Transfer danych

Transfer danych

 

Na początku należy wskazać następujące - aby można było mówić o przekazywaniu danych osobowych do państw trzecich należy spełnić warunki, które dokładnie określa rozdział V RODO. Co jest również istotne, RODO nie definiuje pojęcia państwo trzecie. A więc, które państwa są państwami trzecimi? Wszystkie te, które nie należą do Unii Europejskiej (poza Islandią, Lichtensteinem i Norwegią, ponieważ one z kolei należą do Europejskiego Obszaru Gospodarczego). Co istotne, przekazywanie danych osobowych do państw trzecich może odbywać się nie jedynie poprzez korzystanie z serwerów znajdujących się na terenie państwa trzeciego czy globalny outsorcing, ale również poprzez wsparcie w rekrutacji pracowników.

PRZEKAZYWANIE DANYCH OSOBOWYCH DO WIELKIEJ BRYTANII

Ze względu na BREXIT, na który zdecydowała się Wielka Brytania, kraj ten przestał należeć do Unii Europejskiej, co oznacza, że tym samym stała się ona państwem trzecim. Ważną informacją jest to, że do dnia 1 lipca 2021 roku mieliśmy do czynienia z tzw. okresem przejściowym umożliwiającym przekazywanie danych do Zjednoczonego Królestwa, a zatem transfery danych osobowych do tego obszaru nie były traktowane jako przekazywanie danych osobowych do państwa trzeciego. W związku z tym nie istniał jakikolwiek wymów spełnienia przesłanek określonych w rozdziale V RODO. Obecnie, opierając się na decyzji Komisji Europejskiej (weszły w życie 28 czerwca 2021 r.) możliwe jest swobodne przekazywanie danych osobowych. W wydanych przez siebie decyzjach Komisja Europejska stwierdziła odpowiedni poziom ochrony danych osobowych argumentując to w ten sposób, iż system ochrony danych opiera się na tych samych zasadach, które uwzględnia RODO, ograniczając jednak to stanowisko w czasie. Decyzje Komisji Europejskiej będą bowiem obowiązywać przez najbliższe 4 lata tj. do dnia 27 czerwca 2025 r. Po tym terminie Komisja może kontynuować to stanowisko lub przyjąć odmienne.

PRZEKAZYWANIE DANYCH OSOBOWYCH DO USA

Od momentu wydania wyroku Trybunału Sprawiedliwości Unii Europejskiej (przypomnijmy, że wyrok zapadł w dniu 16 lipca 2020 r.) Tarcza Prywatności (Privacy Shield) nie może stanowić podstawy prawnej do przekazywania danych osobowych do USA. Tarczą Prywatności nazywana była decyzja Komisji Europejskiej, stwierdzająca, iż Stany Zjednoczone zapewniają właściwy poziom ochrony danych osobowych, które przekazywane są z obszaru Unii Europejskiej. Dodatkowo w dniu 10 listopada 2020 r. Europejska Rada Ochrony Danych Osobowych (ang. European Data Protection Board) - EROD opublikowała rekomendowane zalecenia pt. „Zalecenia 01/2020 w sprawie środków uzupełniających, zapewniających zgodność transferu z unijnym poziomem ochrony danych osobowych”. Zalecenia są swego rodzaju instrukcją postępowania w przypadku przekazywania danych osobowych poza EOG. EROD wskazuje na 6 kroków dla każdego Administratora, aby mógł on dokonać prawidłowej oceny. 

STANDARDOWE KLAUZULE UMOWNE RODO 

W dniu 27 czerwca 2021 r. weszła w życie decyzja Komisji Europejskiej 2021/914 w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich. Zgodnie z tą decyzją, umowy zawierane po 27 czerwca br. powinny zawierać już nowe klauzule. W związku z tym, iż klauzule określone w decyzjach 2001/497/WE i 2010/87/UE utraciły moc, umowy zawarte przed w/w datą będą wymagały aneksowania. W rozumieniu art. 46 RODO, standardowe klauzule umowne stanowią odpowiednie zabezpieczenie dla przekazywanych danych osobowych.

Odnoszą się one do przekazywania danych:

  1. między administratorami,
  2. przez administratora podmiotowi przetwarzającemu w państwie trzecim,
  3. między podmiotami przetwarzającymi,
  4. przez podmiot przetwarzający administratorowi w państwie trzecim.

Co istotne, stosowanie nowych klauzul umownych nie wyklucza ewentualnego stosowania Zaleceń EROD, co jest wynikiem wspomnianego wyroku TSUE w sprawie Schrems II.

Zakładam, że jesteś tu po to, bo szukasz informacji na konkretny temat. Jeśli powyższy post nie rozwiązał Twojego problemu, zachęcam Cię do konsultacji online.

Kategorie

Ostatnie posty

Dane wrażliwe (art. 9 RODO)
Dane wrażliwe (art. 9 RODO)

Czym są dane wrażliwe? Czy danymi wrażliwymi są wszystkie dane osobowe czy tylko wybrana część?

Rejestr czynności przetwarzania
Rejestr czynności przetwarzania

RODO nakłada na administratorów danych osobowych szereg obowiązków. Jednym z nich jest prowadzenie rejestru czynności przetwarzania. Czym zatem jest ten rejestr i w jakim celu należy go prowadzić?

Analiza ryzyka
Analiza ryzyka

Jednym z obowiązków Administratora, który nakładają na niego przepisy RODO jest wykonanie oceny skutków dla ochrony danych osobowych. W artykule kilka ważnych informacji dla osób dokonujących słynnego DPiA.

RODO-Advisor

▪️nie wdrożyłeś RODO w firmie▪️szukasz bieżącego wsparcia▪️szukasz Inspektora Ochrony Danych▪️odnotowałeś wyciek danych▪️masz problem i chcesz go przedyskutować▪️chcesz przeszkolić personel▪️ 

ROZWIĄŻEMY PROBLEM

▪️chcesz korzystać z przysługujących RODO-uprawnień▪️czujesz, że Twoje prawa nie są przestrzegane▪️chcesz mądrze zarządzać swoimi danymi osobowymi, ale nie wiesz jak▪️ myślisz o założeniu firmy i chcesz poznać RODO-procesy▪️ 

Kontakt

787 799 843
kontakt@rodo-advisor.pl
Plac Hallera 5 lok. 14A
03-464 Warszawa

CREATED BY REVEO

Dokumentacja RODO - Polityka Prywatności oraz Ogólna klauzula informacyjna