Przekazywanie danych osobowych poza Unię Europejską

Państwa trzecie, to państwa, które nie należą do Europejskiego Obszaru Gospodarczego, a więc nie są objęte bezpośrednim działaniem RODO. Przekazanie danych osobowych do państwa trzeciego może nastąpić, gdy Komisja Europejska stwierdzi, że państwo trzecie, terytorium lub określony sektor bądź sektory w tym państwie trzecim zapewniają odpowiedni stopień ochrony. Takie przekazanie nie wymaga specjalnego zezwolenia. Komisja Europejska jest uprawniona do stwierdzenia w drodze decyzji, że dane państwo trzecie zapewnia odpowiedni stopień ochrony, co wynika z jego prawa krajowego lub międzynarodowych zobowiązań, jakie państwo to przyjęło, w zakresie ochrony życia prywatnego i podstawowych praw i wolności osób fizycznych. Państwa trzecie w stosunku do których Komisja stwierdziła odpowiedni stopień ochrony to obecnie: Andora, Australia, Argentyna, Guernsey, Izrael, Jersey, Kanada, Nowa Zelandia, Szwajcaria, Wyspa Man, Wyspy Owcze.

W przypadku, gdy chcemy przekazać dane do państwa trzeciego innego niż wskazane powyżej, RODO daje nam kilka opcji do wyboru. Pierwszą z nich jest przekazanie z zastrzeżeniem odpowiednich zabezpieczeń  o których mowa szczegółowo w art. 46 RODO, są to m.in. wiążące reguły korporacyjne, standardowe klauzule ochrony danych, zatwierdzony kodeks postępowania dot. RODO oraz zatwierdzony mechanizm certyfikacji. Wiążące reguły korporacyjne to porozumienia grupy przedsiębiorców dotyczące transferu danych wewnątrz tej grupy, zatwierdzone  przez odpowiedni organ nadzoru. Jeśli przedsiębiorcy nie należą do tej samej grupy, to mogą posłużyć się kodeksem postępowania lub odpowiednim certyfikatem. Kolejnym ze sposobów legalizacji transferu danych osobowych do państwa trzeciego jest stwierdzenie istnienia którejś z przesłanek określonych w art. 49 RODO, czyli:

  • zgoda osoby, której dane dotyczą; osoba, poinformowana o ewentualnym ryzyku, z którymi może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę;
  • umowa; przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą lub też przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;
  • ważny interes publiczny;
  • roszczenia; przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;
  • ochrona żywotnych interesów osoby, których dane dotyczą, lub innych osób;
  • przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes;