Transferem danych do państw trzecich jest przekazanie danych osobowych poza bezpieczny w rozumieniu przepisów RODO Europejski Obszar Gospodarczy (EOG). Operacją transferową jest w szczególności przekazanie (udostępnienie) danych osobowych administratorowi z państwa trzeciego, jak i powierzenie przetwarzania danych osobowych podmiotowi przetwarzającemu spoza EOG.
Pierwszym krokiem przed rozpoczęciem transferu danych jest wybór odpowiedniego mechanizmu. Najpierw należy ustalić czy wobec danego kraju Komisja Europejska (KE) wydała decyzję potwierdzającą, że dane państwo zapewnia odpowiedni poziom ochrony. Dzięki temu transfer danych do takiego miejsca nie ma szczególnych wymogów. Nie trzeba mieć zezwolenia odpowiedniego organu oraz nie trzeba wdrażać szczególnych zabezpieczeń.
Jeżeli wobec danego państwa nie ma decyzji KE, to transfer danych jest możliwy jedynie w wypadku odpowiednich zabezpieczeń. Do nich należą:
1. Standardowe klauzule ochrony danych (SCC) – są to standardowe klauzule umowne przyjęte przez KE lub przez organ nadzorczy i zatwierdzone przez KE.
2.Zatwierdzony mechanizm certyfikacji – czyli uzyskanie przez odbiorcę danych w państwie trzecim certyfikacji, mającej świadczyć o zgodności operacji przetwarzania z RODO.
3. Zatwierdzone kodeksy postępowania – są to kodeksy postępowania mające pomóc we właściwym stosowaniu RODO, opracowane przez zrzeszenia i inne podmioty reprezentujące określone kategorie przedsiębiorców. Zastosowanie tego mechanizmu polega na zaakceptowaniu i przyjęciu takiego kodeksu przez podmiot z państwa trzeciego będący odbiorcą danych. Kodeks postępowania może być uznany za „odpowiednie zabezpieczenie” dopiero po zatwierdzeniu go przez właściwy organ nadzoru, zaopiniowaniu przez Europejską Radę Ochrony Danych oraz stwierdzeniu w drodze aktów wykonawczych wydawanych przez KE, że dany kodeks jest powszechnie obowiązujący w Unii Europejskiej.
Stan prac nad kodeksami postępowania w wybranych państwach UE
4. Wiążące reguły korporacyjne – czyli ustalone w ramach międzynarodowych grup przedsiębiorców zasady transferu danych, zatwierdzone przez organ nadzorczy, zgodnie z mechanizmem spójności.
Posłuchaj 15 odcinka #Rodołamacza pt.– Transfer danych osobowych zgodnie z RODO – czyli jak?. Dowiesz się:
– Co oznacza „transfer” i „kraj trzeci”?
– Czy RODO ma zastosowanie do podmiotów spoza EOG?
– Czy są jakieś wyjątki „od państwa trzeciego”?
– Jak bezpiecznie transferować dane do USA?
– Sposoby transferu danych- zgody , obowiązki informacyjne
Link do podcastu znajduje się TUTAJ