Rozdział 5 - PRZEKAZYWANIE DANYCH OSOBOWYCH DO PAŃSTW TRZECICH LUB ORGANIZACJI MIĘDZYNARODOWYCH - Rozporządzenie 2018/1725 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE
Dzienniki UE
Dz.U.UE.L.2018.295.39
Akt obowiązujący Wersja od: 21 listopada 2018 r.
ROZDZIAŁ V
PRZEKAZYWANIE DANYCH OSOBOWYCH DO PAŃSTW TRZECICH LUB ORGANIZACJI MIĘDZYNARODOWYCH
PRZEKAZYWANIE DANYCH OSOBOWYCH DO PAŃSTW TRZECICH LUB ORGANIZACJI MIĘDZYNARODOWYCH
Ogólna zasada przekazywania
Przekazanie danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego lub organizacji międzynarodowej, następuje tylko, gdy - z zastrzeżeniem innych przepisów niniejszego rozporządzenia - administrator i podmiot przetwarzający spełnią warunki określone w niniejszym rozdziale, w tym warunki dalszego przekazania danych z państwa trzeciego lub przez organizację międzynarodową do innego państwa trzeciego lub innej organizacji międzynarodowej. Wszystkie przepisy niniejszego rozdziału należy stosować z myślą o zapewnieniu, że nie zostanie naruszony stopień ochrony osób fizycznych zagwarantowany w niniejszym rozporządzeniu.
Przekazywanie na podstawie decyzji stwierdzającej odpowiedni stopień ochrony
1.
Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja stwierdzi na podstawie art. 45 ust. 3 rozporządzenia (UE) 2016/679 lub art. 36 ust. 3 dyrektywy (UE) 2016/680, że to państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim, lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony, i gdy dane osobowe są przekazywane jedynie po to, aby umożliwić wykonywanie zadań wchodzących w zakres kompetencji administratora.2.
Instytucje i organy Unii informują Komisję i Europejskiego Inspektora Ochrony Danych o przypadkach, kiedy uważają, że dane państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa nie zapewniają odpowiedniego stopnia ochrony w rozumieniu ust. 1.3.
Instytucje i organy Unii podejmują niezbędne środki na potrzeby zapewnienia zgodności z decyzjami wydanymi przez Komisję stwierdzającymi, czy zgodnie z art. 45 ust. 3 lub 5 rozporządzenia (UE) 2016/679 lub art. 36 ust. 3 lub 5 dyrektywy (UE) 2016/680 państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub organizacja międzynarodowa zapewnia odpowiedni stopień ochrony lub czy już go nie zapewnia.Przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń
1.
W razie braku decyzji na podstawie art. 45 ust. 3 rozporządzenia (UE) 2016/679 lub art. 36 ust. 3 dyrektywy (UE) 2016/680 administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej.2.
Odpowiednie zabezpieczenia, o których mowa w ust. 1, można zapewnić bez konieczności uzyskania specjalnego zezwolenia ze strony Europejskiego Inspektora Ochrony Danych za pomocą:a)
prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi;b)
standardowych klauzul ochrony danych przyjętych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 96 ust. 2;c)
standardowych klauzul ochrony danych przyjętych przez Europejskiego Inspektora Ochrony Danych i zatwierdzonych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 96 ust. 2;d)
jeżeli podmiot przetwarzający nie jest instytucją ani organem Unii, wiążących reguł korporacyjnych, kodeksów postępowania lub mechanizmów certyfikacji na podstawie art. 46 ust. 2 lit. b), e) i f) rozporządzenia (UE) 2016/679.3.
Pod warunkiem uzyskania zezwolenia Europejskiego Inspektora Ochrony Danych odpowiednie zabezpieczenia, o których mowa w ust. 1, można także zapewnić w szczególności za pomocą:a)
klauzul umownych między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej lubb)
uzgodnień administracyjnych między organami lub podmiotami publicznymi, w których przewidziane będą egzekwowalne i skuteczne prawa osób, których dane dotyczą.4.
