Przekazanie danych osobowych do państwa trzeciego

Rozwój światowej gospodarki wpływa na wzrost transgranicznej wymiany danych osobowych. Coraz więcej firm przekazuje dane swoich klientów do państw trzecich, które nie należą do Europejskiego Obszaru Gospodarczego. Wiąże się to z dużym ryzykiem naruszenia praw i wolności osób, których dane dotyczą, dlatego ustawa o ochronie danych osobowych reguluje kwestię przekazywania danych osobowych do państw trzecich.

Zgodnie z definicją państwa trzecie są to państwa nienależące do Europejskiego Obszaru Gospodarczego, który zrzesza kraje Unii Europejskiej oraz Islandię, Lichtenstein i Norwegię. Obszar ten można również poszerzyć o kraje, wobec których Komisja wydała decyzję stwierdzającą, iż gwarantują one odpowiedni poziom ochrony wymagany przez art. 25 ust. 2 dyrektywy 95/46/WE, tj. Argentyna, Szwajcaria, Kanada, wyspy Guernsey, wyspy Man. W ramach Europejskiego Obszaru Gospodarczego przepływ danych osobowych jest swobodny, ponieważ prawo, które obowiązujące na terytorium tych państw, gwarantuje odpowiednią ochronę danych osobowych. Podstawową zasadą umożliwiającą przekazywanie danych do państwa trzeciego jest ustalenie, czy prawo tego państwa zapewnia odpowiedni poziom ochrony danych osobowych.

Ustawa dopuszcza jednak, pod pewnymi warunkami, przekazywanie danych osobowych do państwa trzeciego, które nie zapewnia odpowiedniego poziomu ochrony, tj. jeśli:

  • przesłanie danych osobowych wynika z obowiązku nałożonego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej, gwarantującymi odpowiedni poziom ochrony tych danych,
  • osoba, której dane dotyczą, udzieliła na to zgody na piśmie,
  • przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie,
  • przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem,
  • przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych,
  • przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,
  • przekazywane dane osobowe są ogólnie dostępne,
  • administrator danych przyjmie:
  • standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską lub,
  • prawnie wiążące reguły lub polityki ochrony danych osobowych, które zostały zatwierdzone przez GIODO.

Jeżeli nie zostały spełnione opisane powyżej przesłanki przekazania danych osobowych, a państwo docelowe nie zapewnia odpowiednich standardów ochrony, przekazanie danych do państwa trzeciego może nastąpić po uzyskaniu zgody Generalnego Inspektora, pod warunkiem, że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą. Każdy wniosek o wyrażenie zgody na przekazywanie danych osobowych jest rozpatrywany indywidualnie przez Generalnego Inspektora. W przypadku zgody Generalnego Inspektora na przekazanie danych osobowych do państwa trzeciego, administrator danych powinien spełnić, wynikający z ustawy o ochronie danych osobowych, obowiązek informacyjny.

Niniejsza informacja nie stanowi porady prawnej ani podatkowej. Kancelaria nie ponosi odpowiedzialności za wykorzystanie informacji w nim zawartych bez wcześniejszego zasięgnięcia opinii Kancelarii.