Czy Szwajcaria będzie państwem trzecim na gruncie RODO

Marcin Sarna

Autor: Marcin Sarna

Dodano: 10 stycznia 2018
Czy Szwajcaria będzie państwem trzecim na gruncie RODO
Pytanie:  Czy Szwajcarię należy traktować jako państwo trzecie? Nie należy ona do Europejskiego Obszaru Gospodarczego, nie jest też państwem członkowskim Unii Europejskiej. Komisja Europejska uznała, że Szwajcaria zapewnia takie same gwarancje ochrony danych jak państwa UE. Czy w związku z RODO decyzja ta będzie nadal obowiązująca?
Odpowiedź: 

Obecnie Szwajcaria jest uznawana przez UE za państwo trzecie (bo nie należy do Unii Europejskiej oraz Europejskiego Obszaru Gospodarczego) zapewniające właściwy poziom ochrony danych osobowych przekazywanych ze Wspólnoty. Decyzja Komisji Europejskiej w sprawie stwierdzenia odpowiedniego stopnia ochrony danych osobowych w Szwajcarii zostanie uchylona z dniem rozpoczęcia obowiązywania RODO, czyli 25 maja 2018 r.

Zgodnie z art. 25 ust. 1 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych państwa członkowskie zapewniają, aby przekazywanie do państwa trzeciego danych osobowych poddawanych przetwarzaniu lub przeznaczonych do przetwarzania po ich przekazaniu mogło nastąpić tylko wówczas gdy, niezależnie od zgodności z krajowymi przepisami przyjętymi na podstawie innych przepisów niniejszej dyrektywy, dane państwo trzecie zapewni odpowiedni stopień ochrony. Odpowiedni stopień ochrony danych zapewnianej przez państwo trzecie jest oceniany w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zbioru takich operacji.

Czy przekazywanie danych do Szwajcarii jest bezpieczne

Zgodnie z art. 25 ust. 6 dyrektywy 95/46/WE Komisja Europejska może stwierdzić, że państwo trzecie zapewnia prawidłowy stopień ochrony w znaczeniu art. 25 ust. 2 dyrektywy 95/46/WE. Wydanie takiej decyzji oznacza, że prawo krajowe lub międzynarodowe zobowiązania przyjęte przez to państwo zapewniają prawidłowy stopień ochrony w zakresie ochrony życia prywatnego i podstawowych praw i wolności osób fizycznych.

26 lipca 200 r. KE wydała decyzję na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie właściwej ochrony danych osobowych w Szwajcarii (2000/518/WE). Decyzja ta wydana została właśnie na podstawie art. 25 ust. 6 dyrektywy 95/46/WE, a więc obecnie Szwajcaria jest uznawana przez UE za państwo trzecie (bo nie należy do Unii Europejskiej oraz Europejskiego Obszaru Gospodarczego) zapewniające „właściwy poziom ochrony danych osobowych przekazywanych ze Wspólnoty” (art. 1 decyzji). Można więc obecnie przekazywać dane osobowe do Szwajcarii bez specjalnych obostrzeń.

Co w tej kwestii zmieni RODO

Rozpoczęcie stosowania ogólnego rozporządzenia o ochronie danych (RODO) będzie skutkowało uchyleniem dyrektywy 95/46/WE. „Stara” dyrektywa będzie obowiązywała jedynie do 24 maja 2018 r. Począwszy od 25 maja 2018 r., będzie już obowiązywało RODO. Oznacza to także uchylenie podstawy prawnej decyzji KE z 26 lipca 2000 r.

Obecnie w Szwajcarii trwają prace nad nową ustawą o ochronie danych osobowych (Swiss Federal Act on Data Protection, Draft-DPA), która ma przenieść na grunt prawa szwajcarskiego szereg rozwiązań przyjętych w RODO. Unia Europejska nie może zobowiązać państwa trzeciego do przestrzegania jej ustawodawstwa. RODO jest jednak tak skonstruowane, że tak naprawdę obowiązuje wszystkie podmioty na całym świecie, jeżeli tylko wykorzystują one dane osobowe obywateli Unii Europejskiej.

PRZYKŁAD

Małe przedsiębiorstwo ze Szwajcarii sprzedaje online swoje produkty. Jego klientem mogą być także obywatele Unii Europejskiej. Rodzi to dla tego przedsiębiorstwa obowiązek przestrzegania przepisów RODO.

W pewnym uproszczeniu można powiedzieć, że RODO nie obowiązuje w Szwajcarii tylko tych, których nie mają nic wspólnego z danymi osobowymi obywateli Unii Europejskiej. Zgodnie z art. 3 ust. 2 RODO ma ono bowiem zastosowanie także do przetwarzania danych osobowych osób przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z:

  • oferowaniem towarów lub usług takim osobom, nawet nieodpłatnie,
  • monitorowaniem zachowania takich osób,

ale tylko, gdy do tego oferowania lub monitorowania dochodzi w Unii. RODO nie precyzuje sankcji, jakie miałyby być nałożone na takie poza unijne podmioty.

Na jakiej podstawie przekazywać dane do Szwajcarii po 25 maja 2018 r.

Po 25 maja 2018 r. przekazywania danych osobowych do Szwajcarii musi się odbywać na podstawie RODO. Także na gruncie RODO istnieje możliwość przekazywania danych na podstawie decyzji stwierdzającej odpowiedni stopień ochrony. Jeżeli KE stwierdzi, że dane państwo trzecie, określony sektor w tym państwie, terytorium albo organizacja międzynarodowa zapewnia „odpowiedni stopień ochrony”, to można przekazywać dane osobowe do takich obszarów bez specjalnego zezwolenia.

Jeżeli wobec danego państwa trzeciego lub organizacji międzynarodowej Komisja się nie wypowiedziała (a w mojej ocenie taka sytuacja będzie miała miejsce w odniesieniu do Szwajcarii, gdyż decyzja dotycząca tego państwa utraci swoją podstawę prawną), administrator może przekazywać dane osobowe wyłącznie, gdy takie państwo lub organizacja zapewnią odpowiednie zabezpieczenia i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. Te odpowiednie zabezpieczenia można zapewnić nie tylko za pomocą istniejących już rozwiązań w postaci standardowych klauzul umownych i wiążących reguł korporacyjnych, ale także z wykorzystaniem przede wszystkim:

  • zatwierdzonego kodeksu postępowania,
  • zatwierdzonego mechanizmu certyfikacji.

Kodeksy postępowania mogą być tworzone przez zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów w celu doprecyzowania zastosowania RODO.

Certyfikacja jest dobrowolna i dokonują jej tzw. podmioty certyfikujące, posiadające odpowiedni poziom wiedzy fachowej w dziedzinie ochrony danych osobowych i akredytowane przez państwa członkowskie (np. przez organy nadzorcze tych państw).

Podstawa prawna: 
Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

Nasi partnerzy i zdobyte nagrody » 


Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel