Przekazywanie danych osobowych do państw nienależących do Europejskiego Obszaru Gospodarczego podlega restrykcyjnym regulacjom prawnym, które powinny być uwzględniane przez każdego przedsiębiorcę współpracującego z firmami, których siedziby znajdują się poza tym obszarem. Szczególnie istotne jest to w przypadku prowadzenia działalności, w ramach której wykorzystywane są nowoczesne narzędzia informatyczne dostarczane przez zewnętrzne podmioty, takie jak np. bardzo popularny MailChimp. Większość startupów powinna zwrócić uwagę na kwestie związane z legalnością przekazywania przez nie danych osobowych. Szczególnie, gdy dane przekazywane są do Stanów Zjednoczonych Ameryki.

Przekazując dane osobowe klientów do podmiotów mających siedzibę w państwach leżących poza obszarem EOG, pamiętać należy o wymogach warunkujących zgodność z prawem takiego transferu danych. Po wyroku w sprawie Maximilian Schrems przeciwko Data Protection Commissioner przestały obowiązywać zasady wypracowane przez Komisję Europejską i rząd Stanów Zjednoczonych Ameryki, dotyczące programu Safe Harbor, który zrzeszał podmioty amerykańskie zapewniające odpowiednią ochronę przetwarzanych przez nie danych osobowych (MailChimp jest jedną z popularnych amerykańskich firm, które uczestniczyły w tym programie). Transfer danych z obszaru Polski do tych właśnie podmiotów był dozwolony bez konieczności uzyskiwania na to zgody Generalnego Inspektora Ochrony Danych Osobowych. Od momentu wydania ww. wyroku, przekazywanie danych osobowych do USA na podstawie porozumienia Safe Harbor stało się niezgodne z prawem.

Na zarzut bezprawnego przekazywania danych osobowych do państw trzecich (nienależących do obszaru EOG) narażeni są szczególnie przedsiębiorcy prowadzący działalność opartą na nowych technologiach, którzy przetwarzają dane osobowe swoich klientów w oparciu o usługi hostingowe m.in. firm zza Oceanu. W dzisiejszych czasach niezwykle często europejskie firmy korzystają z narzędzi amerykańskich hostingodawców i podmiotów świadczących usługi rozsyłania newslettera, dlatego też powinny one zwrócić szczególną uwagę na kwestie prawne związane z przekazywaniem swoim kontrahentom danych osobowych klientów.

Unieważnienie porozumienia Safe Harbor nie oznacza, że przekazywanie danych osobowych do USA jest w ogóle niemożliwe. Istnieją alternatywne mechanizmy pozwalające na legalne prowadzenie działalności w tym zakresie. Jednym z nich jest skorzystanie z tzw. standardowych klauzul umownych, które określone zostały przez Komisję Europejską. Zawierając z podmiotem z państwa trzeciego umowę powierzenia przetwarzania lub udostępnienia danych osobowych, w której umieszczone zostaną postanowienia zgodne z zestawem standardowych klauzul, przekazywanie danych stanie się w pełni legalne.

W przypadku kilku podmiotów powiązanych, działających w grupie, z których jeden ma siedzibę w państwie trzecim, możliwe jest opracowanie tzw. wiążących reguł korporacyjnych, w oparciu o które podmioty te będą mogły przekazywać pomiędzy sobą dane osobowe pozyskane w ramach prowadzonych przez nie działalności. Proces wdrażania standardów regulujących powierzanie i udostępnianie danych osobowych w ramach grupy jest jednak czasochłonny ze względu na konieczność zatwierdzenia reguł korporacyjnych przez Generalnego Inspektora Ochrony Danych Osobowych. Rozwiązanie takie jest korzystne dla międzynarodowych spółek stale ze sobą współpracujących, dla których każdorazowe zawieranie umów powierzenia przetwarzania danych stanowi problem ze względów organizacyjnych i logistycznych.

Problematyka przekazywania danych osobowych do podmiotów mających siedzibę w państwach niezapewniających odpowiedniej ochrony tych danych jest skomplikowana i cały czas dynamicznie ewoluuje. Pamiętać należy, że niezapewnianie przez administratora danych osobowych odpowiedniej ochrony może wiązać się z wszczęciem postępowania karnego przeciwko takiemu podmiotowi. Nadmienić również należy, że trwają prace nad nowym rozporządzeniem unijnym, które będzie przyznawać państwowemu organowi ochrony danych osobowych (w Polsce – GIODO) kompetencję do nakładania kar finansowych na podmioty łamiące zasady ochrony danych osobowych. Każdy przedsiębiorca działający w szeroko pojętej branży nowych technologii powinien być świadomy nadchodzących zmian, tym bardziej, że wspomniane kary mają być dotkliwe. Potwierdza to przypuszczenia wielu specjalistów z tej dziedziny, którzy od dawna zwracali uwagę, że zmiany w ustawodawstwie unijnym będą zmierzały w kierunku jak najszerszej ochrony danych osobowych obywateli. Czy takie tendencje prawodawcze przyniosą pożądane skutki w dziedzinie ochrony podstawowych praw jednostki, a jednocześnie nie będą paraliżować działalności przedsiębiorców działających w sieci i zapewnią im swobodę prowadzenia działalności gospodarczej? Pewne jest jedynie, że efektywna ochrona tych dwóch wartości będzie niezwykle trudna do zrealizowania w praktyce. Pewne jest również, że każdy przedsiębiorca powinien zadbać o zgodność działań swojej firmy z zasadami wyznaczonymi przez ciągle zmieniające się regulacje prawne.