Fajgielski Paweł, Ocena dopuszczalności przekazywania danych do państw trzecich lub organizacji międzynarodowych
Ocena dopuszczalności przekazywania danych do państw trzecich lub organizacji międzynarodowych
Ocena dopuszczalności przekazywania danych do państw trzecich lub organizacji międzynarodowych
Przekazywanie danych do państw trzecich lub organizacji międzynarodowych wiąże się z koniecznością spełnienia dodatkowych wymogów określonych w rozdziale V unijnego rozporządzenia o ochronie danych osobowych, ponieważ w tych państwach i organizacjach może nie być zapewniony odpowiedni poziom ochrony danych. Państwami trzecimi są państwa nienależące do Europejskiego Obszaru Gospodarczego (EOG tworzą państwa członkowskie UE oraz Islandia, Norwegia i Liechtenstein). Prawodawca unijny określił podstawy, na jakich może opierać się transfer danych. Jedną z podstaw jest decyzja Komisji stwierdzająca, że państwo trzecie, terytorium lub określony sektor w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony – w tym przypadku przekazanie danych nie wymaga specjalnego zezwolenia. W razie braku decyzji stwierdzającej odpowiedni poziom ochrony administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie wówczas, gdy zapewnią odpowiednie zabezpieczenia, do których zostały zaliczone: prawnie wiążące i egzekwowalne instrumenty między organami lub podmiotami publicznymi, wiążące reguły korporacyjne, standardowe klauzule ochrony danych, zatwierdzony kodeks postępowania, zatwierdzony mechanizm certyfikacji, przy czym transfer w tych przypadkach nie wymaga zezwolenia organu nadzorczego. W sytuacji gdy zabezpieczenia mają stanowić: klauzule umowne między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej, lub uzgodnienia administracyjne między organami lub podmiotami publicznymi, przepis art. 46 ust. 3 r.o.d.o. dla dopuszczalności transferu danych wymaga dodatkowo uzyskania zezwolenia właściwego organu nadzorczego. Ponadto w przypadku braku decyzji stwierdzającej odpowiedni poziom ochrony, a także niemożności zapewnienia odpowiednich zabezpieczeń, prawodawca unijny dopuścił transfer danych do państwa trzeciego lub organizacji międzynarodowej oparty na przesłankach wyjątkowych, mających zastosowanie w szczególnych sytuacjach, określonych w art. 49 ust. 1 r.o.d.o.
Naruszenie przepisów dotyczących transferu danych od państwa trzeciego lub organizacji międzynarodowej może pociągnąć za sobą nałożenie na administratora lub na podmiot przetwarzający administracyjnej kary pieniężnej w maksymalnej wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Procedury prawne pokazane w formie interaktywnych schematów, dzięki którym sprawdzisz, jak krok po kroku przebiega postępowanie w danej sprawie.
Dowiedz się więcej o LEX Navigator.
Zamów bezpłatną prezentację zdalną , podczas której przedstawimy Ci to narzędzie.
Krok: potrzeba przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej
Przekazywanie danych do państw trzecich lub organizacji międzynarodowych następuje w sytuacji, gdy administrator lub podmiot przetwarzający przekazują dane poza Europejski Obszar Gospodarczy (który tworzą państwa członkowskie UE oraz Islandia, Norwegia i Liechtenstein). Z uwagi na to, że w państwie lub organizacji, do których dane mają być przekazane, ochrona danych osobowych może nie być zapewniona, transfer danych do państwa trzeciego lub organizacji międzynarodowej wymaga spełnienia dodatkowych wymogów określonych w rozdziale V unijnego rozporządzenia o ochronie danych osobowych.
Krok: ocena, czy została wydana decyzja komisji stwierdzająca odpowiedni poziom ochrony?
Komisja jest uprawniona do dokonania oceny, czy państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Jeżeli ocena Komisji jest pozytywna, to Komisja wydaje decyzję potwierdzającą odpowiedni poziom ochrony. Transfer danych osobowych do państwa, w stosunku do którego została wydana tego rodzaju decyzja, jest prawnie dopuszczalny i nie wymaga spełnienia dodatkowych wymogów.
Na gruncie unijnego rozporządzenia o ochronie danych decyzje tego rodzaju nie zostały jeszcze wydane, jednak - zgodnie z art. 45 ust. 9 rozporządzenia - decyzje wydane wcześniej (na podstawie przepisów dyrektywy 95/46/WE) pozostają w mocy do czasu ich zmiany, zastąpienia lub uchylenia decyzją Komisji.
Dotąd takie decyzje zostały wydane w stosunku do: 1) Szwajcarii (decyzja Komisji 2000/518/WE), 2) Węgier (decyzja Komisji 2000/519/EC, przy czym decyzja straciła znaczenie ze względu na przystąpienie Węgier do UE), 3) Kanady (decyzja Komisji 2002/2/WE), 4) Argentyny (decyzja Komisji 2003/490/WE), 5) Guernsey (decyzja Komisji 2003/821/WE), 6) wyspy Man (decyzja Komisji 2004/411/WE), 7) Jersey (decyzja Komisji 2008/393/WE), 8) Wysp Owczych (decyzja Komisji 2010/146/UE), 9) Andory (decyzja Komisji 2010/625/UE), 10) Izraela (decyzja Komisji 2011/61/EU), 11) Urugwaju (decyzja wykonawcza Komisji 2012/484/UE) oraz 12) Nowej Zelandii (decyzja wykonawcza Komisji 2013/65/UE).