Slajd nr 1 Slajd nr 1
Tło strzałki Strzałka
Header na wersje mobilna
Header na wersje tabletową Header na wersje laptopową
przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Prawny
  3. Ochrona danych
  4. Transfer danych osobowych do państw trzecich a RODO

Transfer danych osobowych do państw trzecich a RODO

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) z dnia 27 kwietnia 2016 r. (Dz. Urz. UE. L Nr 119, str. 1) przewiduje dodatkowe ograniczenia i obowiązki administratorów, jeżeli dane osobowe przez nich przetwarzane są transferowane do państw trzecich lub organizacji międzynarodowych. Wbrew pozorom transfer danych osobowych jest dokonywany przez wielu przedsiębiorców, chociażby wtedy, gdy umieszczają dane osobowe na dysku w chmurze lub korzystają z kont e-mail, których serwery znajdują się w państwie trzecim. Przedsiębiorco, sprawdź, o czym powinieneś pamiętać, przekazując dane osobowe poza obszar EOG!

Ogólne zasady legalnego przekazywania danych osobowych

Transfer danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego lub organizacji międzynarodowej, następuje gdy administrator i podmiot przetwarzający spełnią określone przez RODO warunki, w tym warunki dalszego przekazania danych z państwa trzeciego lub przez organizację międzynarodową do innego państwa trzeciego lub innej organizacji międzynarodowej.

Zgodnie z RODO legalne przekazanie danych osobowych może nastąpić  w jednym z trzech trybów:

  • przekazywanie na podstawie decyzji stwierdzającej odpowiedni stopień ochrony (art. 45 RODO),

  • przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń (art. 46–47 RODO),

  • przekazywanie na zasadzie wyjątku w szczególnych sytuacjach (art. 49 RODO).

Transfer danych osobowych na podstawie decyzji

Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja Europejska stwierdzi, że to państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Takie przekazanie nie wymaga specjalnego zezwolenia.

Oceniając, czy stopień ochrony jest odpowiedni, Komisja Europejska uwzględnia w szczególności takie elementy jak praworządność, poszanowanie praw człowieka i podstawowych wolności, odpowiednie ustawodawstwo i jego wdrażanie, zasady ochrony danych osobowych, zasady dotyczące wykonywania zawodu, środki bezpieczeństwa, w tym zasady dalszego przekazywania danych osobowych do kolejnego państwa trzeciego lub innej organizacji międzynarodowej, istnienie skutecznych i egzekwowalnych praw osób, których dane dotyczą, skutecznych administracyjnych i sądowych środków zaskarżenia oraz istnienie i skuteczne działanie co najmniej jednego niezależnego organu nadzorczego.

Ważne!
Podstawową przesłanką legalizującą transfer danych jest decyzja Komisji Europejskiej o zapewnieniu odpowiedniego poziomu ochrony danych osobowych na danym obszarze.

W następstwie takiej oceny Komisja Europejska wydaje decyzję odnoszącą się do konkretnego kraju (obszaru). Uprawnia ona do transferu danych osobowych na dany obszar bez konieczności spełniania dodatkowych warunków. Należy jednak pamiętać, że spełnianie wymogów przez dany kraj jest monitorowane, co może pociągać za sobą uchylenie, zmianę lub zawieszenie stosowania decyzji.

Taka sytuacja miała miejsce w przypadku USA na gruncie zasad ochrony danych Safe Harbour. Po wyroku Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z 5 października 2015 r. w sprawie Schrems (C-362/14) zasady te przestały być skuteczną podstawą dla przekazywania danych osobowych. Obecnie transfer danych osobowych do USA jest możliwy na podstawie EU-US Privacy Shield.

Na lipiec 2018 r. decyzja o zapewnieniu odpowiedniego poziomu ochrony danych osobowych została wydana wobec Andory, Argentyny, Australii, Wyspy Guernsey, Izraela, Jersey, Kanady, Nowej Zelandii, USA, Szwajcarii, Wyspy Man oraz Wysp Owczych.

