Postępująca globalizacja gospodarki światowej oznacza m.in. konieczność przekazywania danych
osobowych do innych państw. Fakt ten nie został pominięty również przez przepisy RODO, które
regulują zasady przekazywania danych osobowych do państwa trzecich, jako jednej z form
przetwarzania danych. Przez Państwa trzecie powinniśmy rozumieć kraje spoza Europejskiego
Obszaru Gospodarczego.
Jedna z przesłanek zapewniających, iż przekazanie danych do państw trzecich jest dozwolone, została
określona w art. 45 ust. 1 i ust 3 RODO. Zgodnie z przywołanym przepisem staje się to możliwe i
zgodne z prawem w momencie, gdy Komisja Europejska w wydanej przez siebie decyzji stwierdzi, że
konkretne państwo trzecie lub dana organizacja międzynarodowa zapewniają odpowiedni stopień
ochrony.
Na ocenę Komisji Europejskiej dotyczącą tego, czy dane państwo bądź organizacja międzynarodowa
zapewniają należyty stopień ochrony danych wpływa wiele aspektów. Analizowane są takie kwestie
jak m.in.: poszanowanie praw człowieka i podstawowych wolności, istnienie niezależnego organu
nadzorczego mającego obowiązek zapewniać i egzekwować przestrzeganie przepisów o ochronie
danych oraz międzynarodowe zobowiązania zaciągnięte przez dane państwo trzecie lub daną
organizację międzynarodową w dziedzinie ochrony danych osobowych – mówi adw. Łukasz Pociecha,
ODO 24. Wykaz miejsc, co do których Komisja Europejska przyjęła decyzję stwierdzającą odpowiedni
stopień ochrony lub jego brak opublikowany jest w Dzienniku Urzędowym Unii Europejskiej oraz na
stronie internetowej Komisji Europejskiej. Co najistotniejsze, wydanie tego typu decyzji skutkuje
możliwością przekazywania danych osobowych do państw w niej wskazanych bez specjalnego
zezwolenia.
W przypadku nieuznania państwa trzeciego jako zapewniającego odpowiedni stopień ochrony,
przekazanie danych możliwe jest wyłącznie wtedy, gdy administrator lub podmiot przetwarzający
informacje na zlecenie administratora, zapewni osobie, której dane dotyczą ich odpowiednie
zabezpieczenie. Środki mające zapewnić odpowiedni poziom bezpieczeństwa wskazane są w art. 46
ust. 2 RODO oraz w art. 46 ust. 3 RODO. Pierwszy z przywołanych przepisów zawiera katalog
odpowiednich środków, które podmiot przekazujący dane może stosować bez zezwolenia
odpowiedniego organu nadzorczego. Są to m. in. prawnie wiążące i egzekwowalne instrumenty
między organami lub podmiotami publicznymi, standardowe klauzule ochrony danych przyjęte przez
Komisję Europejską, zatwierdzony kodeks postępowania zgodnie z art. 40 RODO oraz zatwierdzony
mechanizm certyfikacji zgodnie z art. 42 RODO. Jak podkreśla adw. Łukasz Pociecha, ODO24 - odpowiednie zabezpieczenie danych w zw. z ich przekazaniem do państwa trzeciego może również
nastąpić m.in. poprzez zastosowanie klauzul umownych między administratorem lub podmiotem
przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w
państwie trzecim lub organizacji międzynarodowej. W takiej sytuacji stosowanie do art. 46 ust. 3
RODO wymagane jest jednak uzyskanie zgody organu nadzorczego na przekazanie danych do
państwa trzeciego.
Należy również zwrócić uwagę, że przepisy RODO przewidują dodatkowe przesłanki zezwalające na
przekazanie danych do państw trzecich w przypadku braku odpowiednej decyzji Komisji Europejskiej
lub niemożliwości spełnienia zabezpieczeń wskazanych w art. 46 RODO. Katalog dodatkowych
przesłanek został określony w art. 49 RODO.
Przesłanką legalizującą transfer informacji do państw trzecich może być również wyraźna zgoda
samej osoby, której dane dotyczą. Aby jednak było to możliwe, osoba ta, musi wcześniej zostać
poinformowana o ewentualnym ryzyku związanym z przekazaniem danych do danego państwa
trzeciego, które to może wynikać chociażby z braku odpowiedniej decyzji Komisji Europejskiej
stwierdzającej dopuszczalny stopień ochrony danych. Ponadto do przekazania danych osobowych do
państwa trzeciego może również dojść w sytuacji gdy jest to konieczne dla wykonania umowy
pomiędzy administratorem a osobą, której dane dotyczą – wskazuje adw. Łukasz Pociecha, ODO 24.
Przedsiębiorcy prowadzący działalność na arenie międzynarodowej zobligowani są do sprawdzenia
i upewnienia się, czy mogą legalnie przekazywać dane osobowe poza obszar UE. W sytuacji, kiedy
działanie to nie jest uregulowane odpowiednią podstawą prawną narażeni są oni na wysokie kary
pieniężne, wynoszące nawet 20 mln euro, a w przypadku przedsiębiorstwa w wysokości do 4 proc.
jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.