Kancelaria Piotrowski
Witamy na stronie kancelarii
Jesteśmy z Państwem od 1991 roku. Minęło 28 lat naszego mecenatu! To lata doświadczeń i owocnej współpracy z Państwem m.in. w zakresie prawa podatkowego, gospodarczego, prawa pracy i ubezpieczeń społecznych oraz rachunkowości.
Państwa bezpieczeństwo i satysfakcja były, są i będą dla nas najważniejsze.


Na wspólnej drodze doświadczyliśmy wielu przełomowych zmian mających istotny wpływ na gospodarkę oraz podatki.  Można do nich zaliczyć zaistnienie podatku VAT (1993), denominację złotego (1995), wstąpienie Polski w struktury Unii Europejskiej (2004),ewolucje podatków dochodowych i VAT  (setki nowelizacji).

Wspieramy działania przedsiębiorców i otaczamy ich opieką. Tak było w tych przełomowych momentach i tak jest w codziennej pracy.

Dziękujemy za okazane nam zaufanie i zapraszamy do dalszej współpracy.

Przemysław Piotrowski
Więcej
Strona główna  >   Transfer danych osobowych do państw trzecich a RODO
Dodatkowe informacje
Strona główna
zaloguj się
Transfer danych osobowych do państw trzecich a RODO

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) z dnia 27 kwietnia 2016 r. (Dz. Urz. UE. L Nr 119, str. 1) przewiduje dodatkowe ograniczenia i obowiązki administratorów, jeżeli dane osobowe przez nich przetwarzane są transferowane do państw trzecich lub organizacji międzynarodowych. Wbrew pozorom transfer danych osobowych jest dokonywany przez wielu przedsiębiorców, chociażby wtedy, gdy umieszczają dane osobowe na dysku w chmurze lub korzystają z kont e-mail, których serwery znajdują się w państwie trzecim. Przedsiębiorco, sprawdź, o czym powinieneś pamiętać, przekazując dane osobowe poza obszar EOG!

Ogólne zasady legalnego przekazywania danych osobowych

Transfer danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego lub organizacji międzynarodowej, następuje gdy administrator i podmiot przetwarzający spełnią określone przez RODO warunki, w tym warunki dalszego przekazania danych z państwa trzeciego lub przez organizację międzynarodową do innego państwa trzeciego lub innej organizacji międzynarodowej.

Zgodnie z RODO legalne przekazanie danych osobowych może nastąpić w jednym z trzech trybów:

- przekazywanie na podstawie decyzji stwierdzającej odpowiedni stopień ochrony (art. 45 RODO),

- przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń (art. 46–47 RODO),

- przekazywanie na zasadzie wyjątku w szczególnych sytuacjach (art. 49 RODO).

Transfer danych osobowych na podstawie decyzji

Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja Europejska stwierdzi, że to państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Takie przekazanie nie wymaga specjalnego zezwolenia.

Oceniając, czy stopień ochrony jest odpowiedni, Komisja Europejska uwzględnia w szczególności takie elementy jak praworządność, poszanowanie praw człowieka i podstawowych wolności, odpowiednie ustawodawstwo i jego wdrażanie, zasady ochrony danych osobowych, zasady dotyczące wykonywania zawodu, środki bezpieczeństwa, w tym zasady dalszego przekazywania danych osobowych do kolejnego państwa trzeciego lub innej organizacji międzynarodowej, istnienie skutecznych i egzekwowalnych praw osób, których dane dotyczą, skutecznych administracyjnych i sądowych środków zaskarżenia oraz istnienie i skuteczne działanie co najmniej jednego niezależnego organu nadzorczego.

Ważne!

Podstawową przesłanką legalizującą transfer danych jest decyzja Komisji Europejskiej o zapewnieniu odpowiedniego poziomu ochrony danych osobowych na danym obszarze.

W następstwie takiej oceny Komisja Europejska wydaje decyzję odnoszącą się do konkretnego kraju (obszaru). Uprawnia ona do transferu danych osobowych na dany obszar bez konieczności spełniania dodatkowych warunków. Należy jednak pamiętać, że spełnianie wymogów przez dany kraj jest monitorowane, co może pociągać za sobą uchylenie, zmianę lub zawieszenie stosowania decyzji.

