Mechanizmy transferu danych osobowych do państw trzecich

Kategoria: Ochrona danych osobowych
Data: 16-01-2015 r.

Możliwość przekazania danych osobowych do cloud providera z państwa trzeciego wymaga spełnienia przez administratora danych jednej z przesłanek określonych w 7 rozdziale ustawy o ochronie danych osobowych (art. 47–48 uodo). Sprawdź z jakich możliwości możesz skorzystać.

Przekazując dane osobowe do państwa trzeciego administrator danych może wykorzystać kilka rozwiązań z m.in.:

  1. Przekazanie danych do odbiorcy (cloud providera) z państwa trzeciego, w stosunku do którego Komisja Europejska wydała tzw. decyzję ws. adekwatności

Komisja Europejska, działając na bazie art. 25 ust. 6 dyrektywy 95/46/WE, może ocenić, czy w państwie trzecim istnieje odpowiedni poziom ochrony danych osobowych. Na tej podstawie stwierdza, że zapewnia ono adekwatny stopień ochrony danych osobowych w rozumieniu dyrektywy i wydaje decyzję. Na tzw. białej liście znajdują się m.in. Argentyna, Nowa Zelandia, Izrael oraz Kanada.

  1. Przystąpienie odbiorcy danych ze Stanów Zjednoczonych Ameryki do programu Bezpiecznej Przystani (Safe Harbour)

Zasady Safe Harbour zostały uznane przez Komisję Europejską za zapewniające właściwą ochronę danych osobowych (decyzja Komisji nr 200/52/WE). Jeśli dostawca rozwiązania chmurowego posiada certyfikat Safe Harbour, nie jest wymagana zgoda GIODO na transfer danych na bazie art. 48 uodo. Wykorzystanie tej przesłanki jest jednak ograniczone podmiotowo i terytorialnie. Zasady te stosuje się bowiem tylko do transferu danych do podmiotów mających siedzibę w USA oraz wyłącznie w zakresie adekwatności ochrony zapewnianej na terytorium tego kraju.

  1. Wyjątki określone w art. 47 ust. 3 uodo

W tym przypadku nie można powołać się na wyjątki określone w pkt 2 tego przepisu. Dotyczy on bowiem sytuacji, gdy przekazanie danych jest niezbędne do wykonania umowy między administratorem danych a osobą, której dotyczą. Nie jest możliwe również zastosowanie pkt 3. Określa on, że transfer danych musi być niezbędny do wykonania umowy zawartej w interesie osoby, której dane dotyczą.

  1. Zgoda osób, których dane dotyczą (art. 47 ust. 3 pkt 1 uodo)

Jeśli osoba, której dotyczą dane, wyrazi zgodę na ich przekazanie do państwa trzeciego, administrator może to zrobić – taka jest teoria. W praktyce jednak w niewielu przypadkach rozwiązanie to powinno być brane pod uwagę. Wynika to po pierwsze z wątpliwości natury prawnej. Problemem są powtarzające się lub tzw. masowe transfery danych, z którymi mamy do czynienia w przypadku usług w chmurze. W takiej sytuacji Grupa Robocza zaleca przekazywanie danych na silniejszej niż zgoda podstawie prawnej.

  1. Zgoda GIODO wydaną na podstawie art. 48 uodo

Jest to decyzja administracyjna. GIODO wydaje ją, pod warunkiem, że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.

Damian Karwala, radca prawny, współpracownik Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy, ekspert prawny Polskiej Izby Ubezpieczeń oraz Związku Pracodawców Branży Internetowej IAB Polska
Zobacz także:

Tagi: giodo, dane osobowe

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Prawo do informacji o przetwarzanych danych osobowych

Prawo do informacji o przetwarzanych danych osobowych »
Odpowiedzialność administratora danych osobowych

Odpowiedzialność administratora danych osobowych »
Prawo do kopii danych osobowych

Prawo do kopii danych osobowych »
Array ( [docId] => 36393 )
Array ( [docId] => 36393 )