EOG, np. Albanię, Armenię, Serbię). Dla porównania decyzji dotyczących poszczególnych państw trzecich jest szesnaście (16).
ZABEZPIECZENIA PRZEKAZYWANIA DANYCH
Jeżeli KE nie wydała decyzji stwierdzającej odpowiedni stopień ochrony, przekazywanie danych osobowych do państw trzecich oraz organizacji międzynarodowych nadal jest możliwe — pod warunkiem zastosowania odpowiednich zabezpieczeń, do których należą:
- Standardowe klauzule umowne (SCC) – są to wzorcowe umowy zatwierdzone przez Komisję Europejską, które zawierane są pomiędzy administratorem lub podmiotem przetwarzającym z Unii Europejskiej a odbiorcą danych znajdującym się poza EOG;
- Wiążące reguły korporacyjne (BCR) w ramach grupy kapitałowej – zostały one przybliżone w Komunikacie IOD-y.
- Zatwierdzony kodeks postępowania – jest to dokument przyjmowany przez branżę, sektor lub grupę podmiotów, który określa, jak zgodnie z RODO przetwarzać dane osobowe w konkretnym kontekście (np. w ochronie zdrowia, e-commerce, edukacji, marketingu, bankowości itp.), z wiążącymi zobowiązaniami podmiotu z państwa trzeciego, który jest następnie zatwierdzany przez organ nadzorczy;
- Zatwierdzony mechanizm certyfikacji – jest to mechanizm (uprzednio zatwierdzony przez organ nadzorczy lub EROD), w ramach którego podmiot certyfikujący może przyznać certyfikat potwierdzający, że sposób przetwarzania danych przez konkretny podmiot jest zgodny z przepisami RODO.