Taka sytuacja miała miejsce w przypadku USA na gruncie zasad ochrony danych Safe Harbour. Po wyroku Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z 5 października 2015 r. w sprawie Schrems (C-362/14) zasady te przestały być skuteczną podstawą dla przekazywania danych osobowych. Obecnie transfer danych osobowych do USA jest możliwy na podstawie EU-US Privacy Shield.

Na lipiec 2018 r. decyzja o zapewnieniu odpowiedniego poziomu ochrony danych osobowych została wydana wobec Andory, Argentyny, Australii, Wyspy Guernsey, Izraela, Jersey, Kanady, Nowej Zelandii, USA, Szwajcarii, Wyspy Man oraz Wysp Owczych.

Przekazywanie danych osobowych z zastrzeżeniem zabezpieczeń

W razie braku decyzji Komisji Europejskiej administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią odpowiednie zabezpieczenia i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą oraz skuteczne środki ochrony prawnej.

Zgodnie z RODO odpowiednie zabezpieczenia można zapewnić za pomocą:

- prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi,

- wiążących reguł korporacyjnych (art. 47 RODO),

- standardowych klauzul ochrony danych przyjętych przez Komisję Europejską,

- standardowych klauzul ochrony danych przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję Europejską,

- zatwierdzonego kodeksu postępowania wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą,

- zatwierdzonego mechanizmu certyfikacji wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.

Ewentualnie, za zezwoleniem organu nadzorczego, odpowiedni poziom ochrony może zostać zapewniony poprzez zastosowanie klauzul umownych między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej. W tym wypadku zatem konieczne jest uzyskanie zgody na transfer danych osobowych.

Przekazywanie danych osobowych na zasadzie wyjątku w szczególnych sytuacjach

W razie braku decyzji Komisji Europejskiej lub braku odpowiednich zabezpieczeń, o których mowa wyżej, w tym wiążących reguł korporacyjnych (a zatem w sytuacji, gdy dwa poprzednie tryby nie znajdują zastosowania), jednorazowy lub wielokrotny transfer danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić wyłącznie pod warunkiem, że:

- osoba, której dane dotyczą, wyraźnie wyraziła na nie zgodę oraz została poinformowana o ewentualnym ryzyku, z którym może się dla niej wiązać proponowane przekazanie;

- przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą;

- przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, której dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;

- przekazanie jest niezbędne z uwagi na ważne względy interesu publicznego;

- przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;

- przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;

-przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego.

Jeżeli żadne z powyższych wyjątków nie znajduje zastosowania, przekazanie do państwa trzeciego lub organizacji międzynarodowej może nastąpić wyłącznie, gdy:

- przekazanie nie jest powtarzalne;

- dotyczy tylko ograniczonej liczby osób, których dane dotyczą;

- jest niezbędne ze względu na ważne prawnie uzasadnione interesy realizowane przez administratora, wobec których charakteru nadrzędnego nie mają interesy ani prawa i wolności osoby, której dane dotyczą;

- administrator ocenił wszystkie okoliczności przekazania danych i na podstawie tej oceny zapewnił odpowiednie zabezpieczenia w zakresie ochrony danych osobowych.

Administrator ma w takim wypadku obowiązek poinformować organ nadzorczy o przekazaniu. Powinien również dodatkowo (prócz standardowego obowiązku informacyjnego) poinformować osobę, której dane dotyczą, o przekazaniu i o ważnych prawnie uzasadnionych interesach realizowanych przez niego.

Źródło: Więcej czytaj w serwisie www.poradnikprzedsiebiorcy.pl, dostęp 15.04.2019 r.

»Na górę »Strona główna »Drukuj »Polityka prywatności
PIOTROWSKI
Kancelaria Doradcy Podatkowego
Marszałka Focha 4
85-070 Bydgoszcz
tel.: 52 583 33 33; 796 103 103
Solankowa 19
88-100 Inowrocław
tel.: 52 321 43 21; 796 105 105


Wpis