Czy o transgranicznym przekazywaniu danych decyduje miejsce położenia serwerów, czy siedziba podmiotu, który świadczy usługę dostarczenia i przechowywania poczty elektronicznej?

W przypadku, w którym administrator współpracuje z podmiotem, który realizując swoją usługę (dostarczenie i przechowywanie poczty elektronicznej) wykorzystuje serwery znajdujące się na terytorium USA, to takie czynności należy uznać za przekazywanie danych osobowych do państw trzecich w myśl przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE L z 2016 r. 119) – dalej RODO.

Uzasadnienie:

W związku z korzystaniem z poczty elektronicznej znajdującej się na serwerach znajdujących się na terytorium USA, administrator ma obowiązek wykazania, że czynności dokonywane są zgodnie z przepisami RODO. We wskazanym przypadku, w pierwszej kolejności należy spełnić warunki wynikające z RODO pozwalające na przetwarzanie danych osobowych, tj. wskazanie przesłanki legalizującej przetwarzanie danych, a także wykazać zgodności z zasadami określonymi w art. 5 RODO. Następnie administrator musi dokonać oparcia transferu danych do państwa trzeciego na jednej z dopuszczalnych podstaw, zgodnie bowiem z art. 44 RODO przekazywanie danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego następuje tylko, gdy Administrator spełnią określone warunki wskazane w rozdziale V RODO, dotyczącym przekazania danych osobowych do państw trzecich lub organizacji międzynarodowych. Istotne przy tym jest to, że przepisy wskazanego rozdziału stosuje się by zapewnić odpowiedni stopień ochrony osób fizycznych, który gwarantują przepisy RODO.