Rozporządzenie o ochronie danych osobowych zwane w skrócie RODO zaczęło obowiązywać 25 maja 2018 roku. Wciąż jednak pojawiają się wątpliwości, jak bezpiecznie pozyskiwać, przechowywać i udostępniać dane osobowe. Szczególnie dużo niejasności dotyczy przekazywania danych osobowych do państw, które nie są członkami Unii Europejskiej. W państwach tych RODO nie obowiązuje, stąd pytanie jak bezpiecznie przekazać do nich dane osobowe?
Jak te kwestie zostały uregulowane?
Liczba formalności, które należy wykonać udostępniać dane osobowe do państw trzecich, w których RODO nie obowiązuje uzależniona jest od tego, na jakim poziomie w państwie do którego mają one zostać przekazane utrzymane jest bezpieczeństwo. Podmioty, które będą dane osobowe przekazywać do państw trzecich muszą pamiętać, że nie ma znaczenia sposób, w jaki dane te będą przesyłane. Takiej samej ochronie podlegają dane, które mają postać pisemnego dokumentu (na przykład umowy handlowe), jak również te dane, które zostaną przesłane drogą elektroniczną. W każdym przypadku dane te należy przekazać tak, aby było to zgodne z przepisami RODO. Przekazywanie danych osobowych do państw poza Europejskim Obszarem Gospodarczym i do organizacji międzynarodowych jest możliwy tylko wtedy, gdy nie będzie to naruszało ochrony osób fizycznych, które zagwarantowane jest w przepisach RODO.
Dane muszą zostać należycie zabezpieczone
Artykuł 46 ust. 1RODO jasno mówi, że dane osobowe mogą zostać przekazane do państw trzecich, gdy Komisja Europejska nie wydała decyzji, która stwierdza odpowiedni poziom ochrony w jednym z tych państw tylko pod warunkiem, że:
w państwach tych lub międzynarodowych organizacjach istnieje możliwość zapewnienia bezpieczeństwa danym osobowym.
Jak na razie Komisja Europejska wydała tylko jedną decyzję stwierdzającą, że w państwie spoza Europejskiego Obszaru Europejskiego dane osobowe są odpowiednio chronione. Państwem tym jest Japonia.
Przekazywanie danych osobowych do państw trzecich zgodnie z RODO
Wszyscy, którzy zamierzają przekazywać dane osobowe do państw spoza Europejskiego Obszaru Gospodarczego muszą pamiętać o tych wszystkich zasadach, które dotyczą transferu danych osobowych do państw członkowskich Unii Europejskiej. Dodatkowo muszą także pamiętać o kilku innych formalnościach. Planując transfer danych do państw trzecich należy przede wszystkim pamiętać o tym, że musi zająć przynajmniej jedna z przesłanek, które wymienione zostały w artykule 6 ustęp 1 RODO. Dane osobowe mogą zostać więc przekazane pod warunkiem, że osoba, której dane dotyczą wyrazi zgodę na ich transfer. Dane osobowe do państw trzecich mogą zostać przekazane również wtedy, gdy będzie związane to z koniecznością wypełnienia zapisów umowy, której jedną ze stron jest osoba, której dane będą przekazywane. Przesłanką do przesłania danych jest także konieczność wypełnienia obowiązku prawnego. Dane można przekazać także wtedy, gdy mamy do czynienia z uzasadnionym interesem, który musi zostać zrealizowany przez osobę trzecią lub administratora danych osobowych.
Obowiązki administratora
W artykule 13 ustęp 1 RODO zapisano, że obowiązkiem administratora jest poinformowanie osoby, które dane dotyczą o planowanym przekazaniu ich do państw trzecich. Podmiotów, które nie zamieszczają klauzuli informacyjnej chyba nie ma. W przypadku transferu danych osobowych do państw trzecich, administrator musi pamiętać o wskazaniu państwa, do którego dane osobowe będą przekazane. RODO gwarantuje każdej osobie fizycznej prawo do informacji o tym, kto będzie administratorem jej danych osobowych. Do tego obowiązkiem administratora jest podanie informacji o tym, że Komisja Europejska stwierdziła odpowiedni stopień ochrony w stosunku do państwa, do którego dane mają trafić. Do obowiązków administratora należy także podanie informacji o braku takiego stwierdzenia. Jeżeli Komisja Europejska nie wydała takiego stwierdzenia, administrator musi poinformować osobę, której dane dotyczą o tym, że zaszedł wyjątek, który jest podstawą do transferu danych lub o tym, jakie zabezpieczenia zostaną przez niego zastosowane.