Przekazywanie danych osobowych z zastrzeżeniem zabezpieczeń

W razie braku decyzji Komisji Europejskiej administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią odpowiednie zabezpieczenia i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą oraz skuteczne środki ochrony prawnej.

Zgodnie z RODO odpowiednie zabezpieczenia można zapewnić za pomocą:

  • prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi,

  • wiążących reguł korporacyjnych (art. 47 RODO),

  • standardowych klauzul ochrony danych przyjętych przez Komisję Europejską,

  • standardowych klauzul ochrony danych przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję Europejską,

  • zatwierdzonego kodeksu postępowania wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą,

  • zatwierdzonego mechanizmu certyfikacji wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.

Ewentualnie, za zezwoleniem organu nadzorczego, odpowiedni poziom ochrony może zostać zapewniony poprzez zastosowanie klauzul umownych między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej. W tym wypadku zatem konieczne jest uzyskanie zgody na transfer danych osobowych.

Przekazywanie danych osobowych na zasadzie wyjątku w szczególnych sytuacjach

W razie braku decyzji Komisji Europejskiej lub braku odpowiednich zabezpieczeń, o których mowa wyżej, w tym wiążących reguł korporacyjnych (a zatem w sytuacji, gdy dwa poprzednie tryby nie znajdują zastosowania), jednorazowy lub wielokrotny transfer danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić wyłącznie pod warunkiem, że:

  • osoba, której dane dotyczą, wyraźnie wyraziła na nie zgodę oraz została poinformowana o ewentualnym ryzyku, z którym może się dla niej wiązać proponowane przekazanie;

  • przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą;

  • przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, której dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;

  • przekazanie jest niezbędne z uwagi na ważne względy interesu publicznego;

  • przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;

  • przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;

  • przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego.

Jeżeli żadne z powyższych wyjątków nie znajduje zastosowania, przekazanie do państwa trzeciego lub organizacji międzynarodowej może nastąpić wyłącznie, gdy:

  • przekazanie nie jest powtarzalne;

  • dotyczy tylko ograniczonej liczby osób, których dane dotyczą;

  • jest niezbędne ze względu na ważne prawnie uzasadnione interesy realizowane przez administratora, wobec których charakteru nadrzędnego nie mają interesy ani prawa i wolności osoby, której dane dotyczą;

  • administrator ocenił wszystkie okoliczności przekazania danych i na podstawie tej oceny zapewnił odpowiednie zabezpieczenia w zakresie ochrony danych osobowych.

Administrator ma w takim wypadku obowiązek poinformować organ nadzorczy o przekazaniu. Powinien również dodatkowo (prócz standardowego obowiązku informacyjnego) poinformować osobę, której dane dotyczą, o przekazaniu i o ważnych prawnie uzasadnionych interesach realizowanych przez niego.

Polecamy:

Korekta rocznej składki zdrowotnej - najważniejsze informacje

Cyberbezpieczeństwo - czy RODO w pełni zabezpiecza...
Kontrola poczty e-mail pracownika w świetle przepi...
Podobne
Kwiecień 2024
24
Środa
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT 7K
  • VAT UE (elektroniczna)
  • PIT 28
  • PIT 36
  • PIT 36L
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Zaświadczenie o niekaralności - jak je uzyskać i ile kosztuje?
  2. Monitoring pracowników - jakie formalności, żeby zamontować kamery w firmie?
  3. Wymeldowanie z pobytu stałego - jak wymeldować siebie lub inną osobę?
  4. Profil zaufany a podpis elektroniczny. Czym się różnią?
  5. 7 zasad, które warto znać, jak zaliczyć wpłatę otrzymaną od kontrahenta
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Ochrona danych

Akt o Usługach Cyfrowych jako pomoc w ochronie danych w sieci

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

semKRK#22 BIG - marketing internetowy
Ochrona danych osobowych 2018-2024 - wyzwania w cyfrowej rzeczywistości
XVIII Kongres ICV POLSKA (Controlling Intelligence Adventure 2024)
Open Source Day już 18 kwietnia w Warszawie!
Świat nieruchomości na wysokich obcasach: Jubileuszowe Forum Inwestorek 2024 Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów