Przekazywanie danych do państw trzecich

W świetle przepisów ogólnego rozporządzenia unijnego (GDPR) przekazanie danych osobowych poza Europejski Obszar Gospodarczy do tzw. państw trzecich jest możliwe pod pewnymi jednak warunkami. Zgodnie z ogólną definicją zamieszczoną w art. 44 rozporządzenia:

Przekazanie danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego lub organizacji międzynarodowej, następuje tylko, gdy – z zastrzeżeniem innych przepisów niniejszego rozporządzenia – administrator i podmiot przetwarzający spełnią warunki określone w niniejszym rozdziale, w tym warunki dalszego przekazania danych z państwa trzeciego lub przez organizację międzynarodową do innego państwa trzeciego lub innej organizacji międzynarodowej. Wszystkie przepisy niniejszego rozdziału należy stosować z myślą o zapewnieniu, by nie został naruszony stopień ochrony osób fizycznych zagwarantowany w niniejszym rozporządzeniu.

Dla  korporacji czy międzynarodowych instytucji kwestia ta nadal będzie stanowiła pewne wyzwanie i ograniczenia. Zgodnie z GDPR przekazanie danych do państwa trzeciego może nastąpić na podstawie:

  • Decyzji – gdy Komisja stwierdzi, że państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Takie przekazanie nie wymaga specjalnego zezwolenia (art. 45).
  • Gwarancji – w przypadku braku decyzji na mocy art. 45 ust. 3 administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej (art. 46).
  • Wiążących reguł korporacyjnych – zatwierdza je właściwy organ nadzorczy (art. 47).
  • Współpracy międzynarodowej.

W przypadku, kiedy brak jest decyzji stwierdzającej odpowiedni poziom ochrony, brak odpowiednich zabezpieczeń lub wiążących reguł korporacyjnych, przekazanie danych poza EOG może nastąpić pod następującymi warunkami wskazanymi w art. 49 rozporządzenia:

  • osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którym może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę;
  • przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą;
  • przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej
    w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;
  • przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;
  • przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;
  • przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; lub
  • przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego.
Joanna Peryt

Autor

Joanna Peryt

Z uwagi na posiadaną wiedzę specjalizuje się w zagadnieniach związanych z ochroną danych pracowników. Jako konsultant zrealizowała wiele audytów bezpieczeństwa danych osobowych oraz projektów wdrożeniowych. Obecnie pełni rolę Administratora Bezpieczeństwa Informacji dla klientów Audytel S.A., w tym w międzynarodowych korporacjach, m.in. z branży farmaceutycznej.

więcej informacji w zakładce O Nas >>