Utworzenie polskiej spółki i umieszczenie jej w polityce prywatności nie gwarantuje możliwości obejścia przepisów RODO. Eksperci przestrzegają, że formalna obecność podmiotu w Unii Europejskiej nie zwalnia z obowiązku zapewnienia odpowiedniego poziomu ochrony danych przy przekazywaniu ich do krajów trzecich, takich jak Turcja.
Segmentify i Insider to podmioty tureckie
Insider to spółka z siedzibą w Stambule o oficjalnej nazwie Sosyo Plus Bilgi Bilişim Tekn. Dan. Hiz. Tic. A.Ş. Z kolei Segmenify to Segmentify Yazılım A.Ş.
Użycie narzędzi pochodzących z Turcji przez użytkowników z Europy (EOG) wiąże się z koniecznością przestrzegania przepisów dotyczących transferu danych osobowych.
RODO ma zastosowanie do przetwarzania danych osób przebywających w UE niezależnie od miejsca faktycznego przetwarzania czy siedziby organu decyzyjnego. Transfer danych poza Europejski Obszar Gospodarczy jest dopuszczalny tylko wtedy, gdy istnieje „odpowiedni poziom ochrony” — potwierdzony decyzją Komisji Europejskiej, bądź gdy zastosowane zostaną prawnie wiążące mechanizmy zabezpieczające, takie jak standardowe klauzule umowne (SCC) lub wiążące reguły korporacyjne (BCR).
Turcja – brak decyzji o adekwatności
Turcja nie znajduje się obecnie na liście państw, dla których Komisja wydała decyzję o adekwatności. Na takiej liście znajdują się np. USA i transfer danych do USA (np. korzystając z Google Analytics) nie wymaga takich samych czynności, jak transfer danych do Turcji – np. dotyczących zgód użytkownika. Dlatego nie można przenosić zgód, zapisów i uprawnień z np. Google Analytics na Segmentify czy Insider.
W praktyce oznacza to konieczność wdrożenia dodatkowych środków prawnych i technicznych. Po orzeczeniu „Schrems II” i wydanych później wytycznych Europejskiej Rady Ochrony Danych (EDPB) organy nadzorcze zwracają uwagę nie tylko na dokumenty, lecz także na rzeczywisty podział odpowiedzialności i faktyczne praktyki przetwarzania – tzw. substance over form. Innymi słowy np. wpisanie polskiej spółki w politykę prywatności nie wystarczy, jeśli centrum decyzyjne, dostęp do danych i infrastruktura znajdują się poza UE.
Ponieważ Turcja nie znajduje się w Unii Europejskiej ani nie posiada obecnie statusu kraju zapewniającego „adekwatny stopień ochrony danych” (decyzja Komisji Europejskiej), przekazywanie tam danych jest traktowane jako transfer do państwa trzeciego.
Dodatkowo istotne jest pojęcie faktycznego sprawowania kontroli oraz statusu podmiotu przetwarzającego (procesora). W prawie unijnym (RODO) nie liczy się tylko to, gdzie stoją serwery, ale kto ma do nich klucz i kto decyduje o celach przetwarzania.
Z punktu widzenia organów ochrony danych (np. polskiego UODO), taka konstrukcja generuje kilka specyficznych wymagań. Eksport danych przez podmiot z UK (lub zastosowanie podmiotu z UK jako strony prawnej) – UK posiada decyzję o adekwatności, transfer z Polski do podmiotu w UK jest więc legalny. Jednak jeśli podmiot w UK daje dostęp do danych swoim inżynierom w Turcji (tzw. remote access), dochodzi do dalszego transferu danych do państwa trzeciego. Dostęp zdalny = Transfer.
Zgodnie z wytycznymi EROD (Europejska Rada Ochrony Danych), sam wgląd pracownika z Turcji do bazy danych we Frankfurcie jest uznawany za transfer danych do Turcji. Jeśli podmiot turecki faktycznie decyduje o tym, jak algorytmy działają i jak dane są profilowane, może zostać uznany za faktycznego administratora lub podmiot podprzetwarzający (sub-processor), co musi być ujawnione w umowie.
Transfer danych do Turcji – co robić?
W świetle obecnych przepisów (RODO oraz ustawa Prawo Telekomunikacyjne) należy uzyskać wyraźną, uprzednią zgodę użytkownika, zanim skrypt podmiotu z państwa trzeciego zostanie uruchomiony użytkownikowi. Zwykły komunikat „korzystamy z cookies” już nie wystarcza. Zgoda musi być dobrowolna, konkretna i świadoma.
Aby wdrożenie Segmentify czy Insider było legalne mechanizm zgody (tzw. Cookie Banner) musi spełniać poniższe warunki:
Opt-in (zgoda uprzednia) – skrypt Segmentify czy Insider nie może ładować się automatycznie. Musi czekać, aż użytkownik kliknie „Akceptuję” lub zaznaczy odpowiednią kategorię.
Kategoryzacja: Segmentify czy Insider nie są narzędziami „niezbędnym” (jak np. koszyk w sklepie). Muszą być przypisane do kategorii Cookies analityczne lub Cookies personalizacji/marketingowe. Checkboxy przy kategoriach marketingowych nie mogą być zaznaczone „na start”. Użytkownik musi mieć możliwość zmiany zdania w dowolnym momencie (np. przez ikonkę tarczy w rogu strony).
Dlaczego zwykła zgoda to za mało w przypadku Turcji?
Ponieważ dane trafiają pod kontrolę podmiotu z Turcji (kraju trzeciego), pojawia się dodatkowy obowiązek z Art. 49 ust. 1 lit. a RODO: brak decyzji o adekwatności dla Turcji wiąże się z obowiązkiem poinformowania użytkownika o ryzyku związanym z takim transferem (np. mniejsza ochrona prawna niż w UE) i uzyskać na to wyraźną zgodę. W praktyce stosuje się zapis w Polityce Cookies: „Korzystając z narzędzi personalizacji, wyrażasz zgodę na przetwarzanie danych przez Segmentify / Insider, co może wiązać się z dostępem do danych przez podmiot z siedzibą w Turcji”.
Baner cookie powinien mieć także przycisk „Odrzuć wszystko” lub „Ustawienia” – wymóg po wyrokach TSUE. Należy sprawdzić też, czy Segmentify lub Insider startują dopiero po akcji użytkownika. Polityka prywatności powinna także wymieniać Segmentify lub Insider z nazwy i wskazywać na transfer do kraju trzeciego (Turcja/UK)?
Jakie są konsekwencje braku zgody?
Konsekwencje niezgodnych transferów mogą być dotkliwe: kary administracyjne, nakazy zaprzestania przekazywania danych, a także szkody reputacyjne. W praktyce organy nadzorcze będą badać nie tylko dokumenty, lecz także faktyczny przebieg operacji, kto podejmuje decyzje o przetwarzaniu, gdzie znajdują się systemy i kto ma dostęp do surowych danych.
Dla firm planujących przekazywanie danych poza UE rekomendowane działania obejmują wdrożenie SCC, przeprowadzenie DPIA, zastosowanie technicznych zabezpieczeń (szyfrowanie, kontrola dostępu) oraz konsultację z prawnikiem wyspecjalizowanym w prawie ochrony danych. Tylko kompleksowe podejście, które łączy formalne mechanizmy prawne z rzeczywistymi środkami technicznymi i organizacyjnymi, może ograniczyć ryzyko naruszenia RODO.