Portal prowadzi Kancelaria
Babiaczyk Skrocki i Wspólnicy

Przekazanie danych osobowych do państw trzecich w świetle RODO

Dane osobowe 14.03.2018

Jedną z naczelnych zasad w zakresie ochrony danych osobowych jest reguła swobodnej wymiany danych osobowych pomiędzy państwami członkowskimi Unii Europejskiej. Przeciwdziała to barierom w międzynarodowej współpracy gospodarczej w ramach UE. Jednocześnie, biorąc pod uwagę stale rosnący transgraniczny przepływ danych, niezbędne jest utrzymanie odpowiedniego standardu ochrony danych eksportowanych poza Europejski Obszar Gospodarczy (dalej również: EOG). W związku z powyższym, w ogólnym rozporządzeniu o ochronie danych osobowych (dalej: RODO), które zacznie obowiązywać na terenie całej Unii Europejskiej już od 25 maja 2018 roku, określone zostały warunki dopuszczalności przekazywania danych osobowych do państw trzecich.

Przekazywanie na podstawie decyzji stwierdzającej odpowiedni stopień ochrony

Po pierwsze, przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej będzie dozwolone, gdy Komisja Europejska stwierdzi, że: państwo trzecie, dane terytorium, określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. W przypadku pozytywnej decyzji Komisji, przekazywanie danych osobowych będzie mogło odbywać się bez potrzeby uzyskania dodatkowego zezwolenia. Oceniając, czy dane państwo lub organizacja międzynarodowa zapewniają odpowiedni stopień ochrony, Komisja uwzględni m.in. takie elementy jak: poszanowanie praw człowieka i podstawowych wolności, istnienie niezależnego organu nadzorczego mającego obowiązek zapewniać i egzekwować przestrzeganie przepisów o ochronie danych czy międzynarodowe zobowiązania zaciągnięte przez dane państwo trzecie lub daną organizację międzynarodową. Komisja opublikuje w Dzienniku Urzędowym Unii Europejskiej i na swojej stronie internetowej wykaz państw trzecich, terytoriów i określonych sektorów w państwie trzecim oraz organizacji międzynarodowych, co do których przyjęła decyzję stwierdzającą odpowiedni stopień ochrony lub jego brak. Decyzje przyjęte przez Komisję na mocy dotychczasowej dyrektywy w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (95/46/WE), pozostaną w mocy do czasu ich zmiany, zastąpienia lub uchylenia decyzją Komisji, przyjętą na podstawie nowych przepisów.

Przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń

W razie braku decyzji Komisji stwierdzającej odpowiedni poziom ochrony w danym państwie lub organizacji międzynarodowej, dokonanie transferu danych poza EOG będzie wciąż możliwe w pewnych wyjątkowych, szczegółowo opisanych w rozporządzeniu okolicznościach. Administrator lub podmiot przetwarzający będzie mógł przekazać dane, gdy samodzielnie zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą i skuteczne środki ochrony prawnej. Takie odpowiednie zabezpieczenie będzie można zapewnić – bez konieczności uzyskania specjalnego zezwolenia ze strony organu nadzorczego – za pomocą:

  • prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi;
  • wiążących reguł korporacyjnych (ang. Binding corporate rules - BCR) zatwierdzonych przez właściwy organ nadzorczy, mających zastosowanie do każdego z członków grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą;
  • standardowych klauzul ochrony danych (ang. Standard Contracual Clauses - SCCs) przyjętych lub zatwierdzonych przez Komisję;
  • zatwierdzonego kodeksu postępowania lub
  • zatwierdzonego mechanizmu certyfikacji.

PrzprOdstępstwa od zakazu transferu do państw trzecich niezapewniających adekwatnego poziomu ochrony

Drugą grupa wyjątków, które spowodują, że dopuszcza się transfer danych osobowych poza EOG, mimo braku zapewnienia adekwatnego poziomu ochrony stanowią następujące sytuacje:

  • osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którymi może się dla niej wiązać proponowane przekazanie, wyrazi na nie wyraźną zgodę;
  • przekazanie jest niezbędne do wykonania umowy zawartej z osobą, której dane dotyczą;
  • przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, której dane dotyczą
  • przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;
  • przekazanie jest niezbędne ze względu na posiadane roszczenia;
  • przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą lub
  • przekazanie nastąpi z publicznego rejestru.

Zezwolenie organu nadzorczego

Podstawą transferu do państwa trzeciego, które nie zapewnia odpowiedniego stopnia ochrony danych, będzie mogło być ponadto zezwolenie organu nadzorczego na zastosowanie:

  • innych zabezpieczeń ochrony danych pomiędzy eksporterem i importerem określonych w umowach między tymi podmiotami lub
  • uzgodnień administracyjnych między organami i podmiotami publicznymi, w których przewidziane będą egzekwowalne i skuteczne prawa osób, których dane dotyczą.

Szczególne sytuacje

Jeżeli przekazanie nie będzie mogło opierać się na decyzji Komisji stwierdzającej odpowiedni poziom ochrony, ani z zastrzeżeniem odpowiednich zabezpieczeń, w tym poprzez ustanowienie wiążących reguł korporacyjnych, a ponadto nie zajdzie żaden z wyżej wskazanych wyjątków, przekazanie do państwa trzeciego lub organizacji międzynarodowej będzie dopuszczalne wyłącznie, gdy spełnione zostaną kumulatywnie następujące warunki:

  • przekazanie nastąpi jednorazowo,
  • dotyczyć będzie tylko ograniczonej liczby osób, których dane będą przetwarzane,
  • będzie niezbędne ze względu na ważne prawnie uzasadnione interesy realizowane przez administratora, wobec których charakteru nadrzędnego nie mają interesy ani prawa i wolności osoby, której dane dotyczą a administrator oceni wszystkie okoliczności przekazania danych i na podstawie tej oceny zapewni odpowiednie zabezpieczenia w zakresie ochrony danych osobowych.

W takiej sytuacji, administrator będzie miał obowiązek poinformowania organu nadzorczego o przekazaniu, a ponadto będzie musiał udzielić osobie, której dane dotyczą informacje o przekazaniu i o realizowanych przez niego ważnych prawnie uzasadnionych interesach.

Przekazanie na podstawie wyroku sądu lub decyzji organu

Przekazywanie danych osobowych będzie mogło nastąpić również na podstawie wyroku sądu lub trybunału albo decyzji organu administracyjnego państwa trzeciego wymagające od administratora lub podmiotu przetwarzającego przekazania lub ujawnienia danych osobowych, ale tylko wówczas gdy będzie to wynikało z umowy międzynarodowej, takiej jak umowa o wzajemnej pomocy prawnej, obowiązującej pomiędzy wzywającym państwem trzecim a Unią lub państwem członkowskim.

Podsumowując, zgodnie z ogólnym rozporządzeniem o ochronie danych osobowych podstawą prawną przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych będą musiały być odpowiednie zabezpieczenia. W przypadku braku tych gwarancji podstawą transferu będzie mogło być zezwolenie organu nadzorczego na zastosowanie innych. Należy jednak pamiętać, że odstępstwa takie jak zgoda podmiotu danych na transfer czy przekazanie ze względu na przysługujące roszczenia, będą mogły być stosowane wyjątkowo, po wcześniejszym wyczerpaniu możliwości zapewnienia ochrony przez odpowiednie gwarancje.

Karina Wronka
Konsultant prawny w kancelarii BSiW