Transfer danych do państw trzecich

Pierwszym krokiem przed rozpoczęciem transferu danych jest wybór odpowiedniego mechanizmu. Najpierw należy ustalić czy wobec danego kraju Komisja Europejska (KE) wydała decyzję potwierdzającą, że dane państwo zapewnia odpowiedni poziom ochrony. Dzięki temu transfer danych do takiego miejsca nie ma szczególnych wymogów. Nie trzeba mieć zezwolenia odpowiedniego organu oraz nie trzeba wdrażać szczególnych zabezpieczeń.

Jeżeli wobec danego państwa nie ma decyzji KE, to transfer danych jest możliwy jedynie w wypadku odpowiednich zabezpieczeń. Do nich należą:

1. Standardowe klauzule ochrony danych (SCC) – są to standardowe klauzule umowne przyjęte przez KE lub przez organ nadzorczy i zatwierdzone przez KE.

2.Zatwierdzony mechanizm certyfikacji – czyli uzyskanie przez odbiorcę danych w państwie trzecim certyfikacji, mającej świadczyć o zgodności operacji przetwarzania z RODO.

3. Zatwierdzone kodeksy postępowania – są to kodeksy postępowania mające pomóc we właściwym stosowaniu RODO, opracowane przez zrzeszenia i inne podmioty reprezentujące określone kategorie przedsiębiorców. Zastosowanie tego mechanizmu polega na zaakceptowaniu i przyjęciu takiego kodeksu przez podmiot z państwa trzeciego będący odbiorcą danych. Kodeks postępowania może być uznany za „odpowiednie zabezpieczenie” dopiero po zatwierdzeniu go przez właściwy organ nadzoru, zaopiniowaniu przez Europejską Radę Ochrony Danych oraz stwierdzeniu w drodze aktów wykonawczych wydawanych przez KE, że dany kodeks jest powszechnie obowiązujący w Unii Europejskiej.

Stan prac nad kodeksami postępowania w wybranych państwach UE

4. Wiążące reguły korporacyjne – czyli ustalone w ramach międzynarodowych grup przedsiębiorców zasady transferu danych, zatwierdzone przez organ nadzorczy, zgodnie z mechanizmem spójności.