Utworzenie polskiej spółki i umieszczenie jej w polityce prywatności nie gwarantuje możliwości obejścia przepisów RODO. Eksperci przestrzegają, że formalna obecność podmiotu w Unii Europejskiej nie zwalnia z obowiązku zapewnienia odpowiedniego poziomu ochrony danych przy przekazywaniu ich do krajów trzecich, takich jak Turcja.
Segmentify i Insider to podmioty tureckie
Insider to spółka z siedzibą w Stambule o oficjalnej nazwie Sosyo Plus Bilgi Bilişim Tekn. Dan. Hiz. Tic. A.Ş. Z kolei Segmenify to Segmentify Yazılım A.Ş. Użycie narzędzi pochodzących z Turcji przez użytkowników z Europy (EOG) wiąże się z koniecznością przestrzegania przepisów dotyczących transferu danych osobowych.
RODO ma zastosowanie do przetwarzania danych osób przebywających w UE niezależnie od miejsca faktycznego przetwarzania czy siedziby organu decyzyjnego. Transfer danych poza Europejski Obszar Gospodarczy jest dopuszczalny tylko wtedy, gdy istnieje „odpowiedni poziom ochrony” — potwierdzony decyzją Komisji Europejskiej, bądź gdy zastosowane zostaną prawnie wiążące mechanizmy zabezpieczające, takie jak standardowe klauzule umowne (SCC) lub wiążące reguły korporacyjne (BCR).
Turcja – brak decyzji o adekwatności
Turcja nie znajduje się obecnie na liście państw, dla których Komisja wydała decyzję o adekwatności. W praktyce oznacza to konieczność wdrożenia dodatkowych środków prawnych i technicznych. Po orzeczeniu „Schrems II” i wydanych później wytycznych Europejskiej Rady Ochrony Danych (EDPB) organy nadzorcze zwracają uwagę nie tylko na dokumenty, lecz także na rzeczywisty podział odpowiedzialności i faktyczne praktyki przetwarzania — tzw. substance over form. Innymi słowy: wpisanie polskiej spółki w politykę prywatności nie wystarczy, jeśli centrum decyzyjne, dostęp do danych i infrastruktura znajdują się poza UE.
Transfer danych do Turcji – co robić?
Specjaliści ds. ochrony danych wskazują na kluczowe obowiązki dla firm planujących transfer danych do Turcji:
- sprawdzenie aktualnego statusu adekwatności i, w razie braku decyzji Komisji, wdrożenie SCC lub BCR;
- przeprowadzenie oceny ryzyka transferu i ewentualnej oceny skutków dla ochrony danych osobowych (DPIA), szczególnie gdy chodzi o wrażliwe dane lub masowe profilowanie;
- zawarcie jasnych umów powierzenia przetwarzania z określeniem technicznych i organizacyjnych zabezpieczeń;
- zastosowanie dodatkowych środków ochronnych (np. szyfrowanie, minimalizacja danych, ograniczenie dostępu) w świetle prawa kraju trzeciego oraz praktyk dostępu służb państwowych.
- i oczywiście za każdym razem uzyskanie wyraźnej zgody użytkownika na transfer danych do Turcji
Konsekwencje niezgodnych transferów mogą być dotkliwe: kary administracyjne, nakazy zaprzestania przekazywania danych, a także szkody reputacyjne. W praktyce organy nadzorcze będą badać nie tylko dokumenty, lecz także faktyczny przebieg operacji — kto podejmuje decyzje o przetwarzaniu, gdzie znajdują się systemy i kto ma dostęp do surowych danych.
Dla firm planujących przekazywanie danych do centrali poza UE rekomendowane działania obejmują wdrożenie SCC, przeprowadzenie DPIA, zastosowanie technicznych zabezpieczeń (szyfrowanie, kontrola dostępu) oraz konsultację z prawnikiem wyspecjalizowanym w prawie ochrony danych. Tylko kompleksowe podejście — łączące formalne mechanizmy prawne z rzeczywistymi środkami technicznymi i organizacyjnymi — może ograniczyć ryzyko naruszenia RODO.