Z LEXTRA PRZY KAWIE O PRAWIE - Funkcjonowanie RODO w przedsiębiorstwie cz. VII

W ramach dzisiejszego spotkania „Z LEXTRA PRZY KAWIE O PRAWIE”

- FUNKCJONOWANIE RODO W PRZEDSIĘBIORSTWIE cz. VII

o przekazywaniu danych osobowych poza Europejski Obszar Gospodarczy lub organizacji międzynarodowej - co z przekazywaniem danych osobowych do Wielkiej Brytanii?

Przekazywanie danych osobowych poza Europejski Obszar Gospodarczy może spowodować wzrost ryzyka, że osoby fizyczne nie będą mogły wykonywać prawa do ochrony danych osobowych. RODO zabezpiecza przekazywanie danych osobowych do tzw. państw trzecich jedynie po zapewnieniu stopnia ochrony odpowiadającego wymogom RODO.

Praktyczne obostrzenie to obowiązek poinformowania osób, których dane są przekazywane do państwa trzeciego, o tym zamiarze zgodnie z art. 13 ust. 1 lit. f) RODO i art. 14 ust. 1 lit. f) RODO. Równocześnie w rejestrze czynności przetwarzania danych należy wymienić odbiorców danych spoza EOG.

Co do zasady przekazywanie danych osobowych do państwa trzeciego może mieć miejsce, gdy Komisja Europejska w decyzji stwierdzi, że to państwo zapewnia odpowiedni poziom ochrony danych osobowych. Takie decyzje zostały wydane np., co do Andory, Argentyny, Australii, Izraela.

Jeżeli taka decyzja nie została wydana wobec danego państwa, to przekazywanie poza EOG jest dopuszczalne wyłącznie „z zastrzeżeniem odpowiednich zabezpieczeń”, co oznacza zastosowanie m.in. jednego z następujących instrumentów:

  1. wiążących reguł korporacyjnych,
  2. standardowych klauzul ochrony danych – wzorcowe warunki umów przyjęte przez Komisję Europejską lub organ nadzoru, zatwierdzone przez Komisję Europejską,
  3. zatwierdzonych kodeksów postępowania,
  4. zatwierdzonego mechanizmu certyfikacji,
  5. klauzul umownych pod warunkiem uzyskania zezwolenia odpowiedniego organu nadzoru.

Ponadto RODO oprócz podstaw „generalnych”, o których mowa m. in. Powyżej, umożliwia przekazywanie danych osobowych poza EOG, w szczególności na podstawie:

  1. zgody osoby, której dane dotyczą, opartej na informacji o ryzyku,
  2. konieczności wykonania umowy lub dla zawarcia umowy na żądanie osoby,
  3. zawarcia lub wykonania umowy, gdy jest to w interesie osoby, której dane mają być przekazane, niebędącej stroną umowy,
  4. interesu publicznego,
  5. dochodzenia roszczeń.

Istotne jest ustalenie czy dane osobowe przetwarzane w przedsiębiorstwie są przekazywane poza obszar Europejskiego Obszaru Gospodarczego. Jeżeli tak, to należy pamiętać, aby przekazywanie takich danych osobowych miało miejsce na legalnej podstawie, wynikającej w szczególności z art. 46-49 RODO.

Szczególnie interesująca jest obecnie sytuacja Wielkiej Brytanii, która prawdopodobnie w dniu 30 marca 2019 r. wyjdzie z UE, co będzie oznaczało, że stanie się państwem trzecim w rozumieniu RODO. Prezes UODO wyjaśniał, jak przekazywać dane osobowe z Polski do Wielkiej Brytanii na wypadek Brexitu. Więcej informacji dostępnych tutaj.