A A+ A++
contrast mute
Godło Polski
Politechnika Śląska
Wyszukaj
A A+ A++

Inspektor Ochrony Danych Biuro Bezpieczeństwa Informacji

Przekazywanie danych osobowych do państw trzecich czyli państw nie należących do Europejskiego Obszaru Gospodarczego

 Def. państw trzeciego - państwo trzecie to każde państwo, które nie wchodzi w skład Europejskiego Obszaru Gospodarczego. W skład EOG wchodzą państwa należące do Unii Europejskiej + Islandia, Liechtenstein i Norwegia.

Wszystkie państwa należące do EOG przyjęły RODO. Jeżeli dane osobowe przekazywane są poza EOG przekazywanie takie podlega obostrzeniom, których celem jest zbudowanie skutecznej ochrony prywatności mieszkańców EOG również poza obszarem obowiązywania RODO.

 Państwa, które Komisja Europejska uznała za dające odpowiedni stopień ochrony danych (stan na dzień 31.01.2023):

Istnieją państwa nie należące do EOG, które Komisja Europejska uznała odrębnymi decyzjami za dające odpowiedni stopień ochrony danych:

  1. Andora
  2. Argentyna
  3. Guernsey
  4. Izrael - Dotyczy wyłącznie danych osobowych przekazywanych z Unii Europejskiej w związku z automatycznym międzynarodowym przekazywaniem danych osobowych z Unii Europejskiej, lub, jeśli operacje przekazywania nie są zautomatyzowane, są one przedmiotem dalszego zautomatyzowanego przetwarzania w Państwie Izrael.
  5. Japonia - decyzja nie dotyczy wszystkich transferów danych! Zawiera wyłączenia dotyczące całych sektorów.
  6. Jersey
  7. Kanada - decyzja stwierdza, że Kanada jest krajem zapewniającym odpowiedni poziom ochrony danych osobowych przekazywanych ze Wspólnoty do odbiorców objętych przepisami ustawy kanadyjskiej o ochronie informacji osobowych i dokumentów elektronicznych.
  8. Nowa Zelandia
  9. Szwajcaria
  10. Urugwaj - Dotyczy wyłącznie zautomatyzowanego przetwarzania danych osobowych
  11. Wyspa Man
  12. Wyspy Owcze
  13. Wielka Brytania
  14. Korea Południowa
  15. USA - dotyczy tylko organizacji, które przystąpiły do programu „Ram ochrony danych UE – USA

W przypadku w/w Państw dane osobowe można przekazywać bez konieczności zapewniania dodatkowych gwarancji. Nie wszystkie jednak decyzje, co wskazano wyżej, obejmują wszystkie przypadki transferu danych do konkretnego państwa. Dlatego trzeba zapoznać się ze szczegółami decyzji i sprawdzić czy przypadkiem planowany transfer danych nie znajduje się na liście wyjątków.

Jeżeli transfer danych nie znajduje się na liście Państw objętych decyzjami KE konieczne jest zastosowanie jednego z poniższych rozwiązań:

     I.        Zastosowanie Standardowych Klauzul Umownych przyjęte przez Komisję                                  Europejską.

Dnia 27 czerwca 2021 weszła w życie decyzja Komisji Europejskiej 2021/914 w sprawie standardowych klauzul umownych (SKU) dotyczących przekazywania danych osobowych do państw trzecich.

https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32021D0914&from=pl

Nowe SKU zastępują zestawy starych SKU przyjętych na mocy dyrektywy o ochronie danych 95/46/WE w latach 2001, 2004 i 2010. Należy zwrócić uwagę, iż zgodnie z art. 46 ust. 2 lit. a RODO administrator danych lub podmiot przetwarzający może przekazywać dane osobowe do państwa trzeciego wyłącznie wtedy, gdy zapewnione są odpowiednie zabezpieczenia i dostępne są egzekwowalne prawa i skuteczne środki prawne dla podmiotów danych. Stosowanie i przestrzeganie SKU w umowach regulujących takie przepływy danych spełnia ten próg ochrony. Komisja zachęca również do włączenia dodatkowych zabezpieczeń do warunków umownych, które stanowią uzupełnienie nowo przyjętych SKU.

Ogólne obowiązki przekazującego dane wynikające z RODO obejmują udzielanie osobom, których dane dotyczą, informacji o zamiarze przekazania ich danych osobowych, w tym kategorii przetwarzanych danych osobowych, prawo do uzyskania kopii standardowych klauzul umownych oraz ewentualne dalsze przekazanie. Ponadto, z pewnymi wyjątkami, osoby, których dane dotyczą, mogą egzekwować SKU jako beneficjenci będący osobami trzecimi w odniesieniu do obowiązków eksportera danych i importera danych. W związku z tym SKU muszą wymagać od odbierającego dane poinformowania osób, których dane dotyczą, o punkcie kontaktowym oraz niezwłocznego rozpatrywania wszelkich skarg lub wniosków.

