Nowe unijne prawo ochrony danych osobowych: transfer danych osobowych do państw trzecich

Międzynarodowe transakcje gospodarcze często wiążą się z przesyłaniem danych osobowych poza granice kraju. Taka sytuacja może mieć przykładowo miejsce, jeśli dane osobowe są przechowywane na serwerze w kraju trzecim (państwie poza EOG) lub dostawca usług IT z państwa trzeciego ma dostęp do danych przetwarzanych przez przedsiębiorcę w UE. W przypadku przesyłania danych osobowych do kraju trzeciego znajdą zastosowanie szczególne regulacje RODO.

Decyzja stwierdzająca odpowiedni stopień ochrony

Komisja Europejska może w decyzji stwierdzającej odpowiedni stopień ochrony zdecydować, czy w danym państwie, do którego przekazywane są dane, zagwarantowany jest odpowiedni stopień ochrony. Dotąd Komisja zdecydowała, że w następujące kraje zapewniają niezbędny poziom ochrony: Andora, Argentyna, Wyspy Owcze, Guernsey, Jersey, Kanada, Izrael, Wyspa Man, Szwajcaria, Nowa Zelandia i Urugwaj. Przekazywanie danych do tych krajów traktowane jest jak dokonane w ramach Unii Europejskiej.

Podobna decyzja istnieje w sprawie Tarczy Prywatności między UE a USA („EU-US Privacy Shield”). Jeśli amerykańska firma uzyska certyfikację w ramach Tarczy Prywatności, transmisja danych do tej firmy jest na ogół wyłączona z obowiązku uzyskania zezwolenia organu nadzorczego.

Inne odpowiednie gwarancje

W przypadku braku decyzji w sprawie odpowiedniego stopnia ochrony przekazywanie danych do państwa trzeciego może nastąpić bez zezwolenia, pod warunkiem, że osobom, których dane dotyczą, przysługują odpowiednie gwarancje oraz egzekwowalne prawa i skuteczne środki odwoławcze. W przeciwnym razie zwykle wymagana jest specjalna zgoda organu nadzorczego. Za odpowiednie gwarancje uznawane są przede wszystkim poniższe zabezpieczenia:

  • Wiążące wewnętrzne przepisy dotyczące ochrony danych

Wiążące reguły korporacyjne (Binding Corporate Rules, „BCR”) to zasady stosowane w jednym lub kilku państwach trzecich przez podmioty należące do grupy przedsiębiorstw. BCR muszą być prawnie wiążące oraz mieć zastosowanie do każdego z członków grupy przedsiębiorstw, zatwierdzone przez właściwy organ nadzorczy, a także spełniać minimalne wymogi prawne dotyczące ochrony danych.

  • Standardowe klauzule ochrony danych

Dane mogą zostać przekazane państwu trzeciemu również na podstawie standardowych klauzul umownych, które zostały (i) przyjęte przez Komisję lub (ii) przyjęte przez organ nadzorczy i zatwierdzone przez Komisję. Komisja wydała takie standardowe klauzule dotyczące transferów między administratorami lub administratorem a podmiotem przetwarzającym już w 2001 r., 2004 r. i 2010 r., ale nie spełniają one całkowicie nowych wymogów RODO.

  • Zatwierdzony kodeks postępowania

Stowarzyszenia i inne instytucje mogą wydawać kodeksy postępowania dla reprezentowanych przez nie przedsiębiorstw. Mogą one służyć jako podstawa do przesyłania danych, jeżeli zostaną zatwierdzone przez organ nadzorczy.

  • Zatwierdzony mechanizm certyfikacji

RODO promuje projektowanie mechanizmów certyfikacji ochrony danych wraz z ustanowieniem komitetów akredytowanych do przeprowadzania audytu i certyfikacji zgodności z RODO.

Odstępstwa

W przypadku braku decyzji w sprawie odpowiedniego stopnia ochrony lub braku odpowiednich zabezpieczeń dane mogą zostać także wtedy przekazane, gdy (i) osoba, której dane dotyczą, została poinformowana o ewentualnym ryzyku związanym z proponowanymi przekazami danych i wyraziła na to wyraźną zgodę. Ponadto, przekazanie danych może nastąpić bez zezwolenia między innymi, jeżeli: (ii) przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej z osobą, której dane dotyczą, lub w interesie tej osoby, lub (iii) w celu ochrony istotnych interesów osoby, której dane dotyczą bądź (iv) do uzasadnienia, dochodzenia lub obrony przed roszczeniami.

Jeśli mają Państwo wątpliwości, czy powołać IOD w przedsiębiorstwie zachęcamy do kontaktu ze specjalistami z Kancelarii SDZLEGAL SCHINDHELM: mec. Tomaszem Szarkiem, mec. Aleksandrą Baranowską-Górecką oraz mec. Anną Materlą.

Więcej o Inspektorze Ochrony Danych

Więcej o zasadach przetwarzania danych osobowych

Więcej o audycie zgodności z RODO

Więcej o sankcjach i odpowiedzialności