Kodeks jako narzędzie międzynarodowych transferów danych

Kodeksy postępowania mogą być również stosowane przez administratorów lub podmioty przetwarzające jako odpowiednie zabezpieczenia w rozumieniu art. 46 ust. 1 RODO – w przypadku przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych, gdy nie ma decyzji, o których mowa w art. 45 ust. 3 RODO.

Zgodnie z art. 40 ust. 3 RODO, po zatwierdzeniu kodeksu postępowania przez właściwy organ nadzorczy i po uznaniu go przez Komisję za powszechnie obowiązujący w Unii Europejskiej mogą przestrzegać go oraz stosować administratorzy lub podmioty przetwarzające niepodlegające RODO znajdujące się w państwach trzecich w celu zapewnienia odpowiednich zabezpieczeń danych przekazywanych do państw trzecich. Od takich administratorów oraz podmiotów przetwarzających wymaga się podejmowania wiążących i egzekwowalnych zobowiązań – w drodze umowy lub poprzez inne prawnie wiążące instrumenty – do stosowania odpowiednich zabezpieczeń przewidzianych w kodeksie, w tym w odniesieniu do praw osób, których dane dotyczą, zgodnie z wymogiem określonym w art. 40 ust. 3 RODO.

Należy również zauważyć, że kodeks przeznaczony do przekazywania danych do państw trzecich lub organizacji międzynarodowych, którego przestrzega podmiot odbierający dane, może być stosowany przez podlegających RODO administratorów lub podmioty przetwarzające (tj. podmioty przekazujące dane) w celu wypełnienia ich obowiązków w przypadku przekazywania danych do państw trzecich zgodnie z RODO, bez konieczności przestrzegania takiego kodeksu przez samych administratorów lub podmioty przetwarzające.

Regulacje art. 40 ust. 3 RODO zostały doprecyzowane w przyjętych przez Europejską Radę Ochrony Danych 22 lutego 2022 r. Wytycznych 4/2021 dotyczących kodeksów postępowania jako narzędzi do przekazywania danych. Dostarczają one praktycznych wskazówek, w tym dotyczących treści kodeksów postępowania, procesu ich przyjmowania oraz zaangażowanych podmiotów, a także wymogów, które należy spełnić, i gwarancji, które należy zapewnić w ramach kodeksu postępowania przeznaczonego do przekazywania danych.

Wytyczne 4/2021 stanowią uzupełnienie Wytycznych 1/2019 dotyczących kodeksów postępowania i podmiotów monitorujących zgodnie z rozporządzeniem 2016/679, w których ustanowiono ogólne ramy przyjmowania kodeksów postępowania.

Kodeks postępowania można pierwotnie sporządzić wyłącznie w celu doprecyzowania zastosowania RODO zgodnie z art. 40 ust. 2 lub również jako kodeks przeznaczony do przekazywania danych zgodnie z art. 40 ust. 3.

W ocenie EROD w zakresie, w jakim jest najbardziej prawdopodobne, że z kodeksów przeznaczonych do przekazywania danych będą korzystać odpowiednie podmioty do określania ram przekazywania danych z więcej niż jednego państwa członkowskiego i biorąc pod uwagę, że te kodeksy postępowania powinny być powszechnie obowiązujące zgodnie z art. 40 ust. 9 RODO, jako takie kwalifikowałyby się jako „kodeksy transgraniczne” w rozumieniu Wytycznych 1/2019 (p. 9 Wytycznych 4/2021). Zatem, zatwierdzenie takiego kodeksu lub jego zmiana przez właściwy organ nadzorczy będzie poprzedzone uzyskaniem opinii EROD na podstawie art. 40 ust. 7 i art. 64 ust. 1 lit. b) RODO.