Nowe SKU zapewniają zgodność zarówno z art. 28 RODO, dotyczącym umów o przetwarzanie danych (DPA), jak i art. 46 regulującym przekazywanie transgraniczne, dzięki czemu unika się konieczności zawierania dwóch oddzielnych umów.

Standardowe klauzule umowne odnoszą się do różnych scenariuszy przekazywania danych ze względu sytuacje w jakich występują strony transferu:

  • przekazywanie między administratorami (moduł I);
  • przekazywanie przez administratora podmiotowi przetwarzającemu (moduł II);
  • przekazywanie między podmiotami przetwarzającymi (moduł III);
  • przekazywanie przez podmiot przetwarzający administratorowi (moduł IV).

Przed rozpoczęciem procesu należy dokonać oceny możliwości przekazywania danych do państwa trzeciego zgodnie z przepisami RODO, w szczególności, czy faktycznie możliwe będzie egzekwowanie praw osób, których dane zostaną przekazane, a podmiot z państwa trzeciego będzie w stanie zapewnić właściwe, zgodne z przepisami RODO przetwarzanie. W związku z tym należy wykonać następujące kroki:

  1. przed dokonaniem transferu danych podmiot na obowiązek przeprowadzenia oceny systemu prawnego danego państwa, w tym w szczególności w zakresie przepisów regulujących dostępu do danych osobowych przez organy publiczne (ocena taka powinna zostać udokumentowana). Przy dokonywaniu tej oceny należy odwołać się do wytycznych EROD w sprawie niezbędnych gwarancji europejskich dla środków nadzoru;

Jeżeli analiza ochrony danych w państwie trzecim da wynik negatywny, wówczas należy zadbać o dodatkowe środki mające na celu zapewnienie przestrzegania odpowiedniego stopnia ochrony danych w państwie trzecim:

  1. Określić i przyjąć dodatkowe środki techniczne wzmacniające ochronę, które utrudnią dostęp do danych przez władze państwa trzeciego, np. szyfrowanie, pseudonimizacja (ocena tych środków powinna zostać udokumentowana),
  2. Określić dodatkowe proceduralne środki zabezpieczające, np. w formie dodatkowych klauzul umownych,

Przez cały okres przekazywania danych do państwa trzeciego podmiot transferujący zobowiązany jest do monitorowania zmian w przepisach tego państwa i ponownej oceny przekazywania danych.

Wytyczne w tym zakresie wydała Europejska Rada Ochrony Danych, które zostały przetłumaczone przez UODO i udostępnione na stronie urzędu: https://uodo.gov.pl/pl/138/1774.

     II.       Wiążące reguły korporacyjne

Wiążące reguły korporacyjne należą do grupy różnych polityk przyjmowanych wewnętrznie przez międzynarodowe koncerny w celu jednolitego przestrzegania przez wszystkie podmioty zależne określonych obowiązków. W praktyce zatem, jest to przesłanka adresowana do międzynarodowych grup kapitałowych.

Obecnie nie ma możliwości skorzystanie z wiążących reguł korporacyjnych, ponieważ nie ma dostępnego wzorca zatwierdzonego przez Komisję Europejską.

   III.        Standardowe klauzule ochrony danych przyjęte przez organ nadzorczy                                       i zatwierdzone przez Komisję

 PUODO nie przyjął do tej pory żadnej Standardowej klauzuli, nie jest więc możliwe skorzystanie z rozwiązania.

    IV.       Prawnie wiążący i egzekwowalny instrument między organami lub podmiotami                     publicznymi.

Przesłanka ta obejmuje swym zakresem szeroko rozumiane umowy międzynarodowe oraz inne uzgodnienia administracyjne, jeżeli w świetle prawa międzynarodowego publicznego oraz prawa krajowego ich stron będą one miały wiążący prawnie charakter. Obecnie w polskich przepisach brak jest rozwiązań, które mogłyby być podstawą to stosowania tej przesłanki.

     V.       Zatwierdzony kodeks postępowania oraz zaakceptowany przez drugą stronę                         umowy.

PUODO nie zatwierdził odpowiedniego kodeksu dla szkół wyższych – nie jest możliwe skorzystanie z rozwiązania.

      VI.     Zatwierdzony mechanizm certyfikacji.

Brak zatwierdzonych mechanizmów certyfikacji – nie jest możliwe skorzystanie z tego rozwiązania;

      VII.     Klauzule umowne pomiędzy podmiotami transferującymi dane

Zastosowanie tego rozwiązania wiąże się z koniecznością przygotowania własnej klauzuli umownej oraz jej akceptacja przez organ nadzorczy – UODO.

      VIII.    Uzgodnienia administracyjne między organami lub podmiotami publicznymi

Zastosowanie tego rozwiązania wymaga samodzielnego przygotowania treści uzgodnienia oraz dodatkowo pozyskania zezwolenia organu nadzorczego – UODO.

