RODO a przekazywanie danych do państw spoza UE oraz organizacji międzynarodowych

14-09-2018, 22:34

Wraz z rozpoczęciem obowiązywania RODO wśród wielu przedsiębiorców – prowadzących działalność wykraczającą poza granice Unii Europejskiej – zrodziło się pytanie, co z danymi przekazywanymi z obszaru Wspólnoty do państw trzecich oraz organizacji międzynarodowych. W jakich przypadkach potrzebujemy zgody na ich przekazywanie i na co warto zwrócić uwagę?

Postępująca globalizacja gospodarki światowej oznacza m.in. konieczność przekazywania danych osobowych do innych państw. Fakt ten nie został pominięty również przez przepisy RODO, które regulują zasady przekazywania danych osobowych do państwa trzecich, jako jednej z form przetwarzania danych. Przez Państwa trzecie powinniśmy rozumieć kraje spoza Europejskiego Obszaru Gospodarczego.

Jedna z przesłanek zapewniających, iż przekazanie danych do państw trzecich jest dozwolone, została określona w art. 45 ust. 1 i ust 3 RODO. Zgodnie z przywołanym przepisem staje się to możliwe i zgodne z prawem w momencie, gdy Komisja Europejska w wydanej przez siebie decyzji stwierdzi, że konkretne państwo trzecie lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony.

Według adw. Łukasza Pociechy, na ocenę Komisji Europejskiej dotyczącą tego, czy dane państwo bądź organizacja międzynarodowa zapewniają należyty stopień ochrony danych wpływa wiele aspektów. Analizowane są takie kwestie jak m.in.: poszanowanie praw człowieka i podstawowych wolności, istnienie niezależnego organu nadzorczego mającego obowiązek zapewniać i egzekwować przestrzeganie przepisów o ochronie danych oraz międzynarodowe zobowiązania zaciągnięte przez dane państwo trzecie lub daną organizację międzynarodową w dziedzinie ochrony danych osobowych.

 

Czytaj także: RODO puka do drzwi. Akredytowany kurs inspektora ochrony danych (IOD). Recenzja oraz sprawdź zapisy na najbliższe akredytowane kursy IOD >>

 

Wykaz miejsc, co do których Komisja Europejska przyjęła decyzję stwierdzającą odpowiedni stopień ochrony lub jego brak opublikowany jest w Dzienniku Urzędowym Unii Europejskiej oraz na stronie internetowej Komisji Europejskiej. Co najistotniejsze, wydanie tego typu decyzji skutkuje możliwością przekazywania danych osobowych do państw w niej wskazanych bez specjalnego zezwolenia.

W przypadku nieuznania państwa trzeciego jako zapewniającego odpowiedni stopień ochrony, przekazanie danych możliwe jest wyłącznie wtedy, gdy administrator lub podmiot przetwarzający informacje na zlecenie administratora, zapewni osobie, której dane dotyczą ich odpowiednie zabezpieczenie. Środki mające zapewnić odpowiedni poziom bezpieczeństwa wskazane są w art. 46 ust. 2 RODO oraz w art. 46 ust. 3 RODO. Pierwszy z przywołanych przepisów zawiera katalog odpowiednich środków, które podmiot przekazujący dane może stosować bez zezwolenia odpowiedniego organu nadzorczego. Są to m. in. prawnie wiążące i egzekwowalne instrumenty między organami lub podmiotami publicznymi, standardowe klauzule ochrony danych przyjęte przez Komisję Europejską, zatwierdzony kodeks postępowania zgodnie z art. 40 RODO oraz zatwierdzony mechanizm certyfikacji zgodnie z art. 42 RODO.

Jak podkreśla Pociecha, odpowiednie zabezpieczenie danych w zw. z ich przekazaniem do państwa trzeciego może również nastąpić m.in. poprzez zastosowanie klauzul umownych między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej. W takiej sytuacji stosowanie do art. 46 ust. 3 RODO wymagane jest jednak uzyskanie zgody organu nadzorczego na przekazanie danych do państwa trzeciego.

Należy również zwrócić uwagę, że przepisy RODO przewidują dodatkowe przesłanki zezwalające na przekazanie danych do państw trzecich w przypadku braku odpowiedniej decyzji Komisji Europejskiej lub niemożliwości spełnienia zabezpieczeń wskazanych w art. 46 RODO. Katalog dodatkowych przesłanek został określony w art. 49 RODO.

Ekspert wskazuje, że przesłanką legalizującą transfer informacji do państw trzecich może być również wyraźna zgoda samej osoby, której dane dotyczą. Aby jednak było to możliwe, osoba ta, musi wcześniej zostać poinformowana o ewentualnym ryzyku związanym z przekazaniem danych do danego państwa trzeciego, które to może wynikać chociażby z braku odpowiedniej decyzji Komisji Europejskiej stwierdzającej dopuszczalny stopień ochrony danych. Ponadto do przekazania danych osobowych do państwa trzeciego może również dojść w sytuacji gdy jest to konieczne dla wykonania umowy pomiędzy administratorem a osobą, której dane dotyczą.

Przedsiębiorcy prowadzący działalność na arenie międzynarodowej zobligowani są do sprawdzenia i upewnienia się, czy mogą legalnie przekazywać dane osobowe poza obszar UE. W sytuacji, kiedy działanie to nie jest uregulowane odpowiednią podstawą prawną narażeni są oni na wysokie kary pieniężne, wynoszące nawet 20 mln euro, a w przypadku przedsiębiorstwa w wysokości do 4 proc. xjego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Źródło: ODO 24 sp. z o. o.


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie

RSS  
RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Listopad 2018»
PoWtŚrCzwPtSbNd
 1234
567891011
12131415161718
19202122232425
2627282930 
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2018 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.