Transfer danych do państw trzecich z wykorzystaniem kodeksów postępowania

Europejska Rada Ochrony Danych przygotowała projekt Wytycznych 4/2021 w sprawie kodeksów postępowania jako narzędzia do transferu danych. Celem wytycznych jest wyjaśnienie artykułu 40 ust. 3 RODO, który dopuszcza stosowanie kodeksów postępowania jako odpowiednich zabezpieczeń przy przekazywaniu danych osobowych do państw trzecich.

Kodeksy postępowania jako narzędzie do transferu danych

W przypadku, gdy w państwie trzecim nie został stwierdzony odpowiedni poziom ochrony danych osobowych, administrator lub podmiot przetwarzający w celu dokonania transferu danych osobowych są zobowiązani zastosować środki rekompensujące brak ochrony danych w państwie trzecim, zapewniając osobie, której dane dotyczą, odpowiednie zabezpieczenia.

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
Wśród odpowiednich zabezpieczeń legalizujących transfer danych osobowych do państwa trzeciego, wymienionych w art. 46 RODO, znajdują się zatwierdzone zgodnie z art. 40 RODO kodeksy postępowań wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą. Stosownie do art. 40 ust. 3 RODO, kodeksy postępowania w celu zapewnienia odpowiednich zabezpieczeń w ramach przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych, na warunkach określonych w art. 46 ust. 2 lit. e RODO, znajdują również zastosowanie do podmiotów (administratorów lub podmiotów przetwarzających), którzy nie podlegają RODO.

Powyższe odnosi się jednak wyłącznie do kodeksów postępowania zatwierdzonych przez organ nadzorczy zgodnie z art. 40 ust. 5 RODO i powszechnie obowiązujących, zgodnie z art. 40 ust. 9 RODO. Zobowiązanie się do stosowania wyżej wymienionego kodeksu postępowania przez administratorów lub podmioty przetwarzające niepodlegające RODO powinno mieć formę wiążącego i egzekwowalnego zobowiązania umownego lub innego prawnie wiążącego instrumentu.

Kodeksy postępowania mogą być sporządzane przez zrzeszenia lub inne podmioty reprezentujące określone kategorie administratorów lub podmiotów przetwarzających, stosownie do art. 40 ust. 2 RODO. Jak wskazuje Europejska Rada Ochrony Danych w Wytycznych 1/2019, podmiotami takimi mogą być w szczególności: zrzeszenia handlowe, organizacje z poszczególnych sektorów gospodarki, organizacje akademickie czy grupy interesu. Kodeksy postępowania przeznaczone do transferu danych osobowych mogą być opracowywane m.in. przez podmioty reprezentujące dany sektor gospodarki (np. sektor bankowy i finansowy czy ubezpieczeniowy), ale także mogą być sporządzane dla podmiotów z różnych sektorów, które prowadzą działalność o tych samych cechach i potrzebach przetwarzania danych osobowych (np. kodeks postępowania sporządzony przez stowarzyszenie specjalistów HR lub kodeks postępowania związany z przetwarzaniem danych osobowych dzieci).

W związku z powyższym, takie kodeksy umożliwiłyby administratorom i podmiotom przetwarzającym w państwie trzecim odbieranie danych w ramach transferu danych, przy jednoczesnym lepszym zaspokajaniu poszczególnych potrzeb w zakresie przetwarzania danych przez dany sektor lub podmioty prowadzące wspólną działalność. Z uwagi na powyższe mogłyby one służyć jako bardziej dostosowane narzędzie w porównaniu z innymi mechanizmami transferu, przewidzianymi w art. 46 RODO. Kodeksy postępowania, które mają być stosowane jako narzędzie przekazywania danych, umożliwią bowiem w szczególności danemu administratorowi lub podmiotowi przetwarzającemu zapewnienie odpowiednich zabezpieczeń w odniesieniu do wielokrotnych transferów do państwa trzeciego, które są specyficzne dla danego sektora gospodarki lub prowadzonej działalności. Ponadto podmioty stosujące kodeksy postępowania nie muszą należeć do tej samej grupy, aby dokonywać transferu danych, jak ma to miejsce w przypadku wiążących reguł korporacyjnych.

