Przesyłanie danych do państw trzecich nadal możliwe (?)

19 sierpnia 2018 |

Wszystkie osoby, które zadają sobie pytanie, czy przesyłanie danych osobowych do państw trzecich jest możliwe, mogą odetchnąć ulgą. RODO, podobnie jak wcześniejsza regulacja, przewiduje  bowiem taką możliwość. Po chwili ulgi, przychodzi jednakże chwila trudności – aby transfer danych do podmiotów mających siedziby w państwach położonych poza Europejskim Obszarem Gospodarczym był zgodny z prawem, konieczne jest spełnienie specjalnych przesłanek przewidzianych RODO. W dzisiejszym artykule uchylamy rąbka tajemnicy w tym zakresie 🙂

 

 

Co jest uzasadnieniem szczególnych wymogów?

 

Przekazywanie danych do państw trzecich, tj. państw położonych poza Europejskich Obszarem Gospodarczym jest obostrzone przepisami RODO, albowiem nie posiadają one najczęściej przepisów na takim samym poziomie ochrony jak przepisy unijne.

 

Kiedy transfer jest możliwy?

 

Zgodnie z art. 45 ust. 1-3  RODO, przekazanie danych osobowych do państwa trzeciego będzie możliwe wówczas, gdy Komisja Europejska w wydanej przez siebie decyzji w tym zakresie stwierdzi że spełnia ono odpowiedni stopień ochrony.  Zgodnie z art. 45 ust. 8 Rozporządzenia, Komisja będzie publikować w Dzienniku Urzędowym UE i na swojej stronie internetowej wykaz państw trzecich w stosunku do których wydała decyzję o spełnieniu odpowiedniego stopnia ochrony lub jego brak. 

 

Co gdy nie ma decyzji Komisji Europejskiej?

 

W przypadku braku decyzji Komisji Europejskiej, przekazanie danych będzie możliwe jeżeli zostanie ono dokonane z zastrzeżeniem odpowiednich zabezpieczeń wskazanych w art. 46 Rozporządzenia Zgodnie z treścią ust. 1 tego artykułu: „W razie braku decyzji na mocy art. 45 ust. 3 administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej.”  Jak z kolei wynika z dalszych przepisów RODO, odpowiednie zabezpieczenia można zapewnić za pomocą:

  • prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi,

  • wiążących reguł korporacyjnych przyjętych zgodnie z art. 47 RODO,

  • standardowych klauzul ochrony danych przyjętych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2 RODO,

  • standardowych klauzul ochrony danych przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2 RODO,

  • zatwierdzonego kodeksu postępowania zgodnie z art. 40 RODO wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą,

  • zatwierdzonego mechanizmu certyfikacji zgodnie z art. 42 RODO wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą,

  • klauzul umownych z odbiorcą danych w państwie trzecim, które dla swojej ważności wymagają zatwierdzenia organu nadzoru – Prezesa Urzędu Ochrony Danych,

  • uzgodnień administracyjnych między organami lub podmiotami trzecimi mocą których będą przewidziane i egzekwowalne prawa osób fizycznych i które dla swojej ważności wymagają zatwierdzenia organu nadzoru – Prezesa Urzędu Ochrony Danych.

 

W sytuacji braku odpowiednich zabezpieczeń z art. 46 Rozporządzenia, przekazanie danych do państwa trzeciego będzie możliwe pod warunkiem, że zachodzi jedna z poniższych sytuacji:

  • osoba, której dane dotyczą wyraziła wyraźną zgodę na przekazanie danych, a przed jej udzieleniem została poinformowana o ewentualnym ryzyku, z którymi – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie;

  • przekazanie danych jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą,

  • przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną,

  • przekazanie jest niezbędne ze względu na ważne względy interesu publicznego,

  • przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń,

  • przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody,

  • przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego.

 

Jeżeli nie będzie możliwe spełnienie jakichkolwiek powyższych warunków, przekazanie do państwa trzeciego będzie mogło mieć miejsce wyłącznie, jeżeli będzie ono spełniało łącznie następujące kryteria:

  • nie będzie powtarzalne,

  • będzie dotyczyło ograniczonej liczby osób,

  • będzie niezbędne ze względu na ważne prawnie uzasadnione interesy realizowane przez administratora wobec których to interesów charakteru nadrzędnego nie mają interesy prawa osób których dane dotyczą,

  • administrator ocenił wszystkie okoliczności przekazania danych i na podstawie tej oceny zastosował odpowiednie zabezpieczenia danych,

  • wyżej wskazana ocena oraz zastosowane zabezpieczenia powinny być udokumentowane w prowadzonym rejestrze czynności przetwarzania,

  • administrator poinformował o przekazaniu organ nadzorczy (Prezesa Urzędu Ochrony Danych Osobowych),

  • poza informacjami wskazanymi w art. 13 i 14 Rozporządzenia (zawierających treść obowiązku informacyjnego), administrator podaje osobie fizycznej, której dane przekazuje do państwa trzeciego, fakt ich przekazania i ważnie prawnie interesy, które administrator może zrealizować przekazując dane do państwa trzeciego.

 

Co z dotychczas wydanymi decyzjami?

 

Wcześniejsze przepisy z zakresu ochrony danych osobowych uchylone Rozporządzeniem (tj. przepisy Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, Dziennik Urzędowy Unii Europejskiej L 281 z dnia 23 listopada 1995 r.) przewidywały możliwość wydania decyzji przez Komisję Europejską oraz krajowe organy nadzorcze, pozwalających na przekazywanie danych do państw trzecich. Zgodnie z motywem 171 Rozporządzenia oraz art. 46 ust. 5 RODO, pozostają one w mocy do czasu ich zmiany, zastąpienia lub uchylenia. W chwili obecnej wydane przez Komisję oraz GIODO decyzje nie zostały uchylone, zmienione ani zastąpione. Istnieje zatem możliwość przesyłania danych do podmiotów mających siedziby w państwach trzecich w stosunku do których Komisja oraz GIODO wydały stosowne decyzje. Lista państw trzecich, w stosunku do których na podstawie wcześniejszej regulacji zostały wydane przez Komisję Europejską decyzje stwierdzające spełnienie odpowiedniego poziomu ochrony jest dostępna na archiwalnej stronie GIODO pod adresem: https://giodo.gov.pl/163/id_art/1519/j/pl. Są to: Szwajcaria, Kanada, Argentyna, Wyspy Guernsey, Wyspy Man, Wyspy Owcze, Izrael, Nowa Zelandia oraz Stany Zjednoczone. Jeżeli chodzi o decyzje GIODO, to należy wskazać iż były one wydawane w indywidualnych sprawach, dotyczą one zatem adresatów rozstrzygnięcia organu.

 

 

Jak widać, przekazanie danych do państwa trzeciego jest bardzo obostrzone, a przed każdorazowym transferem danych należy rozważyć, czy są spełnione podstawy legalizujące takie działanie.

 

 

 

Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa  oraz ma charakter wyłącznie  informacyjny. Stanowi  wyraz poglądów jego  autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.

 


Skontaktuj się z doradcą

Porozmawiajmy

Ta strona wykorzystuje pliki cookies. Poprzez kliknięcie przycisku „Akceptuj", bądź „X", wyrażasz zgodę na wykorzystywanie przez nas plików cookies. Więcej o możliwościach zmiany ich ustawień, w tym ich wyłączenia, przeczytasz w naszej Polityce prywatności.
AKCEPTUJ