Zezwolenia wydane przez Europejskiego Inspektora Ochrony Danych na podstawie art. 9 ust. 7 rozporządzenia (WE) nr 45/2001 zachowują ważność do czasu ich zmiany, zastąpienia lub uchylenia w stosownych przypadkach przez Europejskiego Inspektora Ochrony Danych.5.
Instytucje i organy Unii poinformują Komisję i Europejskiego Inspektora Ochrony Danych o kategoriach przypadków, w których zastosowano przepisy niniejszego artykułu.Przekazywanie lub ujawnianie niedozwolone na mocy prawa Unii
Wyrok sądu lub trybunału oraz decyzja organu administracji państwa trzeciego wymagająca od administratora lub podmiotu przetwarzającego przekazania lub ujawnienia danych osobowych może zostać uznana lub być egzekwowalna wyłącznie, gdy opiera się na umowie międzynarodowej, takiej jak umowa o wzajemnej pomocy prawnej, obowiązującej między wzywającym państwem trzecim a Unią, z zastrzeżeniem innych podstaw przekazania na mocy niniejszego rozdziału.
Wyjątki w szczególnych sytuacjach
1.
W razie braku decyzji stwierdzającej odpowiedni stopień ochrony określonej w art. 45 ust. 3 rozporządzenia (UE) 2016/679 lub art. 36 ust. 3 dyrektywy (UE) 2016/680, lub braku odpowiednich zabezpieczeń określonych w art. 48 niniejszego rozporządzenia, jednorazowe lub wielokrotne przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej następuje wyłącznie pod warunkiem że:a)
osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którym - ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń - może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę;b)
przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą;c)
przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;d)
przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;e)
przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;f)
przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody lubg)
przekazanie następuje z rejestru, który zgodnie z prawem Unii ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes - ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii.2.
Ustęp 1 lit. a), b) i c) nie mają zastosowania do działalności prowadzonej przez instytucje i organy Unii w ramach wykonywania przysługujących im uprawnień publicznych.3.
Interes publiczny, o którym mowa w ust. 1 lit. d), musi być uznany w prawie Unii.4.
Przekazanie na mocy ust. 1 lit. g) nie obejmuje całości danych osobowych ani całych kategorii danych osobowych zawartych w rejestrze, chyba że zezwala na to prawo Unii. Jeżeli rejestr jest dostępny dla osób mających prawnie uzasadniony interes, przekazanie następuje wyłącznie na żądanie tych osób lub gdy mają one być odbiorcami.5.
W razie braku decyzji stwierdzającej odpowiedni stopień ochrony prawo Unii może z uwagi na ważne względy interesu publicznego wyraźnie nakładać ograniczenia na przekazywanie konkretnych kategorii danych osobowych do państwa trzeciego lub organizacji międzynarodowej.6.
Instytucje i organy Unii poinformują Komisję i Europejskiego Inspektora Ochrony Danych o kategoriach przypadków, w których zastosowano przepisy niniejszego artykułu.Międzynarodowa współpraca na rzecz ochrony danych osobowych
We współpracy z Komisją i Europejską Radą Ochrony Danych Europejski Inspektor Ochrony Danych podejmuje wobec państw trzecich i organizacji międzynarodowych odpowiednie działania na rzecz:
a)
wypracowania mechanizmów współpracy międzynarodowej ułatwiających skuteczne egzekwowanie przepisów o ochronie danych osobowych;b)
zapewnienia wzajemnej pomocy międzynarodowej w egzekwowaniu przepisów o ochronie danych osobowych, w tym poprzez zgłoszenia, przekazywanie skarg, pomoc w postępowaniu wyjaśniającym oraz wymianę informacji z zastrzeżeniem odpowiednich zabezpieczeń ochrony danych osobowych i innych podstawowych praw i wolności;c)
włączenia odnośnych podmiotów w dyskusję i działania mające na celu upowszechnianie współpracy międzynarodowej w dziedzinie egzekwowania przepisów o ochronie danych osobowych;d)
upowszechniania wymiany i dokumentowania przepisów i praktyk w dziedzinie ochrony danych osobowych, w tym konfliktów jurysdykcyjnych z państwami trzecimi.© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.