Ponadto należy zauważyć, że administratorzy i podmioty przetwarzające podlegające RODO (tj. podmioty przekazujące dane) mogą powoływać się na kodeks postępowania przeznaczony do przekazywania danych przez podmiot odbierający dane w państwie trzecim, bez konieczności przestrzegania takiego kodeksu postępowania przez nich samych. Wobec powyższego, kodeks postępowania przeznaczony do przekazywania danych może stanowić ramy transferów od administratora/podmiotu przetwarzającego, którzy sami nie przestrzegają takiego kodeksu do administratora/podmiotów przetwarzających w państwie trzecim, którzy są zobowiązani do przestrzegania takiego kodeksu postępowania, pod warunkiem że zobowiązanie do przestrzegania obowiązków określonych w kodeksie postępowania przy przetwarzaniu przekazanych danych, w tym w odniesieniu do praw osób, których dane dotyczą, jest zawarte w prawnie wiążącym instrumencie.

Grupy przedsiębiorstw przekazujących dane z podmiotów należących do tych grup podlegających RODO podmiotom spoza EOG mogą również korzystać z kodeksu postępowania jako narzędzia przekazywania danych w przypadku, gdy podmioty spoza EOG zastosowały się do tego kodeksu i podjęły wiążące oraz wykonalne zobowiązania związane z tym transferem. W związku z tym kodeksy przeznaczone do przekazywania danych mogą być używane w ramach przepływów danych między organizacjami nienależącymi do tej samej grupy (np. podmioty w EOG przekazujące dane podmiotom z państw trzecich działającym w tym samym lub odmiennym sektorze) lub gdy grupa przedsiębiorstw z jednego sektora udostępnia dane jednego z podmiotów podlegających RODO podmiotom spoza EOG.

Kodeks przeznaczony do przekazywania danych może również określać transfery od administratorów/podmiotów przetwarzających, podlegających RODO oraz administratorów/ podmiotów przetwarzających w państwie trzecim, którzy będą przestrzegać tego samego kodeksu postępowania w odniesieniu do przekazywania danych, pod warunkiem że w każdym przypadku zobowiązanie do przestrzegania obowiązków wynikających z kodeksu postępowania, w tym w odniesieniu do praw osób, których dane dotyczą, jest zawarte w prawnie wiążącym instrumencie.

RODO. Wspracie się przydaje!

Treść kodeksu postępowania jako narzędzia do transferu danych osobowych

Europejska Rada Ochrony Danych w Wytycznych 4/2021 wskazuje, że kodeksy postępowania przeznaczone do transferu danych powinny zawierać zasady, do przestrzegania których będą zobowiązani administratorzy/podmioty przetwarzające z państwa trzeciego (podmioty odbierające dane) w celu zapewnienia odpowiedniej ochrony danych osobowych, zgodnie z wymogami rozdziału V RODO (dot. zasad przekazywania danych do państw trzecich lub organizacji międzynarodowych) podczas dokonywania przetwarzania danych osobowych przez takie podmioty. W szczególności, odnosząc się do treści kodeksu postępowania, w celu zapewnienia odpowiednich zabezpieczeń w rozumieniu art. 46 RODO, należy wziąć pod uwagę następujące elementy:

  • podstawowe zasady, prawa i obowiązki wynikające z RODO dla administratorów/podmiotów przetwarzających oraz
  • gwarancje mające znaczenie dla kontekstu transferu (tj. w odniesieniu do kwestii dalszych transferów czy kolizji praw w państwie trzecim).

W związku z powyższym warto zauważyć, że kodeks postępowania może być pierwotnie sporządzony wyłącznie w celu określenia stosowania zasad wynikających z RODO, zgodnie art. 40 ust. 2 RODO lub również jako kodeks postępowania przeznaczony do transferu, zgodnie z art. 40 ust. 3 RODO. Natomiast, jeżeli kodeks postępowania ma być stosowany jako narzędzie transferu, powinien uwzględniać wszystkie ww. elementy.

Proces przyjęcia kodeksu postępowania w przypadku transferu danych

Zgodnie z art. 40 ust. 5 RODO, zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające, chcące opracować kodeks postępowania, zmienić lub rozszerzyć zakres kodeksu już obowiązującego przedkładają projekt takiego kodeksu właściwemu organowi nadzorczemu. Organ nadzorczy wydaje opinię o zgodności projektu kodeksu, zmiany lub rozszerzenia z RODO i zatwierdza taki projekt, jeżeli uzna, że zapewnia on odpowiednie zabezpieczenia. Jeżeli projekt kodeksu postępowania dotyczy czynności przetwarzania prowadzonych w kilku państwach członkowskich, właściwy organ nadzorczy przed zatwierdzeniem projektu kodeksu, zmiany lub rozszerzenia przedkłada go Europejskiej Radzie Ochrony Danych, która wydaje opinię o tym, czy zawiera on odpowiednie zabezpieczenia. Jeżeli opinia, o której mowa powyżej potwierdza, że projekt kodeksu zmiany lub rozszerzenia zapewnia odpowiednie zabezpieczenia, Europejska Rada Ochrony Danych przedkłada tę opinię Komisji, która w drodze aktów wykonawczych może stwierdzić, że zatwierdzony kodeks postępowania jest powszechnie obowiązujący w Unii (art. 40 ust. 9 RODO).

W zakresie, w jakim kodeksy postępowania przeznaczone do przekazywania danych będą najprawdopodobniej używane przez administratorów/podmioty przetwarzające w ramach transferów z więcej niż jednego państwa członkowskiego, należałoby je zakwalifikować jako "kodeksy ponadnarodowe" i w stosunku do nich powinna być stosowana procedura zatwierdzania tego rodzaju kodeksów, w tym konieczność wydania opinii przez EROD. W praktyce mogą pojawić się różne przypadki, w których podmioty będą przyjmowały kodeksy postępowania w celu transferu danych:

  • projekt kodeksu powstał jako „kodeks RODO", jak również kodeks przeznaczony do wykorzystania jako narzędzie do przekazywania danych przez administratora/podmiot przetwarzający z państw trzecich. Taki projekt kodeksu musiałby najpierw zostać zatwierdzony przez właściwy organ nadzorczy, zgodnie z procedurą dotyczącą takich kodeksów, w tym zaopiniowany przez EROD, a następnie uznany przez Komisję za powszechnie obowiązujący w Unii zgodnie z art. 40 ust. 9 RODO. Po spełnieniu tych warunków kodeks może być stosowany, jako zapewniający odpowiednie zabezpieczenia w przypadku przekazywania danych do państw trzecich;
  • kodeks postępowania jest początkowo zaprojektowany i zatwierdzony jako „kodeks RODO”, a następnie zostaje rozszerzany w związku z tym, że jest również wykorzystywany jako narzędzie do przekazywania danych. Wobec tego zmiana kodeksu odnoszącego się do transferów będzie musiała zostać przedłożona właściwemu organowi nadzorczemu do zatwierdzenia, a następnie zaopiniowana przez EROD. Zmieniony kodeks będzie musiał zostać uznany przez Komisję za powszechnie obowiązujący w Unii zgodnie z art. 40 ust. 9 RODO, po czym administratorzy / podmioty przetwarzające będą mogli stosować się do takiego kodeksu i wykorzystywać go jako zapewniający odpowiednie zabezpieczenia w przypadku przekazywania danych osobowych do państw trzecich.

Wiążące i egzekwowalne zobowiązania

Praca dobrymi narzędziami RODO to nie praca!

Aplikacje, kalkulatory, RODOmigawki - wszystko, co może ułatwić Ci zarządzanie systemem ochrony danych osobowych.
ZOBACZ WIĘCEJ
Jak wspomniano powyżej, zobowiązanie się do stosowania kodeksu postępowania przeznaczonego do przekazywania danych do państwa trzeciego lub organizacji międzynarodowej przez administratorów lub podmioty przetwarzające niepodlegające RODO powinno mieć formę wiążącego i egzekwowalnego zobowiązania umownego lub innego prawnie wiążącego instrumentu. Oprócz umowy, która wydaje się być najprostszym rozwiązaniem, możliwe jest również zastosowanie innych prawnych instrumentów, pod warunkiem że administratorzy/podmioty przetwarzające stosujące się do ww. kodeksów postępowania będą w stanie wykazać wiążący i wykonalny charakter takich innych środków.

W każdym przypadku taki prawny instrument musi być zgodny z prawem Unii Europejskiej, a także powinien być wiążący i wykonalny dla osób, których dane dotyczą. Umowa lub inny prawnie wiążący instrument musi przede wszystkim określać, że administrator/podmiot przetwarzający zobowiązuje się do przestrzegania zasad określonych w kodeksie postępowania przeznaczonym do przekazywania danych, jak również zawierać mechanizmy umożliwiające egzekwowanie takich zobowiązań w przypadku niewywiązywania się z nich. Ponadto taka umowa powinna w szczególności regulować kwestie dotyczące:

    • praw osób, których dane są przekazywane zgodnie z kodeksem do egzekwowania przepisów kodeksu;
    • odpowiedzialności w przypadku naruszenia reguł wynikających z kodeksu przez podmiot spoza obszaru EOG;
    • obowiązku powiadamiania podmiotu przekazującego dane i organu nadzorczego o każdym wykrytym naruszeniu kodeksu oraz o wszelkich środkach naprawczych podjętych w związku z tym naruszeniem

Elementy kodeksu postępowania przeznaczonego do transferu

W celu zapewnienia spójności poziomu ochrony, a także biorąc pod uwagę odpowiednie zabezpieczenia transferów danych przewidziane w art. 46 RODO oraz w związku z wydanym wyrokiem w sprawie Schrems II, w ocenie EROD kodeksy postępowania przeznaczone do przekazywania danych do państwa trzeciego lub organizacji międzynarodowej powinny w szczególności zawierać:

  • opis transferów, które mają być objęte takim kodeksem (charakter przekazywanych danych, kategorie osób, których dane dotyczą, kraje);
  • opis zasad ochrony danych, których należy przestrzegać zgodnie z kodeksem (zgodność z prawem, rzetelność i przejrzystość, ograniczenie celu, minimalizacja danych, prawidłowość, ograniczenie przechowywania danych, przetwarzanie danych wrażliwych), w tym zasady korzystania z podmiotów przetwarzających lub subprocesorów, zasady dalszego przekazywania danych;
  • środki w zakresie rozliczalności, które należy podjąć w ramach kodeksu;
  • ustanowione odpowiednie zarządzanie przy wsparciu IOD lub innych pracowników odpowiedzialnych za przestrzeganie obowiązków w zakresie ochrony danych wynikających z kodeksu;
  • odpowiedni program szkoleniowy dotyczący obowiązków wynikających z kodeksu;
  • audyt ochrony danych (przeprowadzany przez audytorów wewnętrznych lub zewnętrznych) lub inny wewnętrzny mechanizm monitorowania zgodności z kodeksem;
  • środki zapewniające przejrzystość przetwarzania danych;
  • mechanizmy związane z realizacją praw osób, których dane dotyczą, stosownie do art. 12, 13, 14, 15, 16, 17, 18, 19, 21, i 22 RODO;
  • odpowiedni proces rozpatrywania skarg, jak również zapewnienie możliwości złożenia skargi do właściwego organu nadzorczego; - mechanizmy postępowania w przypadku zmian w kodeksie; - konsekwencje wykluczenia danego podmiotu z możliwości stosowania kodeksu; - zobowiązanie do współpracy z właściwymi organami nadzorczymi.

CZYTAJ WIĘCEJ: RODO Nawigator Online

Powyższe elementy stanowią minimalne gwarancje, jakie powinny być zapewnione przez kodeks postępowania i w związku z tym mogą wymagać uzupełnienia dodatkowymi zobowiązaniami, w zależności od charakteru transferu danych osobowych.

Czytaj także:

Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".