Transfer danych osobowych z Ukrainy i na Ukrainę – o czym musisz pamiętać?

Na samym początku warto wskazać, że nie każde przetwarzanie danych z udziałem zagranicznego podmiotu będzie transferem danych. Zgodnie z RODO, transfer danych do państw trzecich to przekazanie danych osobowych poza bezpieczny obszar w rozumieniu przepisów rozporządzenia. Kluczowy jest tu aspekt jurysdykcji: jeśli odbiorca danych znajduje się poza Europejskim Obszarem Gospodarczym (EOG), a Ukraina do EOG nie należy, mamy do czynienia z transferem do tzw. państwa trzeciego.

To oznacza, że samo przesłanie danych na ukraiński serwer, zlecenie obsługi IT ukraińskiej firmie lub współpraca z podmiotem przetwarzającym dane na Ukrainie – podlega reżimowi z art. 44–50 RODO. I nie ma znaczenia, czy dane przekazuje administrator, czy podmiot przetwarzający – obowiązki są w zasadzie takie same.

Analogicznie, jeżeli to ukraiński podmiot przesyła dane osobowe do Polski (np. w związku z obsługą prawną pracowników), również wymagane jest zastosowanie odpowiednich zabezpieczeń. Transfer działa w obie strony – i w obu należy przestrzegać tych samych zasad.

W tym kontekście warto także zwrócić uwagę na ostatnie regulacyjne w zakresie transferu danych osobowych, które mają swoje źródło głównie w konsekwencjach wyroku Trybunału Sprawiedliwości UE w sprawie Schrems II oraz aktualizacji standardowych klauzul umownych (SCC).

Po unieważnieniu mechanizmu Tarczy Prywatności, przedsiębiorcy zostali zmuszeni do stosowania bardziej rygorystycznych środków zabezpieczających transfer danych, zwłaszcza w odniesieniu do państw trzecich, które – podobnie jak Ukraina – nie posiadają decyzji Komisji Europejskiej o odpowiednim poziomie ochrony. Nowe SCC, przyjęte w czerwcu 2021 roku, mają szerszy zakres zastosowania i lepiej odpowiadają złożoności dzisiejszych relacji gospodarczych, jednak wymagają od administratorów przeprowadzania gruntownej oceny ryzyka prawnego związanego z konkretnym transferem. Regulacje te podkreślają również rosnącą odpowiedzialność przedsiębiorców za weryfikację poziomu ochrony danych w państwie odbiorcy – nie tylko na poziomie formalnym, ale również w praktyce.

Tym samym samo zastosowanie SCC przestało być „tarczą ochronną” – stało się jedynie punktem wyjścia, do którego niezbędna jest rzetelna analiza otoczenia prawnego i faktycznego w kraju trzecim. W tym kontekście zachęcamy także do lektury wpisu: Przekazywanie danych osobowych do krajów trzecich – nowe regulacje

W codziennej praktyce przedsiębiorcy coraz częściej spotykają się z koniecznością przekazywania danych osobowych do Ukrainy lub ich odbierania od ukraińskich podmiotów. Poniżej przedstawiamy trzy typowe scenariusze biznesowe, w których pojawia się kwestia legalności transferu danych zgodnie z RODO.

Outsourcing usług IT

Polska spółka z branży e-commerce zleca ukraińskiej firmie IT utrzymanie i rozwój swojej platformy sprzedażowej. W ramach tych prac ukraiński dostawca ma dostęp do baz danych klientów – zawierających imiona, nazwiska, adresy e-mail, historię zakupów i preferencje zakupowe. Z technicznego punktu widzenia dane mogą być zarówno przesyłane na ukraińskie serwery, jak i przetwarzane zdalnie przez ukraińskich programistów na danych znajdujących się w Polsce. W obu przypadkach dochodzi do transferu danych do państwa trzeciego w rozumieniu RODO, co wymaga zawarcia Standardowych Klauzul Umownych (SCC), przeprowadzenia oceny ryzyka transferu (TIA) oraz zapewnienia odpowiednich środków technicznych i organizacyjnych minimalizujących ryzyko nieautoryzowanego dostępu.

Rekrutacja i zatrudnienie

Polski pracodawca planuje zatrudnić większą liczbę pracowników z Ukrainy i korzysta z usług lokalnej agencji rekrutacyjnej w Kijowie. W tym celu przekazuje agencji CV kandydatów, listy motywacyjne oraz informacje o wynikach wstępnych rozmów kwalifikacyjnych. Choć zakres danych może wydawać się ograniczony, transfer ten wciąż podlega rygorom RODO. Pracodawca musi zadbać o prawidłowe poinformowanie kandydatów o przekazaniu danych, zawrzeć odpowiednią umowę powierzenia przetwarzania danych z agencją, a także wdrożyć SCC i przeprowadzić ocenę wpływu transferu na prawa osób, których dane dotyczą. Należy też pamiętać, że w przypadku przetwarzania danych szczególnych kategorii (np. informacji o niepełnosprawności kandydata) wymagania co do zabezpieczeń są jeszcze wyższe.

Współpraca badawcza między uczelniami

Polska firma prowadząca działalność na rynku ukraińskim angażuje lokalną kancelarię prawną do reprezentowania jej interesów przed sądem w Kijowie. W ramach przygotowania sprawy konieczne jest przekazanie ukraińskim prawnikom danych osobowych pracowników, kontrahentów lub klientów – w tym imion, nazwisk, danych kontaktowych, a czasem także danych wrażliwych (np. informacji o stanie zdrowia w przypadku spraw pracowniczych). Przekazanie takich danych jest klasycznym przykładem transferu do państwa trzeciego. Polska firma jako administrator danych musi nie tylko zawrzeć odpowiednie SCC z kancelarią, ale także ocenić lokalne ryzyka prawne w zakresie dostępu do danych przez władze ukraińskie lub ograniczeń w dochodzeniu praw osób, których dane dotyczą. Dodatkowo, należy zadbać o aktualizację klauzul informacyjnych oraz rejestru czynności przetwarzania.

Transfer danych z Ukrainy i na Ukrainę wymaga znacznie więcej niż dobrej woli stron. To obszar wysokiego ryzyka regulacyjnego, wymagający znajomości nie tylko RODO, ale także praktyk transgranicznych oraz realiów ukraińskiego systemu prawnego. Administratorzy i podmioty przetwarzające muszą działać z rozwagą, systematycznie aktualizując swoje polityki, umowy i oceny ryzyka.

W świecie, gdzie dane podróżują szybciej niż poczta dyliżansowa, warto zadbać o to, by każdy transfer był nie tylko technicznie sprawny, ale i prawnie dopuszczalny.