Anna Specht-Schampera, Wrocław (Siedziba główna)

Austria Belgium Bulgaria China Czech Republic France Germany Hungary Italy Polska Romania Slovakia Spain Turkey

SCHINDHELM WORLDWIDE

News Aktualności Schindhelm Whistleblowing Solution Webinaria Podcasty Rankingi i Nagrody Publikacje Schindhelm 365 Webcast Informacje dla obywateli Ukrainy

Nowe unijne prawo ochrony danych osobowych: transfer danych osobowych do państw trzecich

Międzynarodowe transakcje gospodarcze często wiążą się z przesyłaniem danych osobowych poza granice kraju. Taka sytuacja może mieć przykładowo miejsce, jeśli dane osobowe są przechowywane na serwerze w kraju trzecim (państwie poza EOG) lub dostawca usług IT z państwa trzeciego ma dostęp do danych przetwarzanych przez przedsiębiorcę w UE. W przypadku przesyłania danych osobowych do kraju trzeciego znajdą zastosowanie szczególne regulacje RODO.

Decyzja stwierdzająca odpowiedni stopień ochrony

Komisja Europejska może w decyzji stwierdzającej odpowiedni stopień ochrony zdecydować, czy w danym państwie, do którego przekazywane są dane, zagwarantowany jest odpowiedni stopień ochrony. Dotąd Komisja zdecydowała, że w następujące kraje zapewniają niezbędny poziom ochrony: Andora, Argentyna, Wyspy Owcze, Guernsey, Jersey, Kanada, Izrael, Wyspa Man, Szwajcaria, Nowa Zelandia i Urugwaj. Przekazywanie danych do tych krajów traktowane jest jak dokonane w ramach Unii Europejskiej.

Podobna decyzja istnieje w sprawie Tarczy Prywatności między UE a USA („EU-US Privacy Shield”). Jeśli amerykańska firma uzyska certyfikację w ramach Tarczy Prywatności, transmisja danych do tej firmy jest na ogół wyłączona z obowiązku uzyskania zezwolenia organu nadzorczego.

Inne odpowiednie gwarancje

W przypadku braku decyzji w sprawie odpowiedniego stopnia ochrony przekazywanie danych do państwa trzeciego może nastąpić bez zezwolenia, pod warunkiem, że osobom, których dane dotyczą, przysługują odpowiednie gwarancje oraz egzekwowalne prawa i skuteczne środki odwoławcze. W przeciwnym razie zwykle wymagana jest specjalna zgoda organu nadzorczego. Za odpowiednie gwarancje uznawane są przede wszystkim poniższe zabezpieczenia:

Wiążące wewnętrzne przepisy dotyczące ochrony danych

Wiążące reguły korporacyjne (Binding Corporate Rules, „BCR”) to zasady stosowane w jednym lub kilku państwach trzecich przez podmioty należące do grupy przedsiębiorstw. BCR muszą być prawnie wiążące oraz mieć zastosowanie do każdego z członków grupy przedsiębiorstw, zatwierdzone przez właściwy organ nadzorczy, a także spełniać minimalne wymogi prawne dotyczące ochrony danych.

Standardowe klauzule ochrony danych

Dane mogą zostać przekazane państwu trzeciemu również na podstawie standardowych klauzul umownych, które zostały (i) przyjęte przez Komisję lub (ii) przyjęte przez organ nadzorczy i zatwierdzone przez Komisję. Komisja wydała takie standardowe klauzule dotyczące transferów między administratorami lub administratorem a podmiotem przetwarzającym już w 2001 r., 2004 r. i 2010 r., ale nie spełniają one całkowicie nowych wymogów RODO.

Zatwierdzony kodeks postępowania

Stowarzyszenia i inne instytucje mogą wydawać kodeksy postępowania dla reprezentowanych przez nie przedsiębiorstw. Mogą one służyć jako podstawa do przesyłania danych, jeżeli zostaną zatwierdzone przez organ nadzorczy.

Zatwierdzony mechanizm certyfikacji

RODO promuje projektowanie mechanizmów certyfikacji ochrony danych wraz z ustanowieniem komitetów akredytowanych do przeprowadzania audytu i certyfikacji zgodności z RODO.

Odstępstwa

W przypadku braku decyzji w sprawie odpowiedniego stopnia ochrony lub braku odpowiednich zabezpieczeń dane mogą zostać także wtedy przekazane, gdy (i) osoba, której dane dotyczą, została poinformowana o ewentualnym ryzyku związanym z proponowanymi przekazami danych i wyraziła na to wyraźną zgodę. Ponadto, przekazanie danych może nastąpić bez zezwolenia między innymi, jeżeli: (ii) przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej z osobą, której dane dotyczą, lub w interesie tej osoby, lub (iii) w celu ochrony istotnych interesów osoby, której dane dotyczą bądź (iv) do uzasadnienia, dochodzenia lub obrony przed roszczeniami.

Jeśli mają Państwo wątpliwości, czy powołać IOD w przedsiębiorstwie zachęcamy do kontaktu ze specjalistami z Kancelarii SDZLEGAL SCHINDHELM: mec. Tomaszem Szarkiem, mec. Aleksandrą Baranowską-Górecką oraz mec. Anną Materlą.

Więcej o Inspektorze Ochrony Danych

Więcej o zasadach przetwarzania danych osobowych

Więcej o audycie zgodności z RODO

Więcej o sankcjach i odpowiedzialności

NADCHODZĄCE WYDARZENIA

Forum regionalnej gospodarki komunalnej

Anna Specht-Schampera
23.04.2024 10:00, Bolesławiec

II edycja Forum Magazynowania Energii PSME na Targach Greenpower 2024

Kinga Słomka
23.04.2024 11:30, Poznań

Law Tax Zespół Kariera O nas International News Wydarzenia Kontakt

Mówimy w Twoim języku.
Wszędzie.

Kancelaria Prawna Schampera, Dubis, Zając i Wspólnicy sp. j.

Gliwice (Oddział) - gliwice@sdzlegal.pl
ul. Zygmunta Starego 11 A - 44-100 Gliwice - T +48 71 3265140
Warszawa (Oddział) - warszawa@sdzlegal.pl
al. Jana Pawła II 22, Biurowiec Q 22 - 00-133 Warszawa - T +48 71 3265140
Wrocław (Siedziba główna) - wroclaw@sdzlegal.pl
ul. Kazimierza Wielkiego 3 - 50-077 Wrocław - T +48 71 3265140

2024 (c) Kancelaria Prawna Schampera, Dubis, Zając i Wspólnicy sp. j.