Wykorzystanie przesłanek szczególnych odwołujących się do art. 49 RODO.

Zastosowanie art. 49 RODO, powinno mieć miejsce jedynie w wyjątkowych przypadkach, rozwiązania oparte na nich nie mogą byś stosowane w przypadku przekazywania danych osobowych w szerokim zakresie przez długi okres czasu.

  1. Wyraźna zgoda osoby, której dane dotyczą (art. 49 ust. 1 lit. a) RODO)
    Przed zastosowaniem tego rozwiązania, konieczne jest poinformowanie podmiot danych o ewentualnym ryzyku, z którym ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń może się dla niej wiązać przekazanie danych. W przypadkach transferu danych pracowników, zgoda jest ryzykownym rozwiązaniem ze względu na trudność w wykazaniu jej dobrowolności.
  2. Niezbędność do wykonania umowy lub do wprowadzenia w życie środków przedumownych (art. 49 ust. 1 lit. b) RODO).
    Dotyczy wyłącznie umów zawartych pomiędzy podmiotem danych a administratorem.
  1. Niezbędność do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą między administratorem a inną osobą fizyczną lub prawną (art. 49 ust. 1 lit. c) RODO)
    Przesłanka ta może być wykorzysta np. w przypadku zawarcia umowy z podmiotem z państwa trzeciego w konsekwencji wygranego przetargu. 
  1. Ważne względy interesu publicznego (art. 49 ust. 1 lit. d) RODO)
    Przekazywanie danych osobowych celem przeciwdziałania terroryzmowi, celem zwalczania procederu prania brudnych pieniędzy, przekazywanie danych pomiędzy urzędami celnymi, podatkowymi czy dla celów ubezpieczeń społecznych, etc. 
  1. Niezbędność do ustalenia, dochodzenia lub ochrony roszczeń (art. 49 ust. 1 lit. e) RODO)
    Przesłanka ta dotyczy wyłącznie roszczeń lub wykazania ich bezzasadności przez administratora przekazującego dane.
  1. Ochrona żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody (art. 49 ust. 1 lit. f) RODO) 
    Przesłanka możliwa do zastosowania przede wszystkich w przypadku ratowanie życia i zdrowia osoby, której dane dotyczą. Wąski zakres stosowania.
  1. Przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes - wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego. (art. 49 ust. 1 lit. g) RODO)
    W przypadku rejestrów publicznych, skoro dane osobowe i tak są dostępne dla nieograniczonej liczby osób, nie istnieje powód dla ograniczania możliwości przekazywania tych danych do państw trzecich.
  1. Ważne prawnie uzasadnione interesy realizowane przez administratora (art. 49 ust. 1 akapit drugi RODO)
    Szczególna sytuacja, która może mieć miejsce wtedy, kiedy nie można zalegalizować transferu danych ani na art. 45 ani 46 RODO ani na art. 49 ust. 1 akapit pierwszy RODO.
    Przekazanie nie może być powtarzalne, może dotyczyć tylko ograniczonej liczby osób, musi być niezbędne ze względu na ważne prawnie uzasadnione interesy realizowane przez administratora, który ocenił wszystkie okoliczności przekazania danych i na podstawie tej oceny zapewnił odpowiednie zabezpieczenia. O takim transferze musi zostać dodatkowo poinformowany organ nadzorczy.

    Osobie, której dane dotyczą poza informacjami, o których mowa w art. 13 i 14, administrator podaje, także informacje o przekazaniu i o ważnych prawnie uzasadnionych interesach realizowanych przez niego.

 

Obowiązek informacyjny

W zakresie informacji o transferze do państwa trzeciego, zgodnie z art. 13 ust. 1 lit. f RODO, należy osobie, której dane dotyczą przekazać informację o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych. Jeżeli informacje te nie ulegają zmianie w związku z kolejnymi transferami, nie ma konieczności ponownego przekazywania informacji.

© Politechnika Śląska

Ogólna klauzula informacyjna o przetwarzaniu danych osobowych przez Politechnikę Śląską

Całkowitą odpowiedzialność za poprawność, aktualność i zgodność z przepisami prawa materiałów publikowanych za pośrednictwem serwisu internetowego Politechniki Śląskiej ponoszą ich autorzy - jednostki organizacyjne, w których materiały informacyjne wytworzono. Prowadzenie: Centrum Informatyczne Politechniki Śląskiej (www@polsl.pl)

Zasady wykorzystywania „ciasteczek” (ang. cookies) w serwisach internetowych Politechniki Śląskiej

Deklaracja dostępności

„E-Politechnika Śląska - utworzenie platformy elektronicznych usług publicznych Politechniki Śląskiej”

Fundusze Europejskie
Fundusze Europejskie
Fundusze Europejskie
Fundusze Europejskie