Podstawowym aktem prawnym regulującym materię ochrony danych osobowych jest ustawa z 29 sierpnia 1997r. o ochronie danych osobowych (tj. Dz. U. z 2016r. poz. 922, dalej jako: „Ustawa”).
Przekazywanie danych osobowych do państw EOG - Europejskiego Obszaru Gospodarczego (a zatem do państw należących do UE oraz Norwegii, Islandii i Lichtensteinu) podlega rygorom ustawy, w związku z czym administrator danych, zobowiązany jest w szczególności działać z uwzględnieniem przesłanek celowości oraz legalności przetwarzania danych osobowych (a zatem baczyć, by zbieranie danych osobowych dokonywane było dla oznaczonych, zgodnych z prawem celów a także uzyskać zgodę osoby, której dane dotyczą na ich przetwarzanie), prowadzić dokumentację opisującą sposób przetwarzania danych oraz podjęte środki organizacyjne i techniczne, zapewniające ochronę przetwarzania danych osobowych, odpowiednią do zagrożeń i kategorii danych nią objętych.
Zgodnie z art. 47 ust. 1 Ustawy, przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych. „Państwem trzecim” w rozumieniu ustawy jest zaś państwo nienależące do EOG. Stosownie zaś do treści art. 45 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „Rozporządzenie”), przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja w drodze aktu wykonawczego stwierdzi, że to państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Oceniając stopień ochrony Komisja uwzględnia w szczególności praworządność, poszanowanie praw człowieka i podstawowych wolności, odpowiednie ustawodawstwo, zasady ochrony osobowych, a także m.in. istnienie co najmniej jednego organu nadzoru, który zapewnia egzekwowanie przepisów o ochronie danych osobowych. Do tej pory takie decyzje Komisja wydała m.in. w stosunku do Kanady, Stanów Zjednoczonych Ameryki, Szwajcarii czy Argentyny.
Nawet jednak jeżeli państwo trzecie nie zapewnia należytej ochrony danych osobowych, dane mogą być przekazane, jeżeli spełniona jest jedna z poniższych przesłanek:
- osoba, której dane dotyczą, udzieliła na to zgody na piśmie;
- przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie;
- przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem;
- przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych;
- przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą;
- dane są ogólnie dostępne.
W przypadku, kiedy państwo trzecie nie zostało objęte decyzją Komisji albo gdy nie zostanie spełniona jedna ze wskazanych powyżej przesłanek, przekazanie danych osobowych do państwa trzeciego, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych, może nastąpić po uzyskaniu zgody Generalnego Inspektora, wydanej w drodze decyzji administracyjnej, pod warunkiem że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą. Zgoda GIODO nie jest wymagana, jeżeli administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą przez np. prawnie wiążące reguły lub polityki ochrony danych osobowych, które zostały zatwierdzone przez Generalnego Inspektora.
Zgodnie z art. 51 ust. 1 Ustawy, kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Zgodnie z ust. 2 art. 51, jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Nieuprawnione przekazanie przez administratora danych osobowych podmiotowi z państwa trzeciego podlega zatem właśnie sankcjom wskazanym w art. 51 ustawy
Autor: Mateusz Doroszczonek