Procedury
Status: Nieaktualna
Wersja od: 25 maja 2018 r. do: 5 lutego 2019 r.
Autor:

Udzielanie przez GIODO zgody na przekazanie danych do państwa trzeciego

Udzielanie przez GIODO zgody na przekazanie danych do państwa trzeciego

Udzielanie przez GIODO zgody na przekazanie danych do państwa trzeciego

Zgodnie z art. 175 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000), art. 1, art. 2, art. 3 ust. 1, art. 4-7, art. 14-22, art. 23-28, art. 31 oraz rozdziały 4, 5 i 7 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723) zachowują moc w odniesieniu do przetwarzania danych osobowych w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu w zakresie określonym w przepisach stanowiących podstawę działania służb i organów uprawnionych do realizacji zadań w tym zakresie, w terminie do dnia wejścia w życie przepisów wdrażających dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 04.05.2016, str. 89).

Zgodnie z art. 166 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000), z dniem wejścia w życie przedmiotowej ustawy Generalny Inspektor Ochrony Danych Osobowych staje się Prezesem Urzędu Ochrony Danych Osobowych. Osoba, która została powołana na stanowisko Generalnego Inspektora Ochrony Danych Osobowych, na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723), pozostaje na stanowisku do czasu upływu kadencji, na którą została powołana.

Administrator danych może mieć potrzebę przekazania danych za granicę. Jeżeli przekazanie danych ma nastąpić w obrębie Europejskiego Obszaru Gospodarczego, to dopuszczalność przekazania danych oceniana być powinna w oparciu o ogólne przepisy dotyczące dopuszczalności przetwarzania danych (art. 23 i 27 u.o.d.o.). Takie rozwiązanie prawne wynika z faktu, iż na wspomnianym obszarze zagwarantowany być powinien poziom ochrony danych odpowiadający wymogom Dyrektywy 95/46/WE.

W rozdziale 7 ustawy o ochronie danych osobowych uregulowane zostały zagadnienia związane z przekazywaniem danych do państwa trzeciego. Państwem trzecim, zgodnie z art. 7 pkt 7 u.o.d.o., jest państwo nienależące do Europejskiego Obszaru Gospodarczego. Przekazanie danych do państw trzecich wiąże się z koniecznością dokonania oceny, czy państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych. W przypadku pozytywnego wyniku takiej oceny, przekazanie danych jest dopuszczalne, natomiast w sytuacji braku odpowiedniego poziomu ochrony, administrator obowiązany jest sprawdzić, czy przekazanie danych jest dopuszczalne w oparciu o przesłanki wskazane w art. 47 ust. 2–3 u.o.d.o. Brak tego rodzaju podstaw pociąga za sobą konieczność uzyskania zgody Generalnego Inspektora Ochrony Danych Osobowych na przekazanie danych do państwa trzeciego.

W piśmiennictwie przedmiotu wskazuje się, iż na gruncie przepisów rozdziału 7 u.o.d.o., pojęcie przekazywania obejmuje 3 różne sytuacje: 1) udostępnianie danych innemu administratorowi; 2) powierzenie przetwarzania danych, w którego ramach następuje fizyczne przemieszczenie danych (przekazanie danych zleceniobiorcy) oraz 3) transfer danych wewnątrz struktury jednostki administrującej danymi (G. Sibiga, Postępowanie w sprawach ochrony danych osobowych, Warszawa 2003, s. 201–202).

W przedmiocie zgody na przekazanie danych do państwa trzeciego GIODO wydaje decyzję administracyjną.

Zgoda organu nie jest wymagana w przypadku tranzytu danych z wykorzystaniem środków technicznych znajdujących się na terytorium RP, dokonywanego przez podmioty mające siedzibę lub miejsce zamieszkania w państwie trzecim, gdyż do takich operacji ustawa o ochronie danych osobowych nie znajduje zastosowania (zgodnie z art. 3a ust. 1 pkt 2 u.o.d.o.).

Od 1.01.2015 r., wskutek nowelizacji u.o.d.o. zgoda na transfer danych osobowych nie jest potrzebna gdy administrator danych zapewni odpowiednie zabezpieczenia poprzez zastosowanie: 1) standardowych klauzul umownych, zatwierdzonych przez Komisję Europejską bądź 2) wiążących reguł korporacyjnych, które zostały zatwierdzone przez GIODO.

Krok: zamiar przekazania danych do państwa trzeciego

Państwem trzecim, zgodnie z art. 7 pkt 7 u.o.d.o., jest państwo nienależące do Europejskiego Obszaru Gospodarczego. EOG tworzy obecnie 27 państw członkowskich Unii Europejskiej: Austria, Belgia, Bułgaria, Cypr, Czechy, Dania, Estonia, Finlandia, Francja, Grecja, Hiszpania, Holandia, Irlandia, Litwa, Luksemburg, Łotwa, Malta, Niemcy, Polska, Portugalia, Rumunia, Słowacja, Słowenia, Szwecja, Węgry, Wielka Brytania oraz Włochy, oraz trzy państwa członkowskie Europejskiego Stowarzyszenia Wolnego Handlu: Islandia, Lichtenstein i Norwegia (państwa te zobowiązały się dostosować część swego ustawodawstwa do prawa Unii Europejskiej i dzięki temu traktowane są tak jak państwa członkowskie UE).

W literaturze zwraca się uwagę, że przy ocenie, czy przekazanie danych osobowych następuje do państwa trzeciego, nie wykazuje prawnej doniosłości państwo siedziby odbiorcy danych, lecz fizyczne miejsce, do którego przekazywane są dane. Dlatego outsourcing operacji przetwarzania danych osobowych przez administratorów z terenu państw EOG do państw trzecich (np. Indie, Chiny) prowadzi do przyjęcia, że dochodzi w ten sposób do przekazania danych do państw trzecich (por. P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2013, s. 417).

Krok: wniosek o wyrażenie zgody na przekazanie danych do państwa trzeciego

Wniosek o wyrażenie zgody na przekazanie danych do państwa trzeciego jest podaniem w rozumieniu art. 63 k.p.a. i powinien spełniać wymogi określone w tym przepisie. Ponadto wniosek powinien zawierać informacje dotyczące sposobu zapewnienia odpowiednich zabezpieczeń w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą, w związku z zamiarem przekazania danych do państwa trzeciego.

Pełna treść dostępna po zalogowaniu do LEX

Zaloguj się do LEX | Nie korzystasz jeszcze z programów LEX? Zamów prezentację