Przekazywanie danych osobowych do państwa trzeciego na podstawie art. 45 RODO

Zgodnie z art.45 RODO przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja stwierdzi, że to państwo trzecie, terytorium, określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Takie przekazanie nie wymaga specjalnego zezwolenia.

W celu sprawdzenia czy transfer poza EOG jest legalny, należy sprawdzić na stronie internetowej Komisji Europejskiej i w Dzienniku Urzędowym Unii Europejskiej wykaz państw trzecich, terytoriów i określonych sektorów w państwie trzecim oraz organizacji międzynarodowych, co do których Komisja przyjęła decyzję stwierdzającą odpowiedni stopień ochrony.

Do transferu danych poza EOG może dochodzić kiedy mieszkańcy EOG kupują np. towary w Internecie lub korzystają z mediów społecznościowych (np. Facebook), podczas gdy sprzedawca lub usługodawca jest zlokalizowany np. w Stanach Zjednoczonych. Do transferu może dochodzić także gdy  dane pracowników firmy mającej siedzibę w UE, przesyłane są poza EOG (np. do spółki matki), gdzie  weryfikowana jest poprawność rozliczeń pracowniczych. W takich przypadkach spółki z grup kapitałowych lub usługodawcy świadczący usługę na terenie EOG starają się o wpis na wspomnianą listę tworzoną przez Komisję.

Komisja Europejska w dniu 12 lipca 2016 roku przyjęła decyzję w sprawie odpowiedniej ochrony danych osobowych (Program Tarcza Prywatności UE-USA „Privacy Shield”). Zgodnie z wytycznymi dotyczącymi Tarczy Poufności UE-USA, Tarcza prywatności UE-USA zezwala na przekazywanie danych osobowych z UE przedsiębiorstwu z USA pod warunkiem, że będzie ono przetwarzało te dane zgodnie z przepisami i gwarancjami ochrony danych. Natomiast obowiązki mające zastosowanie wobec firm stosujących zasady powyższego programu są określone w „Zasadach ochrony prywatności”  (ang. Privacy Principles).

Żeby dowiedzieć się, czy konkretna spółka zlokalizowana w USA uczestniczy w programie Tarczy Prywatności, można sprawdzić wykaz podmiotów na stronie internetowej https://www.privacyshield.gov/welcome. W wykazie są zawarte informacje na temat wszystkich firm uczestniczących w programie Tarczy Prywatności, a także rodzajów danych osobowych z jakich firmy korzystają i charakteru ich usług.

Komisja, w związku ze stałym monitorowaniem stosowanych przez przedsiębiorstwa z listy zasad przetwarzania danych, może usunąć z zatwierdzonej listy firmy, które uchybiają „Zasadom Ochrony Prywatności” i przetwarzają dane w sposób niespełniający wymogów.  W związku z tym, pod wskazanym wyżej adresem prowadzony jest także wykaz firm, które przestały uczestniczyć w programie Tarczy Prywatności.

Autor

Alina Lewandowska

Swoje doświadczenie zawodowe w zakresie doradztwa prawnego zdobywała w kancelariach prawnych oraz podmiotach sektora prywatnego. Zajmowała się zagadnieniami związanymi z bezpieczeństwem danych osobowych. Doradzała w procesach dostosowania organizacji do wymogów RODO oraz opiniowania regulaminów i umów w zakresie ochrony danych osobowych.