Słowniczek

Transfer danych osobowych poza EOG

Transfer danych osobowych poza Europejski Obszar Gospodarczy (EOG) to przekazywanie danych do krajów, które nie zapewniają odpowiedniego poziomu ochrony danych osobowych uznanego przez Komisję Europejską. W kontekście HR transfer następuje gdy: firma korzysta z HR SaaS z serwerami poza EOG (USA, Indie), współpracuje z zagranicznymi spółkami grupy kapitałowej, korzysta z usług outsourcingowych w państwach trzecich lub przesyła dane pracowników do zagranicznych klientów. RODO (Rozdział V) dopuszcza transfer na podstawie: decyzji adekwatności KE (np. EU-US Data Privacy Framework dla USA, Wielka Brytania, Japonia, Korea Pd.), standardowych klauzul umownych (SCC), wiążących reguł korporacyjnych (BCR) lub wyjątków (wyraźna zgoda, wykonanie umowy). Po wyroku Schrems II transfer wymaga dodatkowej oceny ryzyka (Transfer Impact Assessment — TIA) potwierdzającej, że prawo państwa trzeciego nie podważa skuteczności zabezpieczeń.

Korzystanie z HR SaaS z serwerami poza EOG (np. USA), wysyłanie danych pracowników do spółki-matki poza UE, outsourcing płac do Indii, udostępnianie CV zagranicznym klientom, korzystanie z globalnych platform benefitowych lub szkoleniowych.

Tak, jeśli odbiorca w USA jest certyfikowany w DPF. Można zweryfikować na stronie dataprivacyframework.gov. Jeśli odbiorca nie jest certyfikowany — potrzebne SCC + TIA. DPF może być zakwestionowany (jak wcześniej Privacy Shield) — warto mieć plan B.

Wzorcowe klauzule umowne przyjęte przez KE, które strony transferu włączają do umowy. Nowa wersja SCC (2021) obejmuje 4 moduły dla różnych relacji (administrator→administrator, administrator→procesor, itp.). Wymagają TIA potwierdzającej skuteczność ochrony.

Ocena wpływu transferu — analiza, czy prawo i praktyki państwa trzeciego (dostęp służb wywiadowczych, brak niezawisłych sądów) mogą podważyć ochronę danych. Wymagana przy transferze na podstawie SCC. Jeśli ryzyko wysokie — dodatkowe środki (szyfrowanie, pseudonimizacja).

Wewnętrzne polityki ochrony danych przyjęte przez grupę kapitałową, zatwierdzone przez wiodący organ nadzorczy. Umożliwiają transfer danych wewnątrz grupy bez dodatkowych zabezpieczeń. Proces zatwierdzenia trwa 12-18 miesięcy — opłacalny dla dużych międzynarodowych korporacji.

Powiązane pojęcia

Dane biometryczne pracowników

Inspektor Ochrony Danych (IOD)

Monitoring pracowników

Naruszenie ochrony danych osobowych

Obowiązek informacyjny RODO