Państwo Trzecie

Nie. To nie jest Trzeci Świat. Większość z nas wie, że Stany Zjednoczone Ameryki uważane jest za państwo trzecie w rozumieniu RODO. Jednak mało kto zdaje sobie sprawę, że państwem trzecim jest także Szwajcaria, Kanada czy Japonia.

Państwo trzecie to inaczej państwo spoza Europejskiego Obszaru Gospodarczego (EOG).

Co to jest Europejski Obszar Gospodarczy?

Europejski Obszar Gospodarczy jest to strefa wolnego handlu i wspólny rynek, obejmujące państwa Unii Europejskiej i Europejskiego Stowarzyszenia Wolnego Handlu (EFTA), z wyjątkiem Szwajcarii.

Kto należy do Europejskiego Obszaru Gospodarczego?

  • Wszystkie Państwa członkowskie Unii Europejskiej
  • Islandia
  • Liechtenstein
  • Norwegia

Lista państw należących do Unii Europejskiej: https://europa.eu/european-union/about-eu/countries_pl

Jakie to ma znaczenie, że państwo nie należy do Europejskiego Obszaru Gospodarczego?

W przypadku transferu danych osobowych (przetwarzania danych osobowych) odbiorcom zlokalizowanym w państwie trzecim mają zastosowanie przepisy rozdziału V RODO, zgodnie z którym, aby dane osobowe mogły być przekazywane do państwa trzeciego MUSI być spełniony specjalny warunek lub warunki.

Dane osobowe mogą być przekazywane do państwa trzeciego:

  1. Na podstawie decyzji Komisji stwierdzającej odpowiedni poziom ochrony
  2. Zgodnie z wytycznymi ujętymi w art. 46 RODO z zastrzeżeniem stosowania odpowiednich zabezpieczeń

Komisja Europejska wydała decyzje stwierdzające odpowiednią ochronę wobec Państw:

  • Andora
  • Argentyna
  • Guernsey
  • Kanada
  • Wyspy Owcze
  • Izrael
  • Wyspa Man
  • Japonia
  • Jersey
  • Nowa Zelandia
  • Szwajcaria
  • Urugwaj
  • do 16.07.2020 r. Stany Zjednoczone – w zakresie tzw. Tarczy Prywatności

W przypadku istnienia decyzji stwierdzającej odpowiedni poziom ochrony nie potrzebujemy żadnego dodatkowego zezwolenia organu nadzorczego.

Bardzo ważne!

Pamiętaj by przed przekazaniem danych osobowych do państwa trzeciego, wobec którego wydano decyzję stwierdzającą odpowiedni poziom ochrony zweryfikować w jakim zakresie ona obowiązuje, np. w zakresie zautomatyzowanego podejmowania decyzji, wyłącznie wobec organizacji handlowych albo na zasadzie samo certyfikacji.

Odpowiednie zabezpieczenia:

  1. Prawnie wiążący i egzekwowalny instrument między organami lub podmiotami publicznymi (wyłącznie transfer danych pomiędzy podmiotami publicznymi)
  2. Wiążące reguły korporacyjne
  3. Standardowe klauzule ochrony danych przyjęte przez Komisję
  4. Standardowe klauzule ochrony danych przyjęte przez organ nadzorczy i zatwierdzone przez Komisję
  5. Zatwierdzony kodeks postępowania wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do zastosowania odpowiednich zabezpieczeń
  6. Zatwierdzony mechanizm certyfikacji wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do zastosowania odpowiednich zabezpieczeń

Powyższe zabezpieczenia mogą być stosowane bez konieczności uzyskania zezwolenia organu nadzorczego.

Czy są jeszcze jakieś inne metody?

Tak, jednak wymagają zezwolenia organu nadzorczego:

  1. Klauzule umowne zawarte pomiędzy administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej
  2. Postanowienia uzgodnień administracyjnych między organami lub podmiotami publicznymi, w których przewidziane będą egzekwowalne i skuteczne prawa osób, których dane dotyczą.

W szczególnych sytuacjach mogą zostać zastosowane wyjątki określone w art. 49 RODO, które jednak nie są przedmiotem niniejszego wpisu.

Źródła:

  1.  Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE z 2016 r., L 119/1 ze zm.).
  2.  Figielski, Komentarz do art. 45 rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/We (ogólne rozporządzenie o ochronie danych [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, pod red. P. Figielski, Wydawnictwo Wolters Kluwer, Warszawa 2018, Lex.
  3. Komentarz do art. 45 [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, pod red. E. Bielak-Jomaa, D. Lubasz, Wydawnictwo Wolters Kluwer, Warszawa 2018, Lex