Przekazywanie danych do państwa trzeciego

Ustawa o ochronie danych osobowych reguluje kwestię przekazywania danych osobowych do państwa trzeciego. Administrator danych, który przekazuje, udostępnia gromadzone dane osobowe podmiotowi mającemu siedzibę w „państwie trzecim”, obowiązany jest zastosować się do zasad określonych w ustawie.

Przekazywanie danych do państwa trzeciego
  • Rafał Stępniewski
  • /
  • 6 maja 2016

Ustawa o ochronie danych osobowych reguluje kwestię przekazywania danych osobowych do państwa trzeciego. Administrator danych, który przekazuje, udostępnia gromadzone dane osobowe podmiotowi mającemu siedzibę w „państwie trzecim”, obowiązany jest zastosować się do zasad określonych w ustawie.

Zgodnie z definicją „państwa trzecie” są to państwa nienależące do Europejskiego Obszaru Gospodarczego (EOG), który to zrzesza kraje Unii Europejskiej oraz Islandię, Norwegię i Liechtenstein.

W ramach Unii Europejskiej oraz w ramach EOG przepływ danych osobowych jest swobodny, ponieważ prawo obowiązujące na terytorium tych państw, gwarantuje odpowiednią ochronę danych osobowych. Podstawową zasadą umożliwiającą przekazywanie danych do państwa trzeciego jest ustalenie czy prawo tego państwa zapewnia odpowiedni poziom ochrony danych osobowych. Ustawa nie definiuje jednak pojęcia „odpowiedni poziom ochrony”, a więc to na administratorze danych ciąży obowiązek ustalenia czy odpowiedni poziom ochrony jest w danym państwie gwarantowany.

W praktyce administrator danych może posiłkować się informacjami zamieszczonymi na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych (GIODO), które zawierają listę państw trzecich, do których można przekazywać dane osobowe, bez spełnienia dodatkowych obowiązków, jednak z drugiej strony GIODO nie wydaje żadnych zaświadczeń w tym zakresie.

Warto w tym miejscu przedstawić dość szczególny i mający duże praktyczne konsekwencje przypadek przekazywania danych do podmiotów mających siedzibę w Stanach Zjednoczonych. W odniesieniu do przepisów państw europejskich, prawo Stanów Zjednoczonych nie gwarantuje odpowiedniego poziomu ochrony danych osobowych, a co za tym idzie, polski administrator danych, który chciałby przekazywać dane do firmy mającej siedzibę w tym państwie, nie może tego zrobić bez spełnienia dodatkowych wymogów. Ma to duże znaczenie praktyczne, ponieważ wielu administratorów danych w naszym kraju korzysta z usług np. amerykańskich firm hostingowych lub informatycznych, które z racji charakteru świadczonych usług mają dostęp do danych zbieranych w Polsce.

Do niedawna działał program „Safe Harbor”, który pozwalał na bezproblemowe przekazywanie danych podmiotom, które brały w nim udział (w praktyce były to wszystkie największe, amerykańskie firmy informatyczne), jednak Trybunał Sprawiedliwości Unii Europejskiej zakwestionował jego funkcjonowanie, co w praktyce, z dnia na dzień, postawiło administratorów danych w sytuacji przekazywania danych osobowych niezgodnego z przepisami.

Ustawa dopuszcza jednak, pod pewnymi warunkami, przekazywanie danych osobowych do państwa trzeciego, które nie zapewnia odpowiedniego poziomu ochrony. Jest to możliwe jeżeli: 

  • przesłanie danych osobowych wynika z obowiązku nałożonego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej, gwarantującymi odpowiedni poziom ochrony tych danych,
  • osoba, której dane dotyczą, udzieliła na to zgody na piśmie,
  • przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie,
  • przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem,
  • przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych,
  • przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,
  • przekazywane dane osobowe są ogólnie dostępne,
  • administrator danych uzyska zgodę GIODO wydaną w drodze decyzji administracyjnej,
  • administrator danych przyjmie:  - standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską lub,  - prawnie wiążące reguły lub polityki ochrony danych osobowych, które zostały zatwierdzone przez GIODO.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

O autorze

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia o którym mowa w akrtykule?

Czy ten artykuł był przydatny?

Kliknij aby wrócić do strony głównej
ISO 54001. Co to jest?
ISO

ISO 54001. Co to jest?

Na rynku istnieje wiele różnych norm zarządzania jakością, jakie dokładnie opisuje standard ISO. Jednym z nich jest norma 54001, z którą jednak nie spotykamy się zbyt często. Czym wyróżnia...

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!