RODO
Wdrożenie RODO krok po kroku. Etap XI

XI Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych

W państwach UE obowiązuje reguła swobodnej wymiany danych osobowych. Jednocześnie, biorąc pod uwagę stale rosnący transgraniczny przepływ danych, niezbędne jest utrzymanie odpowiedniego standardu ochrony danych eksportowanych poza EOG. W związku z powyższym, RODO wprowadza standardy dotyczące transferu danych osobowych do państw trzecich i organizacji międzynarodowych (Rozdział V RODO).

Ogólna zasada przekazywania danych poza EOG art. 44 RODO: „Przekazanie danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego lub organizacji międzynarodowej, następuje tylko, gdy - z zastrzeżeniem innych przepisów niniejszego rozporządzenia - administrator i podmiot przetwarzający spełnią warunki określone w niniejszym rozdziale, w tym warunki dalszego przekazania danych z państwa trzeciego lub przez organizację międzynarodową do innego państwa trzeciego lub innej organizacji międzynarodowej. Wszystkie przepisy niniejszego rozdziału należy stosować z myślą o zapewnieniu, by nie został naruszony stopień ochrony osób fizycznych zagwarantowany w niniejszym rozporządzeniu.”

Choć nie wynika to wprost z RODO (brak definicji państwa trzeciego), przyjmuje się, że Rozdział V będzie miał zastosowanie do operacji przekazywania danych poza Europejski Obszar Gospodarczy (EOG tworzą państwa członkowskie UE oraz Norwegia, Islandia i Liechtenstein). Przekazywanie danych pomiędzy podmiotami znajdującymi się w państwach należących do EOG odbywa się na takich samych zasadach jak na terenie Polski, czyli na podstawie RODO.  Wszystkie państwa spoza EOG traktowane są jako państwa trzecie. Wyjątkiem jest Szwajcaria, która mimo przynależności do strefy Schengen jest państwem trzecim.

RODO zawiera natomiast definicję organizacji międzynarodowej – jest to organizacja i organy jej podlegające działające na podstawie prawa międzynarodowego publicznego lub inny organ powołany w drodze umowy między co najmniej dwoma państwami lub na podstawie takiej umowy.

W literaturze przedmiotu wskazuje się następujące elementy składające się na definicję organizacji międzynarodowej:

  • powinna być ona stałym zrzeszeniem państw z prawnie określonymi celami działania oraz być wyposażona w swoje organy. Organizacja międzynarodowa najczęściej jest tworzona przez umowę międzynarodową,
  • cele i działania organizacji oraz państw członkowskich powinny być pod względem prawnym odrębne,
  • organizacja powinna swoje kompetencje wykorzystywać na forum międzynarodowym, a nie tylko w systemie prawnym jednego lub więcej państw.

Transfer danych powinien opierać się na wykorzystaniu jednego z mechanizmów prawnych określonych w przepisach rozdziału V RODO – są to:

1) decyzje Komisji stwierdzające, że państwo trzecie, terytorium lub określony sektor w tym państwie trzecim albo organizacja międzynarodowa zapewniają odpowiedni poziom (stopień) ochrony (art. 45 RODO);

2) zapewnienie odpowiednich zabezpieczeń w postaci jednego z następujących instrumentów prawnych: prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi; wiążących reguł korporacyjnych; standardowych klauzul ochrony danych przyjętych przez Komisję lub organ nadzorczy; zatwierdzonego kodeksu postępowania; zatwierdzonego mechanizmu certyfikacji, bez konieczności uzyskania specjalnego zezwolenia ze strony organu nadzorczego albo klauzul umownych lub uzgodnień administracyjnych, za zgodą organu nadzorczego, pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej (art. 46 i 47 RODO);

3) wyjątki w szczególnych sytuacjach (art. 49 RODO).

Ad. 1) Przekazywanie na podstawie decyzji stwierdzającej odpowiedni stopień ochrony

Pierwszym mechanizmem jest przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej, gdy Komisja Europejska stwierdzi, że: państwo trzecie, dane terytorium, określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony.

W przypadku pozytywnej decyzji Komisji, przekazywanie danych osobowych będzie mogło odbywać się bez potrzeby uzyskania dodatkowego zezwolenia. Oceniając, czy dane państwo lub organizacja międzynarodowa zapewniają odpowiedni stopień ochrony, Komisja uwzględni m.in. takie elementy jak: poszanowanie praw człowieka i podstawowych wolności, istnienie niezależnego organu nadzorczego mającego obowiązek zapewniać i egzekwować przestrzeganie przepisów o ochronie danych czy międzynarodowe zobowiązania zaciągnięte przez dane państwo trzecie lub daną organizację międzynarodową.

Komisja publikuje w Dzienniku Urzędowym Unii Europejskiej i na swojej stronie internetowej wykaz państw trzecich, terytoriów i określonych sektorów w państwie trzecim oraz organizacji międzynarodowych, co do których przyjęła decyzję stwierdzającą odpowiedni stopień ochrony lub jego brak. Decyzje przyjęte przez Komisję na mocy dotychczasowej dyrektywy w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (95/46/WE), pozostaną w mocy do czasu ich zmiany, zastąpienia lub uchylenia decyzją Komisji, przyjętą na podstawie nowych przepisów.

Decyzje w sprawie przekazywania danych osobowych dotyczyły następujących państw (dane pochodzą ze strony: https://archiwum.giodo.gov.pl/163/id_art/1519/j/pl): Andora, Argentyna, Australia, Guernsey, Izrael, Jersey, Kanada, Nowa Zelandia, Stany Zjednoczone Ameryki).

O pozostałych mechanizmach prawnych umożliwiających transfer danych poza EOG, przeczytasz  w kolejnym artykule w ramach naszego Cyklu.

Autor: Katarzyna Brudnicka